BT

Ready for InfoQ 3.0? Try the new design and let us know what you think!

AWSのCloudTrailが監査対象APIコールを拡張

| 作者: Steffen Opel フォローする 4 人のフォロワー , 翻訳者 吉田 英人 フォローする 0 人のフォロワー 投稿日 2014年7月13日. 推定読書時間: 4 分 |

原文(投稿日:2014/06/25)へのリンク

AWS CloudTrailのサポートするAWSのサービス数の拡大は著しく,広範なAWSサービスのポートフォリオのほとんどをカバーするに至っている。現在では,コンピューティングとネットワーキングサービスの大部分,デプロイと管理サービスのすべてを含むことで,ユーザのインフラストラクチャ変更のほぼすべてに対して,包括的なエンド・ツー・エンドの監査機能を提供する。

AWSは,当初のUS East(北バージニア)とUS West(オレゴン)でのサービス開始移行,US West(北カリフォルニア), EU(アイルランド), Asia Pacific(シドニー)リージョンへとCloudTrailの適用範囲を拡大してきた。その他のグローバルにアクセス可能なリージョンについても,"近日中にサポートされる予定"である。

AWS CloudTrailは,AWS管理コンソールAWSコマンドラインインターフェース,あるいはさまざまなAWS SDKを使用するサードパーティアプリケーションなどの発信元に関わらず,特定のAWSアカウントによってAWS内で生成されたすべてのAPIコールを記録する。結果はAmazon S3バケット内のログファイルに,JSON形式で記録される。オプションとして,ファイルが記録される度にAmazon SNSトピックに通知することも可能なので,サードパーティや特定のログソリューションが新たなログファイルの生成をポーリングする必要はない。

AWS CloudTrail Flow

収集したログと監査記録は,セキュリティ解析や変更追跡,コンプライアンス支援,運用上のトラブルシューティングなど,さまざまな用途に使用可能である。例えば,AWSの監視および解析サービスを行うサードパーティの一部では,CloudTrailのイベントとアプリケーションパフォーマンス監視チャートとの相関性情報を提供している。パフォーマンスの低下が確認された場合には,その原因あるいは影響を与えたAWSリソースの変更を,この情報から特定できる可能性がある。

包括的なJSONログレコードには,次のような情報が記録される。

  • 誰がAPIをコールしたか – AWS識別タイプ(ルートアカウント,IAMユーザあるいはロール,フェデレーションユーザ),ユーザのフレンドリ名,アクセスキーID,アカウントナンバなど。
  • いつAPIをコールしたかISO 8601形式のイベント日付および時刻。
  • どのAPIをコールしたか – EC2の ‘RunInstances' のような,APIコールとサービス。
  • APIコールに関連したリソースは何か – 要求パラメータと応答エレメントの一部 (Describe*, Get*, List*など参照のみのコールの結果は,イベントサイズの増加を考慮して省略されている)。
  • どこからAPIをコールしたか – 表示上の発信者のIPアドレスとターゲットのリージョン。

アナリストのRené Büst氏による投稿では,パフォーマンスに敏感なユーザやユースケースのそれぞれに対して価値のある,重要な(そして今日としては極めてユニークな)提案が強調されている。

AWS CloudTrailは,最近のAmazonが失いつつある企業ユーザにとって,非常に重要なサービスのひとつです。収集されたログは,AWSサービスへのすべてのアクセスを可能にすることで,政府規制に対するコンプライアンスをサポートします。[...] 脆弱性や不正,または誤ったデータ参照の正確な起源を特定することで,より多くのセキュリティ監査の運用が可能になるのです。

CloudTrailは"APIのコール後15分以内にイベントを配信"し,その結果は"S3バケットのログファイルに,およそ5分周期で"記録される。このため,非常にリアルタイムな操作およびセキュリティ監視には適さないが,しかしながらほぼリアルタイムの変更追跡やセキュリティ分析,運用上のトラブルシューティングならば保証は可能だ。

運用やセキュリティ上の目的で,ログファイルをAWSリージョンを越えて集計したり,複数のAWSアカウントを対象とするようなことも可能だ。例えば,開発アカウントと制作アカウントの監査ログを,より高度なセキュリティプロファイルでアクセス可能なスタッフを制限した,専用の監査アカウントに統合することや,同じように特定のステークホルダの課金とコスト管理を分離する目的で,課金統合アカウントを使用することなどが考えられる。

CloudTrailの資料としては,一般的なユーザガイドAPIリファレンスが提供されている。CloudTrail APIはすでに,AWSコマンドラインインターフェースAWS Tools for Windows PowerShell,ほとんどのAWS SDKでクロスプラットフォームにサポートされている。ユーザサポートはAWS CoundTrailフォーラムを通じて提供される。CloudTrailそれ自体は無償だが,Amazon S3ストレージとオプションのAmazon SNS Notificationには通常のコストが発生する。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション
BT