助け合いフォーラム
正解
チームメンバーのAWSアカウントで証跡情報を作成し、ログの保存先に監査人用のアカウントのS3バケットを指定する
解説
複数アカウントのCloudTrailログを集約する際は、証跡情報の作成時に「ストレージの場所」を既存のS3バケットに指定します。なお、S3バケット名は全ユーザーで一意ですので、アカウントによらずバケットを特定することができます。また、指定するS3バケットは他のアカウントからアクセスが可能になるように事前にバケットポリシーを設定しておく必要があります。
以上より正解は
・チームメンバーのAWSアカウントで証跡情報を作成し、ログの保存先に監査人用のアカウントのS3バケットを指定する
です。
以下は証跡情報の作成画面の例です。
その他の選択肢については以下の通りです。
・監査人用のAWSアカウントに、チームメンバーのCloudTrailログを参照するIAM権限を付与する
監査人が複数アカウントのログを横断的に参照するのは効率的であるとはいえませんので、誤りです。
・チームメンバーの代表1名のアカウントにCloudTrailのログを集約し、90日ごとにログを監査人へ提出する
チームメンバーの代表によってログが改ざんされる可能性があることや、集約・提出という非効率的な手段をとっているため、誤りです。
ログは、証跡情報を作成し保存先にS3を指定することにより、90日を超えても保存しておくことができます。
・AWS Lambda関数を使って、チームメンバーのCloudTrailのログを監査人用のアカウントにコピーする
外部サービスを利用してログをコピーすることは効率的な手段とはいえませんので誤りです。
※Lambda ... サーバーレスでプログラムの実行が可能なAWSサービス。他サービスと連携でき、イベントが発生したタイミングでプログラムを起動させることができる。Lambdaで起動するコードをLambda関数(Lambda Function)と呼ぶ。
参考
AWS上でサービスを適切に運用し続けるには、運用担当者がどのようにAWSサービスを利用しているかを把握し、その活動がセキュリティ基準やポリシーに準拠しているかを確認するための継続的な監視と監査が欠かせません。
AWS CloudTrailは、AWS環境内での「いつ」「誰によって(ユーザーやAWSサービス、APIなど)」「どのような操作が行われたのか」を記録・保存するサービスです。利用登録なしに過去90日間のログを無料で参照することができます。
[CloudTrailのダッシュボード画面]
イベントの発生日時と操作したユーザー、対象のリソース名などが表示されているのがわかります。また左端の「▶」マークをクリックすることで、詳細情報を参照することもできます。
例えば、操作した覚えがないのにリソースが増減されていたり、インスタンスが削除されていたような場合でも、CloudTrailのログを参照することで誰がどのような操作を行ったのかを確認できます。
●記録対象となるイベント
CloudTrailでは、ユーザーによるマネジメントコンソールやコマンドライン(AWS CLI)上での操作だけでなく、APIを通じて行われる操作もイベントとして記録されます。
・管理イベント ... ユーザーのログイン、AWSリソース自体の作成、変更、削除といった操作(例:EC2インスタンスの作成など)
・データイベント ... AWSリソースへの細かな操作(例:S3内のデータ操作、Lambda関数の実行など)
・インサイトイベント ... 通常と異なる操作(例:書き込みAPIの異常な呼び出しなど)
なお、管理イベントはデフォルトで記録されますが、データイベントおよびインサイトイベントはイベントの記録を有効にする必要があります。
●証跡情報
CloudTrailのログは、「証跡情報」を作成することでS3バケットに保存できます。これにより、90日を超える長期間のログ保存が可能となり、セキュリティ監査やコンプライアンス報告のニーズに対応します。
[証跡情報の作成画面]
作成画面からは、インサイトイベントやデータイベントの記録有無を選択できます。ログはJSON形式で出力され、gz形式で圧縮されてS3に保存されます。さらに、Amazon KMS(Key Management Service)を利用してログデータを暗号化するオプションも提供されています。
[S3バケットへ保存したCloudTrailのログの例]
●複数アカウントのログ保存
企業や組織などにおいて複数のAWSアカウントを管理している場合、それぞれのCloudTrailのログを1つのS3バケットで管理することができます。例えばアカウントA、B、Cの操作ログを監査用のアカウントDに属するバケットに集約することで、監査を容易に行えたり、各アカウントによるログの改ざんを防ぐことができます。
複数アカウントのCloudTrailログを集約する際は、証跡情報の作成時に「ストレージの場所」を既存のS3バケットに指定します。なお指定するS3バケットは、他のアカウントからアクセスが可能になるように事前にバケットポリシーを設定しておく必要があります。
●CloudTrailとCloudWatch Logsの連携
CloudTrailは、AWSサービスのログを一元管理するサービスAmazon CloudWatch Logsと連携することができます。
CloudWatch LogsとCloudTrailを連携することにより、操作ログに特定のキーワードが登場した際に管理者宛に通知を行うことができます。キーワードには例えば、ログインイベント「ConsoleLogin」を指定したり、EC2インスタンスの変更(作成・終了・停止など)イベント「EC2InstanceChanges」などを指定することができます。これにより管理コンソールへ不正なログインが行われたときに検知したり、意図しないインスタンスの変更が行われていないかをアクティブに監視することができるようになります。
※CloudWatch Logsについての詳細は分野「CloudWatch」を参照してください。
脳内変換の問題でしょうか?
設問
「チームでは複数のAWSアカウントを運用しているが、監査人はチームがAWSサービスを適切に運用しているかを監査する必要がある。
監査人がチームのCloudTrailのログを適切に監査するために、最も効率的な手段はどれか。」
正解は、「チームメンバーのAWSアカウントで証跡情報を作成し、ログの保存先に監査人用のアカウントのS3バケットを指定する」
でした。が、「チームメンバーのAWSアカウントが、監査人用のアカウントのS3バケットへ、認証情報を保存できない。」
と考えたため選択として、不適切ではないでしょうか?
解説に「指定するS3バケットは他のアカウントからアクセスが可能になるように事前にバケットポリシーを設定しておく必要があります。」
はあるものの、選択肢には事前設定について記載がありません。
設問を読み、あらゆる事前設定を脳内変換した上で解けという事でしょうかね・・・
だとすると、何でも有りなような気がしました。
チームメンバーのAWSアカウントが、監査人用のアカウントのS3バケットへ、認証情報を保存できない。
これを理由に不正解にしてしまうと、例えば
「インターネット上のユーザーがアクセスできるのは、パブリックサブネットのEC2インスタンスか、プライベートサブネットのEC2インスタンスか、どちらか?」
という問題に対して、
「パブリックサブネットのEC2インスタンスのセキュリティグループが設定されていないので、どちらともアクセスできない」
という回答になってしまうと思います。
設問に全てのアクセス権限の設定を盛り込んでいるわけではないので、設定上可能であれば補完して考えなければならないです。
コメント
この投稿に対して返信しませんか?
c chmod007
2024/01/06 10:40
返信ありがとうございます。 そうですか。。。 たまに問題文中に「どこどこに、権限を割り当てている・ロールを割り当てている」という記載があったりするので、「じゃぁ、記載が無いという事は割り当ていないという解釈ですよね?」という深読みをしてしまいました。 まぁ、本サイトの問題集を管理する側も細かな設定文言までは、見切れないでしょうから、脳内変換で補うようにします。