AWSIaC

AWSのCloudFormationでIaCを実践(6) – CloudTrail

AWS

前回はVPC FlowLogsを有効にしてネットワーク関連のログを取得しました。

前回(第5回) – VPC FlowLogs
https://syachiku.net/awscloudformationiac5-flowlogs/

AWSのCloudFormationでIaCを実践してみる(すべての記事一覧)
第1回 – VPC  https://syachiku.net/awscloudformationiac1-vpc/
第2回 – Role  https://syachiku.net/awscloudformationiac2-iam-role/
第3回 – SecurityGroup  https://syachiku.net/awscloudformationiac3-sg/
第4回 – EC2  https://syachiku.net/awscloudformationiac4-ec2/
第5回 – VPC FlowLogs https://syachiku.net/awscloudformationiac5-flowlogs/
第6回 – CloudTrail https://syachiku.net/awscloudformationiac6-trail/
第7回 – R53 HostedZone https://syachiku.net/awscloudformationiac7-r53-hosted/

今回は引き続きログ取得としてCloudTrailの証跡の作成をCloudFormationによるコードで設定します。

AWS CloudTrailはAWSサービスの操作について「いつ」、「だれが」、「何を」したのかを記録してくれるサービスです。
AWSアカウントのガバナンス、コンプライアンス順守、運用とリスクの監査に利用できます。

※証跡を作成すると自動的に全リージョンのCloudtrailが有効になります。

※今回実施することは基本的には無料ですが、利用料金が発生する可能性が少なからずありますので、あくまで自己責任でお願いします。

1. 前提条件

  • AWSアカウントが取得できていること
  • 適切な権限(=Admin相当)をもったIAMユーザーを作成していること
  • ルーティングなどの最低限のネットワークの知識があること
  • YAMLの書きかたを知っていること(CloudFormationはjsonもしくはyamlで書けますが、今回はyamlで書いていきます。)

2. 今回作成するAWS環境

CloudTrailの証跡を作成するのと合わせてログを保管するS3バケットを構築します。
また、CloudTrailのログを暗号化するためにKey Management Service (KMS)による暗号キーについても作成します

CloudTrailではログをSNSで通知する事もできるのですが今回は実施しません。

3. 構成図

4. CloudFormation Template

以下のgithub上に保管していますので参照ください。
https://github.com/gogoloon/aws-cfn-setup/tree/aws-infra-06

5. スタックの作成

それでは先ほど作成したコードを使って、リソースを作成していきます。

マネージメントコンソールにログオンして、リージョンを大阪に切り替えたのち、CloudFormationを開きます。

「スタックの作成」→「新しいリソースを使用」を選択します。

「テンプレートファイルをアップロード」からコードのファイルを選択してアップします。

スタックの名称やネットワーク設定値を入力(デフォルトから変更したい場合には変更してください)してスタックの作成まで進めます。

6. 作成されたリソースの確認

しばらくするとステータスが「CREATE_COMPLETE」となりスタック作成が完了します。

それでは作成されたリソースを確認してみます。

6.1. CloudTrail 証跡

CloudTrailの証跡が作成されています。

証跡のログ保管場所のS3とKMSが紐づいていることが分かります。

6.2. S3バケット+ライフサイクルポリシー

しばらくすると各リージョンで利用されているログがリージョン単位のフォルダに保管されます。

バケットにライフサイクルが設定されています。

6.3. Key Management Service (KMS)

7. まとめ

想定した通りにCloudTrailの設定ができました。
この手順は手動で設定するのはかなり大変だと思います。
コードがあると管理する方が運用コストが下がりそうですね。

8. 参考にしたサイト

こちらのサイトを参考にさせていただきました。ありがたいです。
https://qiita.com/szk3/items/6b62c8bb8c2ebc549cca
https://dev.classmethod.jp/articles/cloudtrail-with-kms-using-cfn/

AWSを効率的に学習する方法

私がAWSを学習するために使った学習材料は「Udemy」だけです。

まずは座学を行ってAWSプラクティショナー もしくは ソリューションアーキテクト試験を取得することを目標にしました。

具体的にはUdemyで以下の2つの商材を購入して学習しました。AWS公式が提供している模擬試験も受けていません。

Udemyは世界最大級のオンライン学習プラットフォームで、世界中の学びたい人と教えたい人をオンラインでつなぐサービスです。 Udemyは米国Udemy,Inc.が運営するプラットフォームで日本ではベネッセが事業パートナーとして協業をしています。 C2C(consumer to consumer)により生まれる豊富で多彩な講座により個人の学習ニーズに応じた学びをみつけることができます。

これだけでOK! AWS 認定ソリューションアーキテクト – アソシエイト試験突破講座(SAA-C02試験対応版)
【SAA-C02版】AWS 認定ソリューションアーキテクト アソシエイト模擬試験問題集(6回分390問)

今回は以上となります。

コメント

タイトルとURLをコピーしました