前回はVPC FlowLogsを有効にしてネットワーク関連のログを取得しました。
前回(第5回) – VPC FlowLogs
https://syachiku.net/awscloudformationiac5-flowlogs/
AWSのCloudFormationでIaCを実践してみる(すべての記事一覧)
第1回 – VPC https://syachiku.net/awscloudformationiac1-vpc/
第2回 – Role https://syachiku.net/awscloudformationiac2-iam-role/
第3回 – SecurityGroup https://syachiku.net/awscloudformationiac3-sg/
第4回 – EC2 https://syachiku.net/awscloudformationiac4-ec2/
第5回 – VPC FlowLogs https://syachiku.net/awscloudformationiac5-flowlogs/
第6回 – CloudTrail https://syachiku.net/awscloudformationiac6-trail/
第7回 – R53 HostedZone https://syachiku.net/awscloudformationiac7-r53-hosted/
今回は引き続きログ取得としてCloudTrailの証跡の作成をCloudFormationによるコードで設定します。
AWS CloudTrailはAWSサービスの操作について「いつ」、「だれが」、「何を」したのかを記録してくれるサービスです。
AWSアカウントのガバナンス、コンプライアンス順守、運用とリスクの監査に利用できます。
※証跡を作成すると自動的に全リージョンのCloudtrailが有効になります。
※今回実施することは基本的には無料ですが、利用料金が発生する可能性が少なからずありますので、あくまで自己責任でお願いします。
1. 前提条件
- AWSアカウントが取得できていること
- 適切な権限(=Admin相当)をもったIAMユーザーを作成していること
- ルーティングなどの最低限のネットワークの知識があること
- YAMLの書きかたを知っていること(CloudFormationはjsonもしくはyamlで書けますが、今回はyamlで書いていきます。)
2. 今回作成するAWS環境
CloudTrailの証跡を作成するのと合わせてログを保管するS3バケットを構築します。
また、CloudTrailのログを暗号化するためにKey Management Service (KMS)による暗号キーについても作成します。
CloudTrailではログをSNSで通知する事もできるのですが今回は実施しません。
3. 構成図
4. CloudFormation Template
以下のgithub上に保管していますので参照ください。
https://github.com/gogoloon/aws-cfn-setup/tree/aws-infra-06
5. スタックの作成
それでは先ほど作成したコードを使って、リソースを作成していきます。
マネージメントコンソールにログオンして、リージョンを大阪に切り替えたのち、CloudFormationを開きます。
「スタックの作成」→「新しいリソースを使用」を選択します。
「テンプレートファイルをアップロード」からコードのファイルを選択してアップします。
スタックの名称やネットワーク設定値を入力(デフォルトから変更したい場合には変更してください)してスタックの作成まで進めます。
6. 作成されたリソースの確認
しばらくするとステータスが「CREATE_COMPLETE」となりスタック作成が完了します。
それでは作成されたリソースを確認してみます。
6.1. CloudTrail 証跡
CloudTrailの証跡が作成されています。
証跡のログ保管場所のS3とKMSが紐づいていることが分かります。
6.2. S3バケット+ライフサイクルポリシー
しばらくすると各リージョンで利用されているログがリージョン単位のフォルダに保管されます。
バケットにライフサイクルが設定されています。
6.3. Key Management Service (KMS)
7. まとめ
想定した通りにCloudTrailの設定ができました。
この手順は手動で設定するのはかなり大変だと思います。
コードがあると管理する方が運用コストが下がりそうですね。
8. 参考にしたサイト
こちらのサイトを参考にさせていただきました。ありがたいです。
https://qiita.com/szk3/items/6b62c8bb8c2ebc549cca
https://dev.classmethod.jp/articles/cloudtrail-with-kms-using-cfn/
AWSを効率的に学習する方法
私が効率的にAWSを学習するために実施した方法は以下の通りです。
①最初に書籍(ハンズオンができる)を購入、座学でAWSの基礎を学習
②AWS資格試験を取得ための学習
※私の場合は①と②を合わせて2か月でソリューションアーキテクトを取得できました。
①AWS基礎学習
最初に購入した書籍は「Amazon Web Services 基礎からのネットワーク&サーバー構築」です。
Amazon Web Services 基礎からのネットワーク&サーバー構築
この本では、AWSの基本サービスを利用したハンズオンを通じて、AWSの基礎を学習することができます。
また、タイトル通りAWSのネットワークやインフラに関しても網羅しているため、もともとインフラ系の技術者ではない人たちにとっても分かりやすい内容だと思います。
とりあえずAWS上にサーバーを設定して開発を行うための準備までするには最良の一冊です。
Amazon Web Services 基礎からのネットワーク&サーバー構築
②AWS資格取得
AWSの基礎をある程度学習することができたら、次はAWS資格を取得しましょう。まずはAWSソリューションアーキテクトを目指しましょう。
資格勉強のための問題集をひたすら解きながら、AWSの知識を積み重ねて習得していきましょう!
苦行ではありますが、この問題集を3周ほどすればAWS用語や構成に関しても習得できているはずです。
今回は以上となります。
コメント