【AWS学習】AWSの監査ログ(CloudTrail)を保護するには??

2022/09/09に公開

どうしてS3にCloudTrailのログを入れるのか

  • CloudTrailの証跡ログは、マネージメントコンソールから過去90日間のものを検索できますが、90日以前のものは別途S3に保存したファイルを見る必要があるからです。
  • AWSリソースの棚卸しをするときや何か起こったときには、CloudTrailのコンソール画面から対象のログ(S3バケット)に対してAthenaのテーブル作って分析する。

削除保護

S3 Multi Factor Authentication (MFA) Delete

  • バケットに MFA Delete を設定することで、バケット内のデータが誤って削除されないようにできる

S3 バージョニング

  • 単一のオブジェクトの複数のバージョンを保持できるようになり、操作ミスによる削除に対しても、簡単に復旧できる

暗号化

Amazon S3 Server Side Encryption(SSE)

  • デフォルトでは、CloudTrail ログファイルは Amazon S3 Server Side Encryption(SSE)を使用して暗号化され、S3 バケットに保存

KMS キー (SSE-KMS) を使用したサーバー側の暗号化

整合性

CloudTrail のログファイルの整合性検証

  • CloudTrail が配信した後でログファイルが変更、削除、または変更されなかったかどうかを判断する

アクセス制御

IAM

  • アクセスできるIAMユーザー・ロールで付与する権限で絞る、バケットポリシーで絞る

S3バケットポリシー

SCP

Discussion

ログインするとコメントできます