どうしてS3にCloudTrailのログを入れるのか

• CloudTrailの証跡ログは、マネージメントコンソールから過去90日間のものを検索できますが、90日以前のものは別途S3に保存したファイルを見る必要があるからです。
• AWSリソースの棚卸しをするときや何か起こったときには、CloudTrailのコンソール画面から対象のログ（S3バケット）に対してAthenaのテーブル作って分析する。

削除保護

S3 Multi Factor Authentication (MFA) Delete

• バケットに MFA Delete を設定することで、バケット内のデータが誤って削除されないようにできる

S3 バージョニング

• 単一のオブジェクトの複数のバージョンを保持できるようになり、操作ミスによる削除に対しても、簡単に復旧できる

暗号化

Amazon S3 Server Side Encryption（SSE）

• デフォルトでは、CloudTrail ログファイルは Amazon S3 Server Side Encryption（SSE）を使用して暗号化され、S3 バケットに保存

KMS キー (SSE-KMS) を使用したサーバー側の暗号化

• 直接管理可能なセキュリティレイヤーを提供するには、代わりに CloudTrail ログファイルのAWS KMS キー (SSE-KMS) を使用したサーバー側の暗号化を使用
  AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS)

整合性

CloudTrail のログファイルの整合性検証

• CloudTrail が配信した後でログファイルが変更、削除、または変更されなかったかどうかを判断する

アクセス制御

IAM

• アクセスできるIAMユーザー・ロールで付与する権限で絞る、バケットポリシーで絞る

S3バケットポリシー

• Amazon S3 のリソースへのアクセスに MFA を強制的に適用することができる
  MFA を要求するバケットポリシーの追加

SCP

• SCPを適用してガチガチに制御することもできる
  SCP を利用し、特定の CloudTrail と特定の S3 バケットに対して制限