CloudTrail

CloudTrail: APIのログをS3に記録するサービス。


SwitchRole(AssumeRole)したユーザを調べる

問題:

例: アカウントB上のリソースを作成した、アカウントAのユーザを調べる

  1. アカウントBで、調べたいリソースのリージョンに移動する。
    • グローバルリソース(IAM, route53, 他)の場合は、us-east-1
  2. アカウントBのCloudTrailでリソース名(RDSならRDS ID)、イベント名(EC2ならRunInstance、RDSならCreateDBInstance)等で検索する
  3. ヒットしたら、イベントのJSON中にaccessKeyIdがあるのでメモする
  4. アカウントAで、Bと同じリージョンのCloudTrailで、リソース名に調べたaccessKeyIdの値を入れる。ユーザ名にSwitchRole元のユーザ名が表示されるはず。
    • アカウントBのリージョンと異なると表示されない。
    • リソース作成直後だと、アカウントAのCloudTrailのログにはヒットしなかったが、10分程度待つとヒットした。

AWSCLIのprofileを使う場合、セッション名を変更できるようになった。


グローバルリソースの操作履歴を確認する


CloudTrailのログをAthena で検索する


CloudTrail Insights: 異常なAPIアクティビティを検出

例えば不正利用でEC2「RunInstances」の頻度が通常より多くなったら検出等。
基本的には有効にしたい。


awscli: lookup-events で過去90日以内のログから検索


awscli: ログからtsvを生成


EC2のイベントを検索する


Organizationsでの利用

複数アカウントがあり、全アカウントを対象にCloudTrailのログを保存できる。


put-event-selectors: イベントの記録対象の選択等


有効化


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-11-27 (金) 19:07:46