構成レビュー機能のポリシー紹介 (CloudTrail 編 その3)


Posted on Aug 16


こんにちは、Cloud Automatorの山田です。

さて、今回も構成レビュー機能の CloudTrail リソースのポリシーについてご紹介します。
構成レビュー機能についての記事はこちらをご参照ください。

CloudTrail を管理するためのポリシー

構成レビュー機能では CloudTrail に関するポリシーは下記の4個提供しています。

  • CloudTrailが有効化され、ログの保存先としてS3バケットが指定されていること
  • CloudTrailが有効化され、ログの保存先としてCloudWatch Logsのロググループが指定されていること
  • CloudTrailのログ保存先として指定されたS3バケットが一年後にオブジェクトを削除されるようにライフサイクルイベントが設定されていること
  • CloudTrailのログ保存先として指定されたCloudWatch Logsのロググループに設定された保存期間が30日になっていること

今回は「CloudTrailが有効化され、ログの保存先としてCloudWatch Logsのロググループが指定されていること」のポリシーについてご紹介します。

以前も CloudTrail のログの保存先として CloudWatch Logs を利用していた場合のポリシーをご紹介しましたが、そのポリシーではロググープに対して30日間の保存期間が設定されているかどうかを含めてチェックするようなポリシーでした。
今回のポリシーは単純に CloudTrail のログが CloudWatch Logs に出力される設定になっているかどうかだけをチェックします。

ポリシーの適用

Cloud Automator の管理画面より、「構成レビュー」タブをクリックして「ポリシーセットの作成」をクリックします。

適用したい CloudTrail のポリシーを ON の状態にします。
今回は「CloudTrailが有効化され、ログの保存先としてCloudWatch Logsのロググループが指定されていること」のポリシーを有効化します。

このポリシーでは CloudTrail に事前にタグを設定する事が前提なので、CloudTrail にタグを設定していない場合は設定しておきましょう。
(CloudTrail のタグの設定はAWSマネジメントコンソールにて行います)

CloudTrail にタグを設定している場合は、ここで キー を入力します。

あとは、AWSアカウントポリシーを適用するリージョンポリシーセット名を入力して、「ポリシーセットを作成する」ボタンをクリックするとポリシーが作成され、リソースのチェックが始まります。

まとめ

今回は CloudTrail の「CloudTrailが有効化され、ログの保存先としてCloudWatch Logsのロググループが指定されていること」ポリシーについてご紹介しました。
引き続き、Cloud Automatorをよろしくお願いします。



Search

Tags

By year

  1. 2016 (30)
  2. 2015 (31)
  3. 2014 (42)