Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OpsJAWS34_CloudTrailLake_for_Organizations
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
h-ashisan
April 21, 2025
Technology
920
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OpsJAWS34_CloudTrailLake_for_Organizations
h-ashisan
April 21, 2025
More Decks by h-ashisan
See All by h-ashisan
regrowth_tokyo_2025_securityagent
hiashisan
0
690
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
470
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.7k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
850
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
840
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
890
20240724_cm_odyssey_hibiyatech
hiashisan
0
640
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1.5k
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
940
Other Decks in Technology
See All in Technology
新しいUbuntu/GNOMEが使いたいからXからWaylandへ移行頑張ってるの巻 2026-06-20
nobutomurata
0
150
小さく始める AI 活用推進 ― 日経電子版 Web チームの事例/nikkei-tech-talk47
nikkei_engineer_recruiting
0
310
【セミナー資料】Claude Code をセキュアに使うための考え方と設定の勘どころ / Claude Code Webinar 20260616
masahirokawahara
2
420
10年間のブログ発信を振り返って見えたWebアプリケーションエンジニアとしての軌跡
stefafafan
0
170
AIネイティブな開発のサプライチェーンリスク対策 〜激動の開発現場でリスクに立ち向かう〜【ZennFes】
cscengineer
PRO
2
140
エラーバジェットのアラートのタイミングを考える.pdf
kairim0
0
180
[チョークトーク資料]AWS DevOps Agent を使いこなす / AWS Dev Ops Agent Chalk Talk AWS Summit Japan 2026
kinunori
3
600
2026 TECHFRESH 畢業分享會 - 開發日常大解密!從領域驅動到企業級上線
line_developers_tw
PRO
0
1.3k
LayerXにおけるセキュリティ管理の現在地と次の一手
tosho
0
250
現場のトークンマネジメント
dak2
0
140
不要なレビューをAIにまかせて AIコーディングの環境改善を加速した
shoota
1
230
コミュニティの有益性 ~JAWS Days 2026 での体験を通して~ / The Benefits of a Community ~Through My Experience at JAWS Days 2026~
seike460
PRO
0
190
Featured
See All Featured
The Pragmatic Product Professional
lauravandoore
37
7.3k
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
340
Done Done
chrislema
186
16k
The Art of Programming - Codeland 2020
erikaheidi
57
14k
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
71
40k
Product Roadmaps are Hard
iamctodd
PRO
55
12k
Ruling the World: When Life Gets Gamed
codingconduct
0
260
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
Art, The Web, and Tiny UX
lynnandtonic
304
22k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
56k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
The Language of Interfaces
destraynor
162
27k
Transcript
クラスメソッド株式会社 あしさん(芦沢広昭) Organizations環境の証跡管理に「CloudTrail Lake」を おすすめする理由 2024-04-16 Ops-JAWS Meetup34 Organizations & ControlTower
⾃⼰紹介 2 • 〜2021年8⽉まで 独⽴系SIer ◦ 客先常駐でインフラエンジニア(OS)、AWSなし • 2021年9⽉ クラスメソッド⼊社 • 2022年6⽉ マルチアカウント案件に初めて関わる
◦ 「Organizations..? Control Tower..?」 • 〜2024年 マルチアカウント関連のアウトプット多め ◦ 「マルチアカウント関連サービスならまかせろ」 • 2024年3⽉ 2024 Japan AWS Top Engineers(Security) に ◦ 「マルチアカウント関連サービスのおかげ!!!」 • 所属 ◦ クラスメソッド株式会社 • 名前(ニックネーム) ◦ 芦沢 広昭(あしさん) • 普段の業務 ◦ AWSインフラ設計構築‧コンサル • 趣味 ◦ ライブに⾏くこと (⾳楽、お笑い) ◦ ゲーム (MHWs)
Organizations/Control Tower環境で 「必ず」話題になる(と思っている) CloudTrail管理 についての話をします 本⽇は 3
AWS CloudTrail とは? 4 AWSアカウント内のAPIアクティビティを イベントログとして記録‧保存するサービス → AWSの業務監査‧リスク監査の実現、ガバナンスの基本
AWSアカウント上で 「誰が」「いつ」「何をしたか」 を記録するサービス もっとざっくりした説明 5
マルチアカウント環境のCloudTrail 管理によく使う設定 6 証跡:CloudTrailイベントをS3などの永続ストレージに出⼒する設定 組織の証跡:CloudTrail証跡をOrganizations組織内の全アカウントに作成する機能
Organizations環境の証跡管理で考慮すべきこと 7 • 統制 • コスト • 運⽤
CloudTrailの取得設定を、勝⼿に変更させたくない 証跡管理における「統制」 8
証跡管理における「コスト」 9 CloudTrailの設定によって、余計なコストを発⽣させたくない
証跡管理における「運⽤」 10 過去のCloudTrailログを閲覧させる時、Athenaの管理コストが発⽣
Organizations環境の証跡管理における「課題」 11 • 統制: 設定によっては勝⼿に変更されてしまう可能性 • コスト: 証跡の重複で他アカウントでコストが発⽣ • 運⽤:
ログ閲覧⽤Athenaの管理コストが発⽣
参考:「組織の証跡」利⽤におけるデメリット 12 Org管理のCloudTraill 証跡の重複による「想定外」のコスト増の可能性 https://dev.classmethod.jp/articles/costs-cloudtrail-after-update-ct-landing-zone/
CloudTrail Lakeなら解決できるかも? という話をします ここからは 13
CloudTrail Lakeの独⾃機能:イベントデータストア 14 ログがイベントデータストア(AWS管理の独⾃ストレージ)に保存される
CloudTrail Lakeの独⾃機能:クエリエディタ 15 CloudTrailのマネコンソールからクエリ可能、Athenaは不要
細かい設定なしで、ログの可視化が可能 CloudTrail Lakeの独⾃機能:ダッシュボード 16
CloudTrail Lakeの料⾦ 17 • データ取り込み ◦ 7年保存:〜2.5 USD/GB(ログ量によって安くなる) ◦ 1年保存:0.75
USD/GB(固定) • データ保持 ◦ 無料(取り込み料⾦に含まれる) • データクエリ ◦ 0.005 USD/GB(Athenaと同じ) ※上記は、イベントデータストアを管理するアカウントのみで発⽣する https://aws.amazon.com/jp/cloudtrail/pricing/
CloudTrail Lakeによる「統制」 18 そもそもリソースが存在しないので、勝⼿に設定変更できない
CloudTrail Lakeの「コスト」 19 コストは管理アカウントのみで発⽣、他のアカウントでの個別の証跡管理が無料
CloudTrail Lakeによる「運⽤」 20 組み込まれたクエリエディタで、ログが閲覧可能 (運⽤コストなし)
CloudTrail Lakeの直近のアップデート 21 • ダッシュボードの拡充(2024年11⽉) ◦ ハイライト、マネージドダッシュボード、カスタムダッシュボードが追加 • リソースベースポリシーによるクロスアカウントアクセス(2024年11⽉) ◦
イベントデータストアへの他アカウントからのアクセス許可が可能に ◦ ただし、現状は管理者向けのアクセス許可の仕様 • ⽣成AIによる⾃然⾔語からのクエリ⽣成、結果の分析(2024年11⽉) ◦ クエリエディタから⾃然⾔語でクエリ⽣成できる ◦ ハイライトダッシュボードでクエリ結果分析が可能に ◦ 上記は現在⽇本語⾮対応(英語のみ)
CloudTrail Lakeに改善してほしいこと 22 • コストをもっとお安く...! ◦ 安くなったけど、やっぱりまだちょっと⾼い • リソースベースポリシーをより細かく制御したい ◦
イベントデータストアを共有すると全部⾒えてしまう • ⽣成AIによるクエリ⽣成で⽇本語をサポートしてほしい ◦ 英語でのクエリ⽣成のなかなか良いので、尚更ほしい
まとめ:私がCloudTrail Lakeをおすすめする理由 23 • 統制 ◦ 管理アカウントでのみ変更が可能(他アカウントでの変更は構成上できない) • コスト ◦
管理アカウントのみに集約できる(他アカウントは無料) • 運⽤ ◦ クエリや可視化が管理コストなしで利⽤可能(AthenaやQuickSightが不要) • その他 ◦ 定期的にアップデートされている シングルアカウントでも使えます。まずは試しに使ってみてほしいです!!
参考:以前似たような話をした時の資料 24 CloudTrail、CloudTrail Lake、Security Lakeを様々な⾯で⽐較しています https://dev.classmethod.jp/articles/marucla2-cloudtrail-management-in-multiaccount/
None
hiashisan
nobutomurata
nikkei_engineer_recruiting
masahirokawahara
stefafafan
cscengineer
kairim0
kinunori
line_developers_tw
tosho
dak2
shoota
seike460
lauravandoore
skoyamalab
chrislema
erikaheidi
akihiro_kokubo
iamctodd
codingconduct
jcasabona
lynnandtonic
aki_iinuma
denniskardys
destraynor
