OpsJAWS34_CloudTrailLake_for_Organizations

Transcript

1. クラスメソッド株式会社 あしさん(芦沢広昭) Organizations環境の証跡管理に「CloudTrail Lake」を おすすめする理由 2024-04-16 Ops-JAWS Meetup34 Organizations & ControlTower

2. ⾃⼰紹介 2 • 〜2021年8⽉まで 独⽴系SIer ◦ 客先常駐でインフラエンジニア(OS)、AWSなし • 2021年9⽉ クラスメソッド⼊社 • 2022年6⽉ マルチアカウント案件に初めて関わる

   ◦ 「Organizations..? Control Tower..?」 • 〜2024年 マルチアカウント関連のアウトプット多め ◦ 「マルチアカウント関連サービスならまかせろ」 • 2024年3⽉ 2024 Japan AWS Top Engineers(Security) に ◦ 「マルチアカウント関連サービスのおかげ！！！」 • 所属 ◦ クラスメソッド株式会社 • 名前（ニックネーム） ◦ 芦沢 広昭（あしさん） • 普段の業務 ◦ AWSインフラ設計構築‧コンサル • 趣味 ◦ ライブに⾏くこと (⾳楽、お笑い) ◦ ゲーム (MHWs)

3. Organizations/Control Tower環境で 「必ず」話題になる（と思っている） CloudTrail管理 についての話をします 本⽇は 3

4. AWS CloudTrail とは？ 4 AWSアカウント内のAPIアクティビティを イベントログとして記録‧保存するサービス → AWSの業務監査‧リスク監査の実現、ガバナンスの基本

5. AWSアカウント上で 「誰が」「いつ」「何をしたか」 を記録するサービス もっとざっくりした説明 5

6. マルチアカウント環境のCloudTrail 管理によく使う設定 6 証跡：CloudTrailイベントをS3などの永続ストレージに出⼒する設定 組織の証跡：CloudTrail証跡をOrganizations組織内の全アカウントに作成する機能

7. Organizations環境の証跡管理で考慮すべきこと 7 • 統制 • コスト • 運⽤

8. CloudTrailの取得設定を、勝⼿に変更させたくない 証跡管理における「統制」 8

9. 証跡管理における「コスト」 9 CloudTrailの設定によって、余計なコストを発⽣させたくない

10. 証跡管理における「運⽤」 10 過去のCloudTrailログを閲覧させる時、Athenaの管理コストが発⽣

11. Organizations環境の証跡管理における「課題」 11 • 統制： 設定によっては勝⼿に変更されてしまう可能性 • コスト： 証跡の重複で他アカウントでコストが発⽣ • 運⽤：

    ログ閲覧⽤Athenaの管理コストが発⽣

12. 参考：「組織の証跡」利⽤におけるデメリット 12 Org管理のCloudTraill 証跡の重複による「想定外」のコスト増の可能性 https://dev.classmethod.jp/articles/costs-cloudtrail-after-update-ct-landing-zone/

13. CloudTrail Lakeなら解決できるかも？ という話をします ここからは 13

14. CloudTrail Lakeの独⾃機能：イベントデータストア 14 ログがイベントデータストア（AWS管理の独⾃ストレージ）に保存される

15. CloudTrail Lakeの独⾃機能：クエリエディタ 15 CloudTrailのマネコンソールからクエリ可能、Athenaは不要

16. 細かい設定なしで、ログの可視化が可能 CloudTrail Lakeの独⾃機能：ダッシュボード 16

17. CloudTrail Lakeの料⾦ 17 • データ取り込み ◦ 7年保存：〜2.5 USD/GB（ログ量によって安くなる） ◦ 1年保存：0.75

    USD/GB（固定） • データ保持 ◦ 無料（取り込み料⾦に含まれる） • データクエリ ◦ 0.005 USD/GB（Athenaと同じ） ※上記は、イベントデータストアを管理するアカウントのみで発⽣する https://aws.amazon.com/jp/cloudtrail/pricing/

18. CloudTrail Lakeによる「統制」 18 そもそもリソースが存在しないので、勝⼿に設定変更できない

19. CloudTrail Lakeの「コスト」 19 コストは管理アカウントのみで発⽣、他のアカウントでの個別の証跡管理が無料

20. CloudTrail Lakeによる「運⽤」 20 組み込まれたクエリエディタで、ログが閲覧可能 (運⽤コストなし)

21. CloudTrail Lakeの直近のアップデート 21 • ダッシュボードの拡充（2024年11⽉） ◦ ハイライト、マネージドダッシュボード、カスタムダッシュボードが追加 • リソースベースポリシーによるクロスアカウントアクセス（2024年11⽉） ◦

    イベントデータストアへの他アカウントからのアクセス許可が可能に ◦ ただし、現状は管理者向けのアクセス許可の仕様 • ⽣成AIによる⾃然⾔語からのクエリ⽣成、結果の分析（2024年11⽉） ◦ クエリエディタから⾃然⾔語でクエリ⽣成できる ◦ ハイライトダッシュボードでクエリ結果分析が可能に ◦ 上記は現在⽇本語⾮対応（英語のみ）

22. CloudTrail Lakeに改善してほしいこと 22 • コストをもっとお安く...! ◦ 安くなったけど、やっぱりまだちょっと⾼い • リソースベースポリシーをより細かく制御したい ◦

    イベントデータストアを共有すると全部⾒えてしまう • ⽣成AIによるクエリ⽣成で⽇本語をサポートしてほしい ◦ 英語でのクエリ⽣成のなかなか良いので、尚更ほしい

23. まとめ：私がCloudTrail Lakeをおすすめする理由 23 • 統制 ◦ 管理アカウントでのみ変更が可能（他アカウントでの変更は構成上できない） • コスト ◦

    管理アカウントのみに集約できる（他アカウントは無料） • 運⽤ ◦ クエリや可視化が管理コストなしで利⽤可能（AthenaやQuickSightが不要） • その他 ◦ 定期的にアップデートされている シングルアカウントでも使えます。まずは試しに使ってみてほしいです！！

24. 参考：以前似たような話をした時の資料 24 CloudTrail、CloudTrail Lake、Security Lakeを様々な⾯で⽐較しています https://dev.classmethod.jp/articles/marucla2-cloudtrail-management-in-multiaccount/

25. None