Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OpsJAWS34_CloudTrailLake_for_Organizations
Search
h-ashisan
April 21, 2025
Technology
920
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OpsJAWS34_CloudTrailLake_for_Organizations
h-ashisan
April 21, 2025
More Decks by h-ashisan
See All by h-ashisan
regrowth_tokyo_2025_securityagent
hiashisan
0
690
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
470
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.7k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
850
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
840
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
890
20240724_cm_odyssey_hibiyatech
hiashisan
0
640
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1.5k
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
940
Other Decks in Technology
See All in Technology
200個のGitHubリポジトリを横断調査したかった
icck
0
140
AIAU_UMEMOGU_ninomiya_slide
ninomiya_ii
0
240
現場のトークンマネジメント
dak2
0
140
AI-DLCを “そのまま導入しなかった”話 ~組織に合わせてアジャストした 私たちの実践共有~
hiroramos4
PRO
1
240
手塩にかけりゃいいってもんじゃない
ming_ayami
0
610
脆弱性対応、どこで線を引くか
rymiyamoto
1
420
インシデントレスポンス演習 I / Incident Response Exercise I
ks91
PRO
0
100
Kiroで書いた 設計書 が AI レビューの 採点基準 になる
ezaki
0
130
Agent Skills設計で柔軟性と硬さのバランスが難しい話
nassy20
0
150
入門!AWS Blocks
ysuzuki
1
160
自宅LLMの話
jacopen
1
670
攻撃者視点で考えるDetection Engineering
cryptopeg
3
2k
Featured
See All Featured
Bash Introduction
62gerente
615
220k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
5.9k
We Have a Design System, Now What?
morganepeng
55
8.2k
Money Talks: Using Revenue to Get Sh*t Done
nikkihalliwell
0
250
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
170
Visualization
eitanlees
152
17k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
220
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
850
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
150
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.9k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
330
Transcript
クラスメソッド株式会社 あしさん(芦沢広昭) Organizations環境の証跡管理に「CloudTrail Lake」を おすすめする理由 2024-04-16 Ops-JAWS Meetup34 Organizations & ControlTower
⾃⼰紹介 2 • 〜2021年8⽉まで 独⽴系SIer ◦ 客先常駐でインフラエンジニア(OS)、AWSなし • 2021年9⽉ クラスメソッド⼊社 • 2022年6⽉ マルチアカウント案件に初めて関わる
◦ 「Organizations..? Control Tower..?」 • 〜2024年 マルチアカウント関連のアウトプット多め ◦ 「マルチアカウント関連サービスならまかせろ」 • 2024年3⽉ 2024 Japan AWS Top Engineers(Security) に ◦ 「マルチアカウント関連サービスのおかげ!!!」 • 所属 ◦ クラスメソッド株式会社 • 名前(ニックネーム) ◦ 芦沢 広昭(あしさん) • 普段の業務 ◦ AWSインフラ設計構築‧コンサル • 趣味 ◦ ライブに⾏くこと (⾳楽、お笑い) ◦ ゲーム (MHWs)
Organizations/Control Tower環境で 「必ず」話題になる(と思っている) CloudTrail管理 についての話をします 本⽇は 3
AWS CloudTrail とは? 4 AWSアカウント内のAPIアクティビティを イベントログとして記録‧保存するサービス → AWSの業務監査‧リスク監査の実現、ガバナンスの基本
AWSアカウント上で 「誰が」「いつ」「何をしたか」 を記録するサービス もっとざっくりした説明 5
マルチアカウント環境のCloudTrail 管理によく使う設定 6 証跡:CloudTrailイベントをS3などの永続ストレージに出⼒する設定 組織の証跡:CloudTrail証跡をOrganizations組織内の全アカウントに作成する機能
Organizations環境の証跡管理で考慮すべきこと 7 • 統制 • コスト • 運⽤
CloudTrailの取得設定を、勝⼿に変更させたくない 証跡管理における「統制」 8
証跡管理における「コスト」 9 CloudTrailの設定によって、余計なコストを発⽣させたくない
証跡管理における「運⽤」 10 過去のCloudTrailログを閲覧させる時、Athenaの管理コストが発⽣
Organizations環境の証跡管理における「課題」 11 • 統制: 設定によっては勝⼿に変更されてしまう可能性 • コスト: 証跡の重複で他アカウントでコストが発⽣ • 運⽤:
ログ閲覧⽤Athenaの管理コストが発⽣
参考:「組織の証跡」利⽤におけるデメリット 12 Org管理のCloudTraill 証跡の重複による「想定外」のコスト増の可能性 https://dev.classmethod.jp/articles/costs-cloudtrail-after-update-ct-landing-zone/
CloudTrail Lakeなら解決できるかも? という話をします ここからは 13
CloudTrail Lakeの独⾃機能:イベントデータストア 14 ログがイベントデータストア(AWS管理の独⾃ストレージ)に保存される
CloudTrail Lakeの独⾃機能:クエリエディタ 15 CloudTrailのマネコンソールからクエリ可能、Athenaは不要
細かい設定なしで、ログの可視化が可能 CloudTrail Lakeの独⾃機能:ダッシュボード 16
CloudTrail Lakeの料⾦ 17 • データ取り込み ◦ 7年保存:〜2.5 USD/GB(ログ量によって安くなる) ◦ 1年保存:0.75
USD/GB(固定) • データ保持 ◦ 無料(取り込み料⾦に含まれる) • データクエリ ◦ 0.005 USD/GB(Athenaと同じ) ※上記は、イベントデータストアを管理するアカウントのみで発⽣する https://aws.amazon.com/jp/cloudtrail/pricing/
CloudTrail Lakeによる「統制」 18 そもそもリソースが存在しないので、勝⼿に設定変更できない
CloudTrail Lakeの「コスト」 19 コストは管理アカウントのみで発⽣、他のアカウントでの個別の証跡管理が無料
CloudTrail Lakeによる「運⽤」 20 組み込まれたクエリエディタで、ログが閲覧可能 (運⽤コストなし)
CloudTrail Lakeの直近のアップデート 21 • ダッシュボードの拡充(2024年11⽉) ◦ ハイライト、マネージドダッシュボード、カスタムダッシュボードが追加 • リソースベースポリシーによるクロスアカウントアクセス(2024年11⽉) ◦
イベントデータストアへの他アカウントからのアクセス許可が可能に ◦ ただし、現状は管理者向けのアクセス許可の仕様 • ⽣成AIによる⾃然⾔語からのクエリ⽣成、結果の分析(2024年11⽉) ◦ クエリエディタから⾃然⾔語でクエリ⽣成できる ◦ ハイライトダッシュボードでクエリ結果分析が可能に ◦ 上記は現在⽇本語⾮対応(英語のみ)
CloudTrail Lakeに改善してほしいこと 22 • コストをもっとお安く...! ◦ 安くなったけど、やっぱりまだちょっと⾼い • リソースベースポリシーをより細かく制御したい ◦
イベントデータストアを共有すると全部⾒えてしまう • ⽣成AIによるクエリ⽣成で⽇本語をサポートしてほしい ◦ 英語でのクエリ⽣成のなかなか良いので、尚更ほしい
まとめ:私がCloudTrail Lakeをおすすめする理由 23 • 統制 ◦ 管理アカウントでのみ変更が可能(他アカウントでの変更は構成上できない) • コスト ◦
管理アカウントのみに集約できる(他アカウントは無料) • 運⽤ ◦ クエリや可視化が管理コストなしで利⽤可能(AthenaやQuickSightが不要) • その他 ◦ 定期的にアップデートされている シングルアカウントでも使えます。まずは試しに使ってみてほしいです!!
参考:以前似たような話をした時の資料 24 CloudTrail、CloudTrail Lake、Security Lakeを様々な⾯で⽐較しています https://dev.classmethod.jp/articles/marucla2-cloudtrail-management-in-multiaccount/
None
hiashisan
icck
ninomiya_ii
dak2
hiroramos4
ming_ayami
rymiyamoto
ks91
ezaki
nassy20
ysuzuki
jacopen
cryptopeg
62gerente
jcasabona
aleyda
morganepeng
nikkihalliwell
marketingsoph
eitanlees
.png){kind=avatar}
helenjbeal
baasie
akademiya2063
jnunemaker
tammyeverts
