AWS Black Belt Online Seminar「AWS CloudTrail & AWS Config」の資料およびQA公開
こんにちは、SAの小川です。
先日開催致しました。AWS BlackBelt オンラインセミナー「AWS CloudTrail & AWS Config」の資料が公開されました。当日頂いたQ&Aの回答とあわせてご紹介させて頂きます。
【Q&A】
Q1. CloudTrailのログをElasticSearch,Kibanaに渡すことはできますか?またその場合のベストプラクティスなどありますか?
A1. はい、可能です。CloudWatch LogsのAction機能から既存のElasticSearch Clusterを選択できます。Webinar資料slide28-30をご参照下さい。一方でCloudWatch Logsに保存されたJSONを一部買うしてES Clusterに挿入する場合は、Lambdaをご利用頂くといいかと思います。
Q2. CloudTrailで吐き出されないサービスなどは何かありますか?
Q2. CloudTrailで吐き出されないサービスなどは何かありますか?
A2. 下記がCloudTraiがサポートするサービスになります。
また上記に記載があるサービスでも、取得しないAPIもございますので、一度ご確認下さい。たとえばCloudWatchはCloudTrailがサポートしていますが、下記APIのみの取得となります。
http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/logging_cw_api_calls.html
Q3. API Lookupと同じようなサービスのパートナーサービスはありますか?
Q3. API Lookupと同じようなサービスのパートナーサービスはありますか?
A3. 基本的にはJSONを格納できれば、度のサービスでもLookupのような使い方が可能です。CloudTrail Partner(Splunk, Sumologic等)のサービスをご利用頂くと、ログを保存後クエリを投げることで必要な情報をむき出すことが可能です。
Q4. AWS Configのトラッキングの料金はどのようになっていますか?
Q4. AWS Configのトラッキングの料金はどのようになっていますか?
A4. AWS Configの場合、AWS ConfigとConfig Rulesで課金の考え方がことなります。 AWS Configの場合、記録される設定項目の数に基づいて、1 回の前払い料金が発生します。Config Rules では、アカウント内のアクティブなルールの数に応じて料金が発生します。詳細は下記をご覧下さい。
A5. あまりないと考えます。AWS Configは課金があるため使い方にも依存します。両サービスとも低価格なものなので一度お試し頂くといいかと思います。AWSの他サービスと同じでオフにして頂けますとそれ以降の課金対象とはなりませんので、ご安心ください。
Q6. Cloud Trail監視を停止を拒否するアクセスポリシー設定できますか。
Q6. Cloud Trail監視を停止を拒否するアクセスポリシー設定できますか。
A6. はい、あります。AWS Config Rules Managed Rulesで提供されています。Managed Rulesのなかに”cloudtrail-enabled”というblueprintがありますのでこちらをご利用下さい。一方でIAMによりそもそもcloudtrailの設定ができないようIAMで縛るのもいいと思います。
以上です。今後のオンラインセミナーの配信予定は下記リンクに記載されております。
ご確認の上、奮ってご参加下さい。引き続きBlackBeltオンラインセミナーをよろしくお願いします。
コメント