AWSではリソースに対しての操作を記録・監視するサービスが提供されている。
AWS CloudWatch
AWSリソースやアプリケーションの監視を行うサービスである。
代表的な監視対象として、ルートアカウントでのマネジメントコンソールのログイン操作があげられる。
| 機能 | 内容 |
|---|---|
| CloudWatch Logs | ログの監視、保存、アクセスを行う。 |
| CloudWatch Metrics | 監視対象リソースのメトリクスの収集、集計、可視化を行う。 |
| CloudWatch Events | イベントやスケジュールを処理の実行契機にして、後続処理を実行させられる。 |
AWS CloudTrail
AWSサービスの操作の監視を行うサービスである。(Trail:痕跡)
I AM の操作履歴を取得することで、いつ/誰が/どのリソースに/何をしたか 記録できる。 CloudWatchとの連携が可能であり、CloudTrail で記録したアクティビティログを連動し、CloudWatch上でAWSへの操作を監視することができる。
AWS Config
AWSリソースの構成管理と変更の監視を行うサービスである。
変更がルールに準拠したものではない場合に「非準拠」として記録される。
セキュリティグループの設定の変更や、新たに作成したS3バケットにバージョン管理が有効になっているかなどを監視する。 AWSリソースに対してタグを付与している場合、付与漏れがないかをチェックする。
| 機能 | 内容 |
|---|---|
| Config | リソースの構成管理 |
| Config Rules | リソースのコンプライアンス(ルール)の準拠状況の評価・チェック |
