CloudTrail のコストを管理する - AWS CloudTrail

CloudTrail のコストを管理する

ベストプラクティスとして、CloudTrail のコスト管理に役立つ AWS サービスやツールを使用することをお勧めします。また、必要なデータをキャプチャする方法で、高いコスト効率を確保しながら CloudTrail 証跡を設定および管理することもできます。CloudTrail の料金の詳細については、「AWS CloudTrail の料金」を参照してください。

コスト管理に役立つツール

AWS Billing and Cost Management の機能である AWS Budgets では、カスタム予算を設定して、コストまたは使用量が予算額や予算量を超えたとき (あるいは、超えると予測されたとき) にアラートを発信することができます。

複数の証跡またはイベントデータストアを作成する場合、AWS Budgets を使用して CloudTrail の予算を作成することが推奨されるベストプラクティスであり、CloudTrail の支出を追跡するのに役立ちます。コストベースの予算は、CloudTrail の使用に対して請求される可能性がある金額の認識を高めるのに役立ちます。予算アラートは、請求が定義したしきい値に達したときに通知します。予算アラートを受け取ったら、請求サイクルの終了前に変更を加えて、コストを管理できます。

予算を作成したら、AWS Cost Explorer を使用して、CloudTrail のコストがどのように AWS 請求全体に影響しているかを確認できます。AWS Cost Explorer で、CloudTrail を [サービス] フィルターに追加した後、リージョンとアカウントの両方を基準にして、 の使用履歴とMTD (今月の初めから今日まで) の使用量を比較できます。この機能により、毎月の CloudTrail 支出で予想外のコストをモニタリングおよび検出できます。Cost Explorer の追加機能により、特定のリソースレベルで CloudTrail の支出と月額支出を比較し、請求でコストの増加または減少につながっている要因に関する情報を得ることができます。

注記

CloudTrail リソースにタグを適用することはできますが、AWS Billing は現在、トレイルおよび CloudTrail Lake イベントデータストアに適用されたタグをコスト配分に使用することはできません。Cost Explorer は、現在 CloudTrail サービス全体のコストのみを表示でき、個々の CloudTrail リソースに対するコストは表示されません。

AWS Budgets の使用を開始するには、AWS Billing and Cost Management を開き、左のナビゲーションバーの [Budgets] を選択します。CloudTrail の支出を追跡する予算を作成するときは、予算アラートを設定することをお勧めします。AWS Budgets の使用方法の詳細については、「Budgets を使用したコストの管理」および「AWS Budgets のベストプラクティス」を参照してください。

証跡の設定

CloudTrail では、アカウントで証跡を設定する方法を柔軟に選択できます。セットアッププロセス中に行ういくつかの決定では、CloudTrail 請求への影響について理解する必要があります。以下は、証跡の設定が CloudTrail 請求に与える影響の例を示します。

複数の証跡の作成

アカウントの各管理イベントの最初の配信は無料です。同じ管理イベントを他の送信先に配信する証跡を多く作成すると、それ以降の配信に CloudTrail のコストが発生します。これにより、異なるユーザーグループ (デベロッパー、セキュリティ担当者、IT 監査人など) が独自のログファイルのコピーを受け取ることができます。データイベントの場合、最初の配信を含む、すべての配信について CloudTrail のコストが発生します。

証跡をさらに追加するときは、ログに精通し、アカウントのリソースによって生成されるイベントのタイプとボリュームを理解することが特に重要です。これにより、アカウントに関連付けられるイベントの量を予測し、証跡のコストを計画できます。たとえば、S3 バケットで AWS KMS で管理されたサーバー側の暗号化 (SSE-KMS) を使用すると、CloudTrail で多数の AWS KMS 管理イベントが発生する可能性があります。複数の証跡にまたがるイベントの量が大きくなった場合も、コストに影響する可能性があります。

証跡に記録されるイベントの数を制限するには、[Create trail] または [Update trail] ページで [Exclude AWS KMS events] または [Exclude Amazon RDS Data API events] を選択して、AWS KMS または Amazon RDS Data API イベントを除外できます。イベントを除外するオプションは、証跡が管理イベントをログに記録している場合にのみ使用できます。詳細については、このガイドの「証跡の作成」または「証跡の更新」を参照してください。

AWS Organizations

CloudTrail で Organizations 証跡を設定すると、CloudTrail は証跡を組織内の各メンバーアカウントにレプリケートします。メンバーアカウントの既存の証跡に加えて、新しい証跡が作成されます。管理証跡の設定がすべてのアカウントに伝達されるため、管理アカウント証跡の設定が組織内のすべてのアカウントの証跡の設定と一致していることを確認します。

Organizations は各メンバーアカウントに証跡を作成するため、Organizations 証跡と同じ管理イベントを収集する追加の証跡を作成する個々のメンバーアカウントは、イベントの 2 番目のコピーを収集します。アカウントは 2 番目のコピーに対して課金されます。同様に、アカウントにマルチリージョンの証跡があり、単一のリージョンに 2 番目の証跡を作成し、マルチリージョンの証跡と同じ管理イベントを収集する場合、単一リージョンの証跡はイベントの 2 番目のコピーを配信します。2 番目のコピーでは、料金が発生します。

以下も参照してください。