CloudTrail 証跡コストの管理

証 CloudTrail 跡は、コスト効率を維持しながら、必要なデータをキャプチャする方法で設定および管理できます。 CloudTrail 料金の詳細については、「 の料金AWS CloudTrail」を参照してください。

証跡の設定

CloudTrail は、アカウントで証跡を設定する方法に柔軟性を提供します。セットアッププロセス中に行う決定によっては、 CloudTrail 請求書への影響を理解する必要があります。以下は、証跡設定が CloudTrail 請求にどのように影響するかの例です。

複数の証跡の作成

各リージョン内の管理イベントの最初のコピーは無料で配信されます。例えば、アカウントに 2 つの単一リージョンの証跡、 の証跡us-east-1、および の別の証跡がある場合us-west-2、各リージョンに 1 つの証跡ログイベントしかないため、 CloudTrail 料金は発生しません。ただし、アカウントにマルチリージョンの証跡と追加の単一リージョンの証跡がある場合、マルチリージョンの証跡はすでに各リージョンのイベントをログ記録しているため、単一リージョンの証跡には料金が発生します。

同じ管理イベントを他の宛先に配信する証跡をさらに作成した場合、それ以降の配信には CloudTrail コストが発生します。これにより、異なるユーザーグループ (デベロッパー、セキュリティ担当者、IT 監査人など) が独自のログファイルのコピーを受け取ることができます。データイベントの場合、最初の配信を含むすべての配信に CloudTrail コストが発生します。

証跡をさらに追加するときは、ログに精通し、アカウントのリソースによって生成されるイベントのタイプとボリュームを理解することが特に重要です。これにより、アカウントに関連付けられるイベントの量を予測し、証跡のコストを計画できます。例えば、S3 バケットで AWS KMSマネージドサーバー側の暗号化 (SSE-KMS) を使用すると、 で多数の AWS KMS 管理イベントが発生する可能性があります CloudTrail。複数の証跡にまたがるイベントの量が大きくなった場合も、コストに影響する可能性があります。

証跡に記録されるイベントの数を制限するために、証跡の作成 AWS KMS ページまたは証跡の更新ページでAPIイベントを除外または Amazon RDS データイベントを除外を選択して、 または Amazon RDS データAPIイベントをフィルタリングできます。 AWS KMS 基本のイベントセレクターを使用する場合は、管理イベントのみをフィルタリングできます。高度なイベントセレクタを使用すれば、管理イベントとデータイベントの両方をフィルタリングできます。

高度なイベントセレクタを使用して、eventName、、resources.ARNおよび readOnlyフィールドに基づいてデータイベントを含めたり除外したりできるため、目的のデータイベントのみをログ記録できます。詳細については、「高度なイベントセレクタを使用したデータイベントのフィルタリング」を参照してください。

証跡の作成と更新の詳細情報については、本ガイドの「 CloudTrail コンソールを使用した証跡の作成」または「 CloudTrail コンソールを使用した証跡の更新」を参照してください。

AWS Organizations

で Organizations 証跡を設定すると CloudTrail、 は証跡を組織内の各メンバーアカウントに CloudTrail レプリケートします。メンバーアカウントの既存の証跡に加えて、新しい証跡が作成されます。組織の証跡の設定がすべてのアカウントに伝達されるため、組織の証跡の設定が組織内のすべてのアカウントの証跡の設定と一致していることを確認します。

Organizations は各メンバーアカウントに証跡を作成するため、Organizations 証跡と同じ管理イベントを収集する追加の証跡を作成する個々のメンバーアカウントは、イベントの 2 番目のコピーを収集します。アカウントは 2 番目のコピーに対して課金されます。同様に、アカウントにマルチリージョンの証跡があり、単一のリージョンに 2 番目の証跡を作成し、マルチリージョンの証跡と同じ管理イベントを収集する場合、単一リージョンの証跡はイベントの 2 番目のコピーを配信します。2 番目のコピーでは、料金が発生します。

以下も参照してください。

• AWS CloudTrail の料金

• によるコストの管理 AWS Budgets

• Cost Explorer を開始する

• 組織の証跡の作成を準備する