AWS Config でカスタム修復ルール CloudTrail を使用して AWS を自動的に再有効化する AWS Config

作成者: Manigandan Shri (AWS)

環境:本稼働

テクノロジー: インフラストラクチャ、運用、セキュリティ、アイデンティティ、コンプライアンス

AWS サービス: Amazon S3、AWS ConfigAWS KMS、AWS Identity and Access ManagementAWS Systems ManagerAWS CloudTrail

[概要]

Amazon Web Services (AWS) アカウントのアクティビティを可視化することは、セキュリティと運用の重要なベストプラクティスです。AWS CloudTrail は、アカウントのガバナンス、コンプライアンス、運用およびリスクの監査に役立ちます。

アカウントでを有効に CloudTrail しておくために、AWS Config は cloudtrail-enabledマネージドルールを提供します。をオフにすると、cloudtrail-enabledルール CloudTrail は自動修復を使用して自動的に再有効化します。

ただし、自動修復 CloudTrail を使用する場合は、のセキュリティのベストプラクティスに従う必要があります。これらのベストプラクティスには、すべての AWS リージョン CloudTrail でのの有効化、読み取りおよび書き込みワークロードのログ記録、インサイトの有効化、AWS Key Management Service (AWS KMS) マネージドキー (SSE-KMS) を使用したサーバー側の暗号化によるログファイルの暗号化が含まれます。

このパターンは、アカウント CloudTrail でを自動的に再度有効にするカスタム修復アクションを提供することで、これらのセキュリティのベストプラクティスに従うのに役立ちます。

重要: のサービスコントロールポリシー (SCPsを使用して、の改ざんを防ぐことをお勧めします CloudTrail。詳細については、AWS セキュリティブログの「AWS Organizations を使用して大規模なセキュリティを簡素化する方法」の「AWS による改ざんを防ぐ CloudTrailAWS Organizations」セクションを参照してください。

前提条件と制限

前提条件

アクティブな AWS アカウント
AWS Systems Manager Automation ランブックを作成するための権限
アカウントの既存の証跡

制限

このパターンでは、以下のアクションはサポートされていません。

ストレージロケーションの Amazon Simple Storage Service (Amazon S3) プレフィックスキーの設定
Amazon Simple Notiﬁcation Service (Amazon SNS)トピックへの公開
CloudTrail ログをモニタリングするための Amazon CloudWatch Logs の設定

アーキテクチャ

AWS Config でカスタム修復ルール CloudTrail を使用して AWS を再度有効にするワークフロー AWS Config

テクノロジースタック

AWS Config
CloudTrail
Systems Manager
Systems Manager Automation

ツール

AWS Config は、アカウントの AWS のリソースの設定を詳細に表示します。
AWS CloudTrail は、アカウントのガバナンス、コンプライアンス、運用およびリスクの監査を可能にするのに役立ちます。
AWS Key Management Service (AWS KMS) は、暗号化およびキー管理サービスです。
AWS Systems Manager は、AWS 上のインフラストラクチャを表示および制御するのに役立ちます。
AWS Systems Manager Automation は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスおよびその他の AWS リソースの一般的なメンテナンスおよびデプロイメントタスクを簡素化します。
Amazon Simple Storage Service (Amazon S3) は、任意の量のデータを保存、保護、取得する上で役立つクラウドベースのオブジェクトストレージサービスです。

コード

cloudtrail-remediation-action.yml ファイル (添付) は、セキュリティのベストプラクティス CloudTrail を使用してセットアップおよび再有効化する Systems Manager Automation ランブックを作成するのに役立ちます。

エピック

タスク	説明	必要なスキル
S3 バケットを作成する。	AWS マネジメントコンソールにサインインし、Amazon S3 コンソールを開き、 CloudTrail ログを保存する S3 バケットを作成します。詳細については、Amazon S3 ドキュメントの「バケットの作成」を参照してください。	システム管理者
がログファイルを S3 バケットに配信 CloudTrail できるようにするバケットポリシーを追加します。	CloudTrail には、ログファイルを S3 バケットに配信するために必要なアクセス許可が必要です。Amazon S3 コンソールで、前に作成した S3 バケットを選択してから、[アクセス権限] を選択します。 CloudTrail ドキュメントのの Amazon S3 バケットポリシーを使用して、S3 バケットポリシーを作成します。 Amazon S3 CloudTrail S3 バケットにポリシーを追加する手順については、Amazon S3 ドキュメントの「Amazon S3 コンソールを使用したバケットポリシーの追加」を参照してください。重要: で証跡を作成したときにプレフィックスを指定した場合は CloudTrail、必ずそれを S3 バケットポリシーに含めてください。プレフィックスは、S3 バケットにフォルダのような組織を作成する S3 オブジェクトキーへのオプションの追加です。詳細については、 CloudTrail ドキュメントの「証跡の作成」を参照してください。	システム管理者
KMS キーを作成します。	の AWS KMS キーを作成して、オブジェクト CloudTrail を S3 バケットに追加する前に暗号化します。このストーリーについては、 CloudTrail ドキュメントの「AWS KMS マネージドキー (SSE-KMS) による CloudTrail ログファイルの暗号化」を参照してください。	システム管理者
キーポリシーを KMS キーに追加します。	が KMS キーを使用 CloudTrail できるように KMS キーポリシーをアタッチします。このストーリーについては、 CloudTrail ドキュメントの「AWS KMS マネージドキー (SSE-KMS) による CloudTrail ログファイルの暗号化」を参照してください。重要: CloudTrail アクセス`Decrypt`許可は必要ありません。	システム管理者
Systems Manager ランブック AssumeRole 用にを作成する	Systems Manager オートメーション用の `AssumeRole` を作成して、ランブックを実行します。手順と詳細については、Systems Manager ドキュメントの「オートメーションの設定」を参照してください。	システム管理者

タスク	説明	必要なスキル
Systems Manager Automation ランブックの作成	`cloudtrail-remediation-action.yml` ファイル (添付) を使用して Systems Manager Automation ランブックを作成します。この件の詳細は、「SSM ドキュメントコンテンツを作成する」を参照してください。	システム管理者
ランブックをテストしてください。	Systems Manager コンソールで、前に作成した Systems Manager 自動化ランブックをテストします。この件の詳細は、Systems Manager のドキュメントで「シンプルなオートメーションを実行する」を参照してください。	システム管理者

タスク説明必要なスキル

タスク	説明	必要なスキル
CloudTrailが有効なルールを追加します。	AWS Config コンソールで [ルール] を選択し、[ルールを追加] を選択します。[Add rule(ルールの追加)] ページで、[Add custom rule (カスタムルールの追加)] を選択します。[ルールの設定] ページで、名前と説明を入力し、`cloudtrail-enabled` ルールを追加します。詳細については、AWS Config ドキュメントで「AWS Config ルールの追加、更新、削除」を参照してください。	システム管理者
自動修復アクションを追加します。	[アクション] ドロップダウンリストから、[修復の管理] を選択します。[自動修復] を選択し、先ほど作成した Systems Manager ランブックを選択します。以下は、に必要な入力パラメータです CloudTrail。 `CloudTrailName` `CloudTrailS3BucketName` `CloudTrailKmsKeyId` `AssumeRole` (オプション) 次の入力パラメータはデフォルトで true に設定されています。 `IsMultiRegionTrail` `IsOrganizationTrail` `IncludeGlobalServiceEvents` `EnableLogFileValidation` [Rate Limits パラメータ] と [Resource ID パラメータ] はデフォルト値のままにします。[保存] を選択します。詳細については、AWS Config ドキュメントで「AWS Config ルールによる非準拠リソースの修復」を参照してください。	システム管理者
自動修復ルールをテストします。	自動修復ルールをテストするには、 CloudTrail コンソールを開き、証跡を選択し、証跡を選択します。証跡のログ記録をオフにするには、[ログ記録を停止] を選択します。確認を求められたら、その証跡のログ記録を停止. CloudTrail stops アクティビティを選択します。 AWS Config ドキュメントの「リソースの評価」の指示に従って、が自動的に再有効化 CloudTrail されたことを確認します。	システム管理者

CloudTrailが有効なルールを追加します。

AWS Config コンソールで [ルール] を選択し、[ルールを追加] を選択します。[Add rule(ルールの追加)] ページで、[Add custom rule (カスタムルールの追加)] を選択します。[ルールの設定] ページで、名前と説明を入力し、cloudtrail-enabled ルールを追加します。詳細については、AWS Config ドキュメントで「AWS Config ルールの追加、更新、削除」を参照してください。

システム管理者

自動修復アクションを追加します。

[アクション] ドロップダウンリストから、[修復の管理] を選択します。[自動修復] を選択し、先ほど作成した Systems Manager ランブックを選択します。

以下は、に必要な入力パラメータです CloudTrail。

CloudTrailName
CloudTrailS3BucketName
CloudTrailKmsKeyId
AssumeRole (オプション)

次の入力パラメータはデフォルトで true に設定されています。

IsMultiRegionTrail
IsOrganizationTrail
IncludeGlobalServiceEvents
EnableLogFileValidation

[Rate Limits パラメータ] と [Resource ID パラメータ] はデフォルト値のままにします。[保存] を選択します。

詳細については、AWS Config ドキュメントで「AWS Config ルールによる非準拠リソースの修復」を参照してください。

システム管理者

自動修復ルールをテストします。

自動修復ルールをテストするには、 CloudTrail コンソールを開き、証跡を選択し、証跡を選択します。証跡のログ記録をオフにするには、[ログ記録を停止] を選択します。確認を求められたら、その証跡のログ記録を停止. CloudTrail stops アクティビティを選択します。

AWS Config ドキュメントの「リソースの評価」の指示に従って、が自動的に再有効化 CloudTrail されたことを確認します。

システム管理者

添付ファイル

このドキュメントに関連する追加コンテンツにアクセスするには、次のファイルを解凍してください。「attachment.zip」

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon Inspector を使用してクロスアカウントワークロードのセキュリティスキャンを自動化

暗号化されていない Amazon RDS DB インスタンスとクラスターを自動的に修正する

AWS Config でカスタム修復ルール CloudTrail を使用して AWS を自動的に再有効化する AWS Config

[概要]

前提条件と制限

アーキテクチャ

ツール

エピック

関連リソース

添付ファイル