AWS Identity and Access Management でのログ記録とモニタリング
モニタリングは、AWS Identity and Access Management(IAM)、AWS Security Token Service (AWS STS) およびその他の AWS ソリューションの信頼性、可用性、およびパフォーマンスを維持するための重要な部分です。AWSは、AWS リソースをモニタリングし、潜在的なインシデントに対応するためのいくつかのツールを提供します。
-
AWS CloudTrail は、IAM および AWS STS のすべての API コールをイベントとしてキャプチャします。これには、コンソールからの呼び出しと API コールからの呼び出しも含まれます。CloudTrail を IAM および AWS STS で使用する方法の詳細については、「AWS CloudTrail による IAM および AWS STS の API コールのログ記録」を参照してください。CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。
-
AWS Identity and Access Management and Access Analyzer の機能は、外部エンティティと共有されている Amazon S3 バケットや IAM ロールなど、組織とアカウントのリソースを識別するのに役立ちます。これにより、セキュリティ上のリスクであるリソースやデータへの意図しないアクセスを特定できます。詳細については、「IAM Access Analyzer とは」を参照してください。
-
Amazon CloudWatch は、AWS のリソースおよび AWS で実行しているアプリケーションをリアルタイムでモニタリングします。メトリクスを収集および追跡し、カスタマイズされたダッシュボードを作成し、指定されたメトリックが指定したしきい値に達したときに通知またはアクションを実行するアラームを設定できます。例えば、CloudWatch で Amazon EC2 インスタンスの CPU 使用率などのメトリクスを追跡し、必要に応じて新しいインスタンスを自動的に起動できます。詳細については、「Amazon CloudWatch ユーザーガイド」を参照してください。
-
[Amazon CloudWatch Logs] は、 Amazon EC2 インスタンス、CloudTrail、およびその他のソースからのログファイルをモニタリング、保存、およびアクセスするのに役立ちます。CloudWatch Logs は、ログファイル内の情報をモニタリングし、特定のしきい値が満たされたときに通知します。高い耐久性を備えたストレージにログデータをアーカイブすることも可能です。詳細については、『Amazon CloudWatch Logs ユーザーガイド』を参照してください。
IAM に関するその他のリソースとセキュリティのベストプラクティスについては、「AWS Identity and Access Management のセキュリティのベストプラクティスとユースケース」を参照してください。