Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OpsJAWS34_CloudTrailLake_for_Organizations
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
h-ashisan
April 21, 2025
Technology
900
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OpsJAWS34_CloudTrailLake_for_Organizations
h-ashisan
April 21, 2025
More Decks by h-ashisan
See All by h-ashisan
regrowth_tokyo_2025_securityagent
hiashisan
0
690
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
460
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.7k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
840
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
830
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
890
20240724_cm_odyssey_hibiyatech
hiashisan
0
630
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1.5k
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
940
Other Decks in Technology
See All in Technology
タクシーアプリ『GO』の実践的データ活用
mot_techtalk
3
190
Dario Amodi『Policy on the AI Exponential』を理解する
nagatsu
0
230
なぜ Platform Engineering の土台に Kubernetes を選ぶのか
r4ynode
2
590
Kubernetesにおける学習基盤とLLMOpsの概要
ry
1
250
EventBridge Connection
_kensh
5
700
フロンティアAIのゲート化と地政学リスク
nagatsu
0
130
2026TECHFRESH畢業分享會 - AI 時代的人生存檔點
line_developers_tw
PRO
0
870
FDE という解 ― 暗黙知と明示知をつなぐ、伴走型エンジニアリング ―
otanet
0
140
白金鉱業Meetup_Vol.24_「AIエージェントは分けるほど良い」は本当か? / Is it true that “the more you divide AI agents, the better”?
brainpadpr
1
310
NAB Show 2026 動画技術関連レポート / NAB Show 2026 Report
cyberagentdevelopers
PRO
0
170
チームで進めるAI駆動アジャイル×ウォーターフォール
kumaiu
0
150
ポケモンの型をTypeScriptの型システムで表現してみた
subroh0508
0
370
Featured
See All Featured
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
1
540
From π to Pie charts
rasagy
0
210
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
Chasing Engaging Ingredients in Design
codingconduct
0
220
The Illustrated Children's Guide to Kubernetes
chrisshort
51
52k
It's Worth the Effort
3n
188
29k
WENDY [Excerpt]
tessaabrams
11
38k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
160
Documentation Writing (for coders)
carmenintech
77
5.4k
How to make the Groovebox
asonas
2
2.2k
First, design no harm
axbom
PRO
2
1.2k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
287
14k
Transcript
クラスメソッド株式会社 あしさん(芦沢広昭) Organizations環境の証跡管理に「CloudTrail Lake」を おすすめする理由 2024-04-16 Ops-JAWS Meetup34 Organizations & ControlTower
⾃⼰紹介 2 • 〜2021年8⽉まで 独⽴系SIer ◦ 客先常駐でインフラエンジニア(OS)、AWSなし • 2021年9⽉ クラスメソッド⼊社 • 2022年6⽉ マルチアカウント案件に初めて関わる
◦ 「Organizations..? Control Tower..?」 • 〜2024年 マルチアカウント関連のアウトプット多め ◦ 「マルチアカウント関連サービスならまかせろ」 • 2024年3⽉ 2024 Japan AWS Top Engineers(Security) に ◦ 「マルチアカウント関連サービスのおかげ!!!」 • 所属 ◦ クラスメソッド株式会社 • 名前(ニックネーム) ◦ 芦沢 広昭(あしさん) • 普段の業務 ◦ AWSインフラ設計構築‧コンサル • 趣味 ◦ ライブに⾏くこと (⾳楽、お笑い) ◦ ゲーム (MHWs)
Organizations/Control Tower環境で 「必ず」話題になる(と思っている) CloudTrail管理 についての話をします 本⽇は 3
AWS CloudTrail とは? 4 AWSアカウント内のAPIアクティビティを イベントログとして記録‧保存するサービス → AWSの業務監査‧リスク監査の実現、ガバナンスの基本
AWSアカウント上で 「誰が」「いつ」「何をしたか」 を記録するサービス もっとざっくりした説明 5
マルチアカウント環境のCloudTrail 管理によく使う設定 6 証跡:CloudTrailイベントをS3などの永続ストレージに出⼒する設定 組織の証跡:CloudTrail証跡をOrganizations組織内の全アカウントに作成する機能
Organizations環境の証跡管理で考慮すべきこと 7 • 統制 • コスト • 運⽤
CloudTrailの取得設定を、勝⼿に変更させたくない 証跡管理における「統制」 8
証跡管理における「コスト」 9 CloudTrailの設定によって、余計なコストを発⽣させたくない
証跡管理における「運⽤」 10 過去のCloudTrailログを閲覧させる時、Athenaの管理コストが発⽣
Organizations環境の証跡管理における「課題」 11 • 統制: 設定によっては勝⼿に変更されてしまう可能性 • コスト: 証跡の重複で他アカウントでコストが発⽣ • 運⽤:
ログ閲覧⽤Athenaの管理コストが発⽣
参考:「組織の証跡」利⽤におけるデメリット 12 Org管理のCloudTraill 証跡の重複による「想定外」のコスト増の可能性 https://dev.classmethod.jp/articles/costs-cloudtrail-after-update-ct-landing-zone/
CloudTrail Lakeなら解決できるかも? という話をします ここからは 13
CloudTrail Lakeの独⾃機能:イベントデータストア 14 ログがイベントデータストア(AWS管理の独⾃ストレージ)に保存される
CloudTrail Lakeの独⾃機能:クエリエディタ 15 CloudTrailのマネコンソールからクエリ可能、Athenaは不要
細かい設定なしで、ログの可視化が可能 CloudTrail Lakeの独⾃機能:ダッシュボード 16
CloudTrail Lakeの料⾦ 17 • データ取り込み ◦ 7年保存:〜2.5 USD/GB(ログ量によって安くなる) ◦ 1年保存:0.75
USD/GB(固定) • データ保持 ◦ 無料(取り込み料⾦に含まれる) • データクエリ ◦ 0.005 USD/GB(Athenaと同じ) ※上記は、イベントデータストアを管理するアカウントのみで発⽣する https://aws.amazon.com/jp/cloudtrail/pricing/
CloudTrail Lakeによる「統制」 18 そもそもリソースが存在しないので、勝⼿に設定変更できない
CloudTrail Lakeの「コスト」 19 コストは管理アカウントのみで発⽣、他のアカウントでの個別の証跡管理が無料
CloudTrail Lakeによる「運⽤」 20 組み込まれたクエリエディタで、ログが閲覧可能 (運⽤コストなし)
CloudTrail Lakeの直近のアップデート 21 • ダッシュボードの拡充(2024年11⽉) ◦ ハイライト、マネージドダッシュボード、カスタムダッシュボードが追加 • リソースベースポリシーによるクロスアカウントアクセス(2024年11⽉) ◦
イベントデータストアへの他アカウントからのアクセス許可が可能に ◦ ただし、現状は管理者向けのアクセス許可の仕様 • ⽣成AIによる⾃然⾔語からのクエリ⽣成、結果の分析(2024年11⽉) ◦ クエリエディタから⾃然⾔語でクエリ⽣成できる ◦ ハイライトダッシュボードでクエリ結果分析が可能に ◦ 上記は現在⽇本語⾮対応(英語のみ)
CloudTrail Lakeに改善してほしいこと 22 • コストをもっとお安く...! ◦ 安くなったけど、やっぱりまだちょっと⾼い • リソースベースポリシーをより細かく制御したい ◦
イベントデータストアを共有すると全部⾒えてしまう • ⽣成AIによるクエリ⽣成で⽇本語をサポートしてほしい ◦ 英語でのクエリ⽣成のなかなか良いので、尚更ほしい
まとめ:私がCloudTrail Lakeをおすすめする理由 23 • 統制 ◦ 管理アカウントでのみ変更が可能(他アカウントでの変更は構成上できない) • コスト ◦
管理アカウントのみに集約できる(他アカウントは無料) • 運⽤ ◦ クエリや可視化が管理コストなしで利⽤可能(AthenaやQuickSightが不要) • その他 ◦ 定期的にアップデートされている シングルアカウントでも使えます。まずは試しに使ってみてほしいです!!
参考:以前似たような話をした時の資料 24 CloudTrail、CloudTrail Lake、Security Lakeを様々な⾯で⽐較しています https://dev.classmethod.jp/articles/marucla2-cloudtrail-management-in-multiaccount/
None
hiashisan
mot_techtalk
nagatsu
r4ynode
ry
_kensh
line_developers_tw
otanet
brainpadpr
cyberagentdevelopers
kumaiu
subroh0508
honzajavorek
rasagy
jeffersonlam
codingconduct
chrisshort
3n
tessaabrams
techseoconnect
carmenintech
asonas
axbom
stephaniewalter
