Amazon Simple Storage Service (S3) のバケットレベル操作のトラッキングにAWS CloudTrailを利用する事ができるようになりました。これにより、バケットの作成および削除、アクセス制御への変更、ライフサイクルポリシーの変更、およびクロスリージョンレプリケーション設定変更をトラッキングできるようになりました。
AWS CloudTrailは、AWSアカウント内のAPIアクティビティを記録し、その結果をログファイルとして指定されたS3バケットに記録します。直近7日間のS3リソースの作成、削除および変更に関する履歴データでしたら、CloudTrailコンソールからも確認する事が可能です。また Amazon CloudWatch Alarms を使い特定のAPIアクティビティを監視し、そのAPIがコールされたタイミングでメール通知をつけとる事も可能です。
本日よりS3バケットに対するアクションの記録がすべてのリージョンで可能になりました。すでにCloudTrailを有効にしている場合は、この新機能を利用するために特に追加の設定は必要はありません。CloudTrailを使用していない場合でもほんの数回クリックでそれをオンにすることができます。詳細に関しましてはこちらのブログをご確認ください (AWS CloudTrail – Capture API Activity) 。
このログファイルは色々な用途で利用することが出来ます。例えば、内部または外部のポリシーへの準拠を実証する必要がある場合、その証拠をサポートするものとして使用することができます。また例えばS3バケットにいくつかの重要なファイルを保存する場合、組織内の誰かが、バケットのアクセス制御ポリシーの内容を変更した場合に、CloudWatchアラームを設定することができます。そうすることで、変更がポリシーに準拠していることを確認でき、必要に応じて即時に修正アクションを取れるようになります。
また、バケットの作成および削除、ライフサイクルポリシーの更新、クロスリージョンレプリケーション設定変更の監視も行えます。
--Jeff ((翻訳はPSA 酒徳が担当しました。翻訳元 https://aws.amazon.com/blogs/aws/amazon-s3-update-cloudtrail-integration/)