クラスメソッド株式会社 あしさん(芦沢広昭) Organizations環境の証跡管理に「CloudTrail Lake」を おすすめする理由 2024-04-16 Ops-JAWS Meetup34 Organizations & ControlTower 

⾃⼰紹介 2 ● 〜2021年8⽉まで 独⽴系SIer ○ 客先常駐でインフラエンジニア(OS)、AWSなし ● 2021年9⽉ クラスメソッド⼊社 ● 2022年6⽉ マルチアカウント案件に初めて関わる ○ 「Organizations..? Control Tower..?」 ● 〜2024年 マルチアカウント関連のアウトプット多め ○ 「マルチアカウント関連サービスならまかせろ」 ● 2024年3⽉ 2024 Japan AWS Top Engineers(Security) に ○ 「マルチアカウント関連サービスのおかげ！！！」 ● 所属 ○ クラスメソッド株式会社 ● 名前（ニックネーム） ○ 芦沢 広昭（あしさん） ● 普段の業務 ○ AWSインフラ設計構築‧コンサル ● 趣味 ○ ライブに⾏くこと (⾳楽、お笑い) ○ ゲーム (MHWs) 

Organizations/Control Tower環境で 「必ず」話題になる（と思っている） CloudTrail管理 についての話をします 本⽇は 3 

AWS CloudTrail とは？ 4 AWSアカウント内のAPIアクティビティを イベントログとして記録‧保存するサービス → AWSの業務監査‧リスク監査の実現、ガバナンスの基本 

AWSアカウント上で 「誰が」「いつ」「何をしたか」 を記録するサービス もっとざっくりした説明 5 

マルチアカウント環境のCloudTrail 管理によく使う設定 6 証跡：CloudTrailイベントをS3などの永続ストレージに出⼒する設定 組織の証跡：CloudTrail証跡をOrganizations組織内の全アカウントに作成する機能 

Organizations環境の証跡管理で考慮すべきこと 7 ● 統制 ● コスト ● 運⽤ 

CloudTrailの取得設定を、勝⼿に変更させたくない 証跡管理における「統制」 8 

証跡管理における「コスト」 9 CloudTrailの設定によって、余計なコストを発⽣させたくない 

証跡管理における「運⽤」 10 過去のCloudTrailログを閲覧させる時、Athenaの管理コストが発⽣ 

Organizations環境の証跡管理における「課題」 11 ● 統制： 設定によっては勝⼿に変更されてしまう可能性 ● コスト： 証跡の重複で他アカウントでコストが発⽣ ● 運⽤： ログ閲覧⽤Athenaの管理コストが発⽣ 

参考：「組織の証跡」利⽤におけるデメリット 12 Org管理のCloudTraill 証跡の重複による「想定外」のコスト増の可能性 https://dev.classmethod.jp/articles/costs-cloudtrail-after-update-ct-landing-zone/ 

CloudTrail Lakeなら解決できるかも？ という話をします ここからは 13 

CloudTrail Lakeの独⾃機能：イベントデータストア 14 ログがイベントデータストア（AWS管理の独⾃ストレージ）に保存される 

CloudTrail Lakeの独⾃機能：クエリエディタ 15 CloudTrailのマネコンソールからクエリ可能、Athenaは不要 

細かい設定なしで、ログの可視化が可能 CloudTrail Lakeの独⾃機能：ダッシュボード 16 

CloudTrail Lakeの料⾦ 17 ● データ取り込み ○ 7年保存：〜2.5 USD/GB（ログ量によって安くなる） ○ 1年保存：0.75 USD/GB（固定） ● データ保持 ○ 無料（取り込み料⾦に含まれる） ● データクエリ ○ 0.005 USD/GB（Athenaと同じ） ※上記は、イベントデータストアを管理するアカウントのみで発⽣する https://aws.amazon.com/jp/cloudtrail/pricing/ 

CloudTrail Lakeによる「統制」 18 そもそもリソースが存在しないので、勝⼿に設定変更できない 

CloudTrail Lakeの「コスト」 19 コストは管理アカウントのみで発⽣、他のアカウントでの個別の証跡管理が無料 

CloudTrail Lakeによる「運⽤」 20 組み込まれたクエリエディタで、ログが閲覧可能 (運⽤コストなし) 

CloudTrail Lakeの直近のアップデート 21 ● ダッシュボードの拡充（2024年11⽉） ○ ハイライト、マネージドダッシュボード、カスタムダッシュボードが追加 ● リソースベースポリシーによるクロスアカウントアクセス（2024年11⽉） ○ イベントデータストアへの他アカウントからのアクセス許可が可能に ○ ただし、現状は管理者向けのアクセス許可の仕様 ● ⽣成AIによる⾃然⾔語からのクエリ⽣成、結果の分析（2024年11⽉） ○ クエリエディタから⾃然⾔語でクエリ⽣成できる ○ ハイライトダッシュボードでクエリ結果分析が可能に ○ 上記は現在⽇本語⾮対応（英語のみ） 

CloudTrail Lakeに改善してほしいこと 22 ● コストをもっとお安く...! ○ 安くなったけど、やっぱりまだちょっと⾼い ● リソースベースポリシーをより細かく制御したい ○ イベントデータストアを共有すると全部⾒えてしまう ● ⽣成AIによるクエリ⽣成で⽇本語をサポートしてほしい ○ 英語でのクエリ⽣成のなかなか良いので、尚更ほしい 

まとめ：私がCloudTrail Lakeをおすすめする理由 23 ● 統制 ○ 管理アカウントでのみ変更が可能（他アカウントでの変更は構成上できない） ● コスト ○ 管理アカウントのみに集約できる（他アカウントは無料） ● 運⽤ ○ クエリや可視化が管理コストなしで利⽤可能（AthenaやQuickSightが不要） ● その他 ○ 定期的にアップデートされている シングルアカウントでも使えます。まずは試しに使ってみてほしいです！！ 

参考：以前似たような話をした時の資料 24 CloudTrail、CloudTrail Lake、Security Lakeを様々な⾯で⽐較しています https://dev.classmethod.jp/articles/marucla2-cloudtrail-management-in-multiaccount/ 

No content