ActionTrailは、Alibaba Cloudアカウントの操作を監視および記録するサービスです。 操作には、Alibaba cloud管理コンソール、API、SDKを使用したクラウドサービスへのアクセスと使用が含まれます。 ActionTrailはこれらの操作をイベントとして記録します。 記録されたイベントは ActionTrail コンソールからダウンロードできるほか、ActionTrail の設定から Log Service の Logstore または Object Storage Service (OSS) バケットへのイベント配信も可能です。 イベントに基づいた行動分析、セキュリティ分析、リソース変更の追跡、コンプライアンス監査を実行できます。
次の図は、ActionTrailの仕組みを示しています。
機能
- すぐに使用できるサービス: ActionTrailは、手動の介入なしにAlibaba Cloudアカウントの操作を追跡できます。 デフォルトでは、ActionTrailは過去90日間に実行された操作を追跡し、これらの操作をイベントとして記録します。 このイベントは、ActionTrail コンソールで照会できます。 説明 イベントを90日以上保存したい場合は、トレイルを作成する必要があります。 詳細については、「トレイルの作成」または「t1881765.html#task_2462362」をご参照ください。
- セルフサービス管理: ログとしてLog service Logstoreに、またはログファイルとしてOSSバケットにイベントを配信するトレイルを作成できます。 Log Serviceの取得および分析機能を使用して、ログを管理できます。 ログをビッグデータサービスに転送して管理することもできます。 たとえば、他のサービスにログへのアクセスを許可し、ログのライフサイクルルールを定義し、ログをアーカイブ、取得、分析し、ログのアラートルールを設定できます。
- 多次元イベントクエリ: ActionTrail を使用することで、イベント時間、ユーザー名、リソースタイプ、リソース名、イベント名といった複数のディメンションからイベントを照会できます。
シナリオ
- MLPS要件の遵守: MLPS (Multi-Level Protection Scheme) 2.0では、Alibaba Cloudアカウントの操作を記録し、対応するレコードを少なくとも180日間保存する必要があることが規定されています。 これらの要件を満たすために、ActionTrailを使用して操作をイベントとして記録できます。 その後、ActionTrailを設定して、イベントをLog Service LogstoreまたはOSSバケットに配信して長期保存できます。
- セキュリティ分析: ActionTrailは、Alibaba Cloudアカウントの操作をイベントとして記録します。 これにより、イベントに基づいてAlibaba Cloudアカウントのセキュリティ問題を特定できます。 たとえば、特定のLog Service Logstoreにイベントをログとして配信するようにトレイルを設定できます。 これにより、ログを長期間保存し、SQL文を実行してログを分析できます。
- リソース変更の追跡: ActionTrailによって記録されたイベントに基づいて、リソースを使用するときに発生する異常の原因を特定できます。 たとえば、いずれかのElastic Compute Service (ECS) インスタンスがシャットダウンした場合、ActionTrailを使用して、シャットダウン操作を実行したユーザー、シャットダウン操作が実行された時刻、およびシャットダウン操作が実行されたIPアドレスを確認できます。
- コンプライアンス監査: Resource Access Management (RAM) サービスを使用して組織内のメンバーを管理する場合、ActionTrailは各メンバーの操作をイベントとして記録します。 これにより、組織内のすべてのメンバーの操作がコンプライアンス監査のために記録されます。 トレイルを作成して、さまざまなリージョンで実行されるさまざまな種類の操作を追跡し、監査人の責任に基づいてイベントをさまざまなOSSバケットまたはLog Service Logstoreに配信できます。
たとえば、中国サイト (aliyun.com) と国際サイト (alibabacloud.com) にリソースをデプロイしている場合、さまざまな国や地域で実行される操作を追跡するトレイルを作成し、各国や地域の特定のデータセキュリティ要件に基づいてイベントをローカルストレージオブジェクトに配信できます。
メリット
- クイック記録: ActionTrailは、Alibaba Cloud管理コンソールまたはAPIの呼び出しによってユーザーが実行した操作と、RAMロールを使用してAlibaba Cloudサービスが実行した操作を記録します。 操作が実行されると、ActionTrailは10分で操作を追跡して記録します。
- 詳細レコード: ActionTrailは、操作の詳細なコンテキスト情報を記録します。 ActionTrailコンソールで、またはAPI操作を呼び出して、過去90日間に実行されたイベントを照会できます。 たとえば、特定の操作に関する次の情報を取得できます。操作を実行した人、操作が実行された時刻、操作が実行されたオブジェクト、操作が実行されたIPアドレス、操作がAlibaba Cloud管理コンソールまたはAPIを使用して実行されたかどうか、操作の結果、操作が失敗した場合の失敗の原因。
- 高い安定性と信頼性: ActionTrailを設定して、イベントをLog ServiceまたはOSSに配信できます。 Log ServiceとOSSは高可用性で、監査データを暗号化し、監査データに対するアクセス許可を管理できます。 これにより、監査データの高いセキュリティが保証されます。 ActionTrailは、イベントが配信されると通知します。
- カスタム追跡:ActionTrail では、リージョンごとに最大で 5 つのトレイルを作成し、イベントを OSS バケットまたは Log Service の Logstore に配信できます。 これにより、さまざまなリージョンで実行されるさまざまな種類の操作を追跡し、組織メンバーの責任に応じてさまざまな種類のデータをバックアップできます。 説明 同じタイプで、同じリージョンで生成されたイベントを、単一のOSSバケットまたはLog Service Logstoreに配信しないでください。
- 透過的なO&M: ActionTrailは、Alibaba Cloudサービスに関連する操作をイベントとして記録し、ほぼリアルタイムでイベントを保存します。 イベントをログとしてLog Serviceに配信するようにActionTrailを設定すると、ログの照会と分析、アラートの設定、レポートの生成ができます。 これらの透過的なO&M機能に裏打ちされたActionTrailは、Alibaba Cloudサービスに関連する業務の分析と監査に関する要件を満たすことができます。