AWS のすべてのリージョンで CloudTrail が有効かチェックするスクリプト
Posted on
- #aws
CloudTrail はすべてのリージョンで有効にすることが推奨されています。
個人アカウントを見直してみると意図せず有効になっていないリージョンがありました。ブラウザからポチポチと設定したので、リージョンを切り替えたときに漏れたんだと思います。
同じミスをしないためにも CloudTrail の状態をチェックするスクリプトを書きました(ビジネス以上のサポートプランに入れば Trusted Advisor でチェックできますが、最低 100 ドルからなので個人では払えません…)。
AWS CLI が使える端末からシェルスクリプトを叩くだけです。 OK 以外のメッセージだと要注意です。
$ bash cloudtrail-checker.sh
ap-northeast-1: OK
ap-southeast-1: CloudTrail is disabled.
ap-southeast-2: CloudTrail is disabled.
eu-central-1: CloudTrail is disabled.
eu-west-1: CloudTrail is disabled.
sa-east-1: CloudTrail is disabled.
us-east-1: CloudTrail is disabled.
us-west-1: CloudTrail is disabled.
us-west-2: CloudTrail is enabled, but logging is turned off.
一般ユーザーが利用できる 9 つのリージョンで CloudTrail が有効 & ロギングされているかをチェックします。
まとめ
いざという時のためにすべてのリージョンで CloudTrail を有効にして、あわせて漏れがないこともチェックしましょう。