AccessKeyペアは、AccessKey IDとAccessKey secretで構成され、ユーザーを識別してユーザーのキーを検証するために使用されます。 AccessKeyペアが公開されている場合、リソースは危険にさらされます。 ActionTrailは、AccessKeyペア関連のイベントを監視するのに役立ち、AccessKeyペアの異常な使用に高効率で対応できます。
始める前に
Log Service が有効化されていること。Log Serviceが有効化されていない場合は、log Serviceコンソールにログインし、画面上の指示に従ってサービスを有効化します。
このタスクについて
ActionTrailを使用して、AccessKeyペア関連のイベントを照会できます。 イベントをLog Serviceに配信し、アラートルールを設定してAccessKeyペアの使用を監視することもできます。- 過去90日間に生成されたAccessKeyペア関連イベントの照会: ActionTrailコンソールの [イベント詳細クエリ] ページで、フィルター条件をAccessKeyIdに設定して、過去90日間のAccessKeyペア関連イベントを照会します。 詳細については、「ActionTrailコンソールでのイベントの照会」をご参照ください。
- 90日前に生成されたAccessKeyペア関連イベントの照会: このトピックで説明する手順を実行して、90日前に生成されたAccessKeyペア関連イベントを照会し、AccessKeyペアの使用を監視するアラートルールを設定します。
ステップ1: トレイルを作成する
このセクションでは、単一アカウントのトレイルを作成してイベントをLog Serviceに配信する方法について説明します。
- ActionTrail コンソール にログインします。
- 左側のナビゲーションペインで トレイル をクリックします。
- 上部のナビゲーションバーで、単一アカウントトレイルを作成するリージョンを選択します。 説明 選択したリージョンが、作成するトレイルのホームリージョンになります。
- トレイルリスト ページで、[トレイルの作成] をクリックします。
- トレイルの基本設定 のステップで、パラメータを設定して [次へ] をクリックします。 次の表は、各パラメーターの説明です。
パラメーター 説明 トレイル名 作成するトレイルの名前。 名前はAlibaba Cloudアカウント内で一意である必要があります。 ログイベント 管理イベントのイベントタイプパラメーターを [すべてのイベント] に設定します。 - イベント配信設定 のステップで、[Log Service に配信] を選択し、[現在のアカウントへの配送] を選択します。
- 新しい Log Service プロジェクト を選択し、Logstore のリージョンドロップダウンリストからリージョンを選択し、プロジェクト名パラメーターを設定します。
- 次へ をクリックします。
- プレビューおよび作成 のステップで、トレイル設定を確認し、[送信] をクリックします。
ステップ2: イベントを照会し、Log ServiceでのAccessKeyペアの使用を監視するためのアラートルールを設定する
- ActionTrailコンソールの左側のナビゲーションウィンドウで、[トレイル] をクリックします。
- [トレイル] ページで、作成したトレイルを見つけ、[ストレージサービス] 列のアイコンの上にポインターを移動して、Log Service Logstoreの名前をクリックします。
- 表示されるページの右上隅にある15分 (相対) をクリックして、クエリの時間範囲を指定します。
- 検索ボックスに
event.us erIdentity.accessKeyId:"<YourAccessKeyId>" | select count (1) as use_ak_<YourAccessKeyId>
と入力し、[検索と分析] をクリックします。説明 Replace<YourAccessKeyId>
with your AccessKey ID. - [検索の保存] または [アラートとして保存] をクリックします。
- クエリを保存する: 右上隅の [検索を保存] をクリックします。 [保存検索の詳細] パネルで、[保存検索名] パラメーターを設定し、[OK] をクリックします。 説明 クエリを保存した後、Log Serviceコンソールでクエリを選択してクエリを開始できます。
詳細については、「クイック検索」をご参照ください。
- クエリに基づいてアラートルールを設定します。右上隅の [アラートモニタリングルール] パネルでパラメーターを設定し、[OK] をクリックします。
詳細については、「アラームの設定」をご参照ください。
説明 アラートルールを設定した後、アラートがトリガーされたときにアラート通知を受け取ることができます。 たとえば、Log Serviceは、前の図に示すアラートルールに基づいて、5分ごとにAccessKey ID
の使用をチェックします。 過去5分間にAccessKey IDが使用された場合、Log Serviceはアラートを生成します。 を選択します。
- クエリを保存する: 右上隅の [検索を保存] をクリックします。 [保存検索の詳細] パネルで、[保存検索名] パラメーターを設定し、[OK] をクリックします。
タスクの結果
Log Serviceコンソールで、保存したクエリとアラートルールを管理できます。