Amazon Web Services ブログ

Amazon FSx for Windows ファイルサーバーでファイルアクセス監査が利用可能に

Amazon FSx for Windows ファイルサーバーは、業界標準の Server Message Block (SMB) プロトコル経由でアクセスできるフルマネージドファイルストレージを提供しています。Windows Server 上に構築され、AWS に期待されるスケーラビリティ、信頼性、および低コストを備えたエンタープライズストレージ機能の豊富なセットを提供します。

チームは、ユーザークォータ、エンドユーザーファイルの復元、Microsoft Active Directory 統合などの主要な機能に加えて、Windows イベントログを使用したファイル、フォルダ、およびファイル共有に対するエンドユーザーアクセスの監査のサポートを追加しました。

ファイルアクセス監査の概要
ファイルアクセス監査を使用すると、他の多くの AWS のサービスにログを送信し、ログをクエリ、処理、および保存することができます。ファイルアクセス監査を使用することにより、エンタープライズストレージ管理者およびコンプライアンス監査担当者は、時間の経過とともにログが増大するのに伴って生じるストレージ管理の必要性を排除しながら、セキュリティとコンプライアンスの要件を満たすことができます。ファイルアクセス監査は、金融サービスやヘルスケア業界などの規制が厳しいお客様にとって特に重要です。

監査イベントの発行先を Windows イベントログ形式で選択できます。送信先オプションは、Amazon CloudWatch Logs へのログ記録または Amazon Kinesis Data Firehose へのストリーミングです。そこから、CloudWatch Logs のログを表示してクエリしたり、Amazon Simple Storage Service (Amazon S3) にログをアーカイブしたり、Splunk や Datadog などの AWS パートナーソリューションを使用してログを監視したりできます。

新しい監査イベントによってトリガーされる Lambda 関数を設定することもできます。例えば、AWS Lambda および Amazon CloudWatch アラームを設定して、不正なアクセスが発生したときにデータセキュリティ担当者に通知を送信できます。

新しいファイルシステムでのファイルアクセス監査の使用
新しいファイルシステムでファイルアクセス監査を有効にするには、Amazon FSx コンソールにアクセスし、[Create file system] (ファイルシステムを作成) を選択します。[Select file system type] (ファイルシステムタイプを選択) ページで、[Amazon FSx for Windows File Server] (Amazon FSx for Windows ファイルサーバー) を選択し、ファイルシステムのその他の設定を構成します。監査機能を使用するには、次に示すように、スループットキャパシティー32 MB/秒以上である必要があります。

ファイルシステムの作成のスクリーンショット

[Auditing] (監査) で、[File access auditing] (ファイルアクセス監査) がデフォルトで有効になっていることがわかります。[Advanced] (詳細設定) の [Choose an event log destination] (イベントログの送信先を選択) で、ユーザーアクセスイベントの発行先を変更できます。CloudWatch Logs を選択し、アカウントで CloudWatch Logs ロググループを選択します。

監査オプションのスクリーンショット

ファイルシステムが作成されたら、新しい Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを起動し、Active Directory に参加させます。インスタンスが利用可能になったら、リモートデスクトップクライアントを使用してインスタンスに接続します。File Explorer を開き、ドキュメントに従って新しいファイルシステムをマッピングします。

一度マッピングされたファイルシステムのスクリーンショット

Windows Explorer でファイルシステムを開き、右クリックして [Properties] (プロパティ) を選択します。[Security] (セキュリティ)、[Advanced] (詳細設定)、および [Auditing] (監査) を選択し、[Add] (追加) を選択して新しい監査エントリを追加します。監査エントリのページの [Principal] (プリンシパル) で、[Select a principal] (プリンシパルを選択) をクリックします。これは私による監査の対象者です。[Everyone] (全員) を選択します。次に、[Type] (タイプ) で、必要な監査の種類 ([Success] (成功)/[Fail] (失敗)/[All] (すべて)) を選択します。[Basic permissions] (基本アクセス許可) で、監査するアクセス許可の [Full control] (フルコントロール) を選択します。

ファイル共有の監査オプションのスクリーンショット

監査が設定されたので、いくつかのフォルダを作成し、いくつかのファイルを作成および変更します。このアクティビティはすべて監査され、ログが CloudWatch Logs に送信されます。

いくつかのファイルとフォルダが作成されたファイル共有のスクリーンショット

CloudWatch Logs Insights コンソールで、監査ログのクエリを開始できます。特定のファイルに関連付けられているすべてのログを検索する簡単なクエリを実行した方法を以下に示します。

AWS CloudWatch Logs Insights のスクリーンショット

継続的な強化
ファイルアクセスの監査は、セルフマネージドディレクトリネイティブマルチ AZ ファイルシステムSQL Server のサポートきめ細かなファイル復元オンプレミスアクセスリモートマネジメント CLIデータの重複排除プログラムを使用したファイル共有設定転送中の暗号化の強制ストレージサイズおよびスループットキャパシティーのスケーリングストレージクォータなど、最近チームが開始した多くの機能の 1 つです。

料金
ファイルアクセス監査は、Amazon FSx for Windows ファイルサーバーでは無料です。Amazon CloudWatch LogsAmazon Kinesis Data FirehoseAmazon RedshiftS3AWS Lambda などのダウンストリームの AWS のサービス、および Splunk や Datadog などの AWS パートナーソリューションの使用には、標準料金が適用されます。

今すぐご利用いただけます
ファイルアクセス監査は、Amazon FSx for Windows ファイルサーバーが使用可能なすべての AWS リージョンの新しいファイルシステムについて、今すぐご利用いただけます。詳細については、ドキュメントをご確認ください。

— Martin