証拠ファインダーのデフォルトのエクスポート先の設定

証拠ファインダーでクエリを実行すると、検索結果をカンマ区切り値 (CSV) ファイルにエクスポートできます。この設定を使用して、Audit Manager がエクスポートしたファイルを保存するデフォルトの S3 バケットを選択します。

前提条件

CloudTrail がエクスポートファイルを書き込めるように、S3 バケットには必要な権限ポリシーが設定されている必要があります。具体的には、バケットポリシーには s3:PutObject アクションとバケット ARN が含まれ、サービスプリンシパルとして CloudTrail をリストする必要があります。

• 使用できるアクセス許可ポリシーの例については、「例 3 (エクスポート先のアクセス許可)」を参照してください。

• このポリシーを S3 バケットにアタッチする方法については、「Amazon S3 コンソールを使用したバケットポリシーの追加」を参照してください。

• その他のヒントについては、このページの「エクスポート先の設定に関するヒント」を参照してください。

エクスポート先の設定に関するヒント

ファイルのエクスポートを確実に成功させるために、エクスポート先の以下の設定を確認することをお勧めします。

AWS リージョン

カスタマーマネージドキー (提供されている場合) の AWS リージョン は、評価のリージョンと一致する必要があります。KMS キーの変更方法については、「Audit Manager のデータ暗号化設定」を参照してください。

クロスアカウント S3 バケット

エクスポート先として、クロスアカウント S3 バケットを使用することは、Audit Manager コンソールではサポートされていません。AWS CLI または AWS SDK のいずれかを使用して、評価レポートの送信先としてクロスアカウントバケットを指定することは可能ですが、簡素化のために、これはお勧めしません。エクスポート先として、クロスアカウント S3 バケットを使用することを選択する場合は、次の点を考慮してください。

• デフォルトでは、CSV エクスポートなどの S3 オブジェクトは、オブジェクトをアップロードする AWS アカウント によって所有されます。S3 オブジェクト所有権設定を使用して、このデフォルト動作を変更すると、bucket-owner-full-control既定のアクセスコントロールリスト (ACL) があるアカウントによって記述された新しいオブジェクトが自動的にバケット所有者によって所有されるようにできます。

  必須ではありませんが、クロスアカウントバケットの設定に次の変更を加えることをお勧めします。これらの変更をすることで、バケット所有者はバケットに発行するエクスポート済みファイルを完全に制御できます。

  • S3 バケットのオブジェクト所有権を、デフォルトのオブジェクトライターではなく、優先バケット所有者に設定

  • バケットポリシーを追加して、そのバケットにアップロードされたオブジェクトに bucket-owner-full-control ACL が含まれるようにする

• Audit Manager がファイルをクロスアカウント S3 バケットにエクスポートできるようにするには、次の S3 バケットポリシーをエクスポート先に追加する必要があります。placeholder text を独自の情報に置き換えます。このポリシーの Principal 要素は、評価を所有し、ファイルをエクスポートするユーザーまたはロールです。Resource は、ファイルのエクスポート先のクロスアカウント S3 バケットを指定します。

  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow cross account file exports",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
            },
            "Action": [
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:PutObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
            ]
        }
    ]
  }

表示を増やす

手順

この設定は、Audit Manager コンソール、AWS Command Line Interface (AWS CLI)、または Audit Manager API を使用して更新できます。

Audit Manager console

Audit Manager コンソールでエクスポート先の設定を更新するには

1. [証拠ファインダー] 設定タブから、[エクスポート先] セクションに移動します。

2. 以下のオプションのいずれかを選択します。

   • 現在の S3 バケットを削除する場合は、[削除] を選択して設定をクリアします。

   • デフォルト S3 バケットを初めて保存する場合は、ステップ 3 に進みます。

3. エクスポートしたファイルを保存する S3 バケットを指定します。

   • [S3 を参照] を選択し、バケットのリストから選択します。

   • または、s3://bucketname/prefix 形式でバケット URI を入力できます。

   ヒント

   エクスポート先のバケットを整理しておくために、CSV エクスポート用のオプションフォルダを作成できます。そのためには、[リソース URI] ボックス (例: /evidenceFinderCSVExports) の値にスラッシュ (/) とプレフィックスを追加します。Audit Manager は CSV ファイルをバケットに追加するときにこのプレフィックスを含め、Amazon S3 はプレフィックスで指定されたパスを生成します。Amazon S3 でのプレフィックスの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 コンソールのオブジェクトを整理する」を参照してください。

4. 完了したら、[保存] を選択します。

S3 バケットの作成方法については、「Amazon S3 ユーザーガイド」の「バケットを作成する」を参照してください。

AWS CLI

AWS CLI でエクスポート先の設定を更新するには

update-settings コマンドを実行して、--default-export-destination パラメータを使用して S3 バケットを指定します。

次の例では、次の placeholder text を独自の情報に置き換えます。

aws auditmanager update-settings --default-export-destination destinationType=S3,destination=amzn-s3-demo-destination-bucket

S3 バケットの作成方法については、「AWS CLI コマンドリファレンス」の create-bucket を参照してください。

Audit Manager API

API を使用してエクスポート先の設定を更新するには

UpdateSettings 操作を呼び出して、DefaultExportDestination パラメータを使用して S3 バケットを指定します。

S3 バケットの作成方法については、「Amazon S3 API リファレンス」の「CreateBucket」を参照してください。