エビデンスファインダーのデフォルトのエクスポート先の設定

証拠ファインダーでクエリを実行すると、検索結果をカンマ区切り値 (CSV) ファイルにエクスポートできます。この設定を使用して、Audit Manager がエクスポートしたファイルを保存するデフォルトの S3 バケットを選択します。

前提条件

S3 バケットには、 がエクスポートファイルを CloudTrail 書き込めるようにするために必要なアクセス許可ポリシーが必要です。より具体的には、バケットポリシーには s3:PutObjectアクションと バケット が含まれARN、 をサービスプリンシパル CloudTrail としてリストする必要があります。

• 使用できるアクセス許可ポリシーの例については、「」を参照してください例 3 (エクスポート先のアクセス許可)。

• このポリシーを S3 バケットにアタッチする手順については、Amazon S3コンソール を使用したバケットポリシーの追加」を参照してください。

• その他のヒントについては、このページの「エクスポート先の設定に関するヒント」を参照してください。

エクスポート先の設定に関するヒント

ファイルのエクスポートを確実に成功させるために、エクスポート先の以下の設定を確認することをお勧めします。

AWS リージョン

カスタマーマネージドキー AWS リージョン の (提供した場合) は、評価のリージョンと一致する必要があります。KMS キーを変更する方法については、「Audit Manager データ暗号化設定」を参照してください。

クロスアカウント S3 バケット

エクスポート先として、クロスアカウント S3 バケットを使用することは、Audit Manager コンソールではサポートされていません。 AWS CLI または の 1 つを使用してクロスアカウントバケットを指定できますが AWS SDKs、わかりやすくするために、これを行わないことをお勧めします。エクスポート先として、クロスアカウント S3 バケットを使用することを選択する場合は、次の点を考慮してください。

• デフォルトでは、CSVエクスポートなどの S3 オブジェクトは、オブジェクトをアップロード AWS アカウント する によって所有されます。S3 オブジェクト所有権設定を使用してこのデフォルトの動作を変更し、既定アクセスコントロールリスト (ACL) bucket-owner-full-control を持つアカウントによって書き込まれた新しいオブジェクトがバケット所有者によって自動的に所有されるようにすることができます。

  必須ではありませんが、クロスアカウントバケットの設定に次の変更を加えることをお勧めします。これらの変更をすることで、バケット所有者はバケットに発行するエクスポート済みファイルを完全に制御できます。

  • S3 バケットのオブジェクト所有権を、デフォルトのオブジェクトライターではなく、優先バケット所有者に設定

  • バケットポリシーを追加して、そのバケットにアップロードされたオブジェクトに があることを確認します。 bucket-owner-full-control ACL

• Audit Manager がファイルをクロスアカウント S3 バケットにエクスポートできるようにするには、次の S3 バケットポリシーをエクスポート先に追加する必要があります。を置き換える placeholder text 自分の情報を入力します。このポリシーの Principal 要素は、評価を所有し、ファイルをエクスポートするユーザーまたはロールです。Resource は、ファイルのエクスポート先のクロスアカウント S3 バケットを指定します。

  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow cross account file exports",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
            },
            "Action": [
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:PutObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
            ]
        }
    ]
  }

表示を増やす表示を減らす

手順

この設定は、Audit Manager コンソール、 AWS Command Line Interface （AWS CLI）、または Audit Manager を使用して更新できますAPI。

Audit Manager console

Audit Manager コンソールでエクスポート先設定を更新するには

1. [エビデンスファインダー] 設定タブから、[エクスポート先] セクションに移動します。

2. 以下のオプションのいずれかを選択します。

   • 現在の S3 バケットを削除する場合は、[削除] を選択して設定をクリアします。

   • デフォルト S3 バケットを初めて保存する場合は、ステップ 3 に進みます。

3. エクスポートしたファイルを保存する S3 バケットを指定します。

   • [S3 を参照] を選択し、バケットのリストから選択します。

   • または、URI次の形式でバケットを入力することもできます。 s3://bucketname/prefix

   ヒント

   レプリケート先バケットを整理しておくために、CSVエクスポート用のオプションのフォルダを作成できます。これを行うには、リソースURIボックスの値にスラッシュ (/) とプレフィックスを追加します (例: /evidenceFinderCSVExports）。その後、Audit Manager はバケットにCSVファイルを追加するときにこのプレフィックスを含め、Amazon S3 はプレフィックスで指定されたパスを生成します。Amazon S3 でのプレフィックスの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 コンソールのオブジェクトを整理する」を参照してください。

4. 完了したら、[保存] を選択します。

S3 バケットの作成方法については、「Amazon S3 ユーザーガイド」の「バケットを作成する」を参照してください。

AWS CLI

でエクスポート先設定を更新するには AWS CLI

update-settings コマンドを実行して、--default-export-destination パラメータを使用して S3 バケットを指定します。

次の例では、placeholder text 独自の情報：

aws auditmanager update-settings --default-export-destination destinationType=S3,destination=DOC-EXAMPLE-DESTINATION-BUCKET

S3 バケットの作成方法については、「AWS CLI コマンドリファレンス」の create-bucket を参照してください。

Audit Manager API

を使用してエクスポート先設定を更新するには API

UpdateSettings オペレーションを呼び出し、 defaultExportDestinationパラメータを使用して S3 バケットを指定します。

S3 バケットを作成する方法については、CreateBucketAmazon S3 APIリファレンスAmazon S3「」を参照してください。