AWS CloudTrail
ユーザーガイド (Version 1.0)

ロールの作成

複数のアカウントのログファイルを 1 つの Amazon S3 バケットに集約した場合、バケットのフルコントロール権限を持ったアカウント (この例では、アカウント A) のみが、バケット内のすべてのログファイルに対する完全な読み取りアクセス権限を持つことになります。この例のアカウント B、C、Z は、付与されるまで一切の権限を持ちません。したがって、あるアカウントから別のアカウントへと AWS CloudTrail ログファイルを共有する (つまり、このセクションで前述したシナリオ 1 やシナリオ 2 を完了する) には、クロスアカウントのアクセス権限を有効にする必要があります。これを行うは、IAM ロールと、それらのロールに関連付けるアクセスポリシーを作成します。

ロール

アクセス権限を付与する各アカウント用の IAM ロールを作成します。この例では、3 つのロール (B、C、Z の各アカウント用に 1 つずつ) を作成します。各 IAM ロールでは、アカウント A によって所有されているリソース (ログファイル) に各アカウントがアクセスできるようにするための、アクセス権限またはアクセス許可を定義します。アクセス許可は各ロールにアタッチされ、ロールが割り当てられた場合にのみ、各アカウント (B、C、Z) に関連付けられます。IAM ロールのアクセス許可の管理の詳細については、IAM ユーザーガイド の「IAM ロール」を参照してください。ロールを割り当てる方法については、ロールを割り当てる を参照してください。

ポリシー

作成する IAM ロールには、それぞれ 2 つのポリシーがあります。信頼ポリシーでは、信頼されたエンティティまたはプリンシパルを指定します。この例では、アカウント B、C、Z が信頼されたエンティティであり、それらのアカウント内で適切なアクセス権限を持った IAM ユーザーが、ロールを担当できます。

信頼ポリシーは、コンソールを使用してロールを作成したときに自動的に作成されます。SDK を使用してロールを作成する場合は、CreateRole API へのパラメータとして信頼ポリシーを指定する必要があります。CLI を使用してロールを作成する場合は、create-role CLI コマンドで信頼ポリシーを指定する必要があります。

ロールアクセス権限 (またはアクセス許可) ポリシーは、アカウント A の所有者として作成する必要があります。このポリシーでは、プリンシパルや信頼されたエンティティが、どのアクションとリソース (この例では、CloudTrail ログファイル) にアクセスできるのかを定義します。シナリオ 1 の場合は、ログファイルを生成したアカウントにログファイルアクセス権限が付与されます (「自分が所有するアカウントへのアクセスを許可するアカウントポリシーの作成」で説明しています)。シナリオ 2 の場合は、すべてのログファイルに対する読み取りアクセス権限がサードパーティに付与されます (「アクセスポリシーを作成してサードパーティにアクセス権限を付与する 」で説明しています)。

IAM ポリシーの作成と操作の詳細については、IAM ユーザーガイド の「アクセス管理」を参照してください。

ロールの作成

コンソールを使用してロールを作成するには

  1. AWS マネジメントコンソールに、アカウント A の管理者としてサインインします。

  2. IAM コンソールに移動します。

  3. ナビゲーションペインで [Roles (ロール) ] を選択します。

  4. [Create New Role] を選択します。

  5. 新しいロールの名前を入力し、[Next Step] を選択します。

  6. [Role for Cross-Account Access] を選択します。

  7. シナリオ 1 の場合は、次の操作を行って、所有するアカウント間のアクセスを提供します。

    1. [Provide access between AWS accounts you own.] を選択します。

    2. アクセス権限を付与するアカウント (B、C、または Z) の、12 桁のアカウント ID を入力します。

    3. ロールを割り当てる前に、ユーザーに多要素認証を提供させる場合は、[Require MFA] ボックスをオンにします。

    シナリオ 2 の場合は、次の操作を行って、サードパーティアカウントにアクセス権限を提供します。この例では、アカウント Z (サードパーティのログ分析業者) に対してこれらの手順を実行します。

    1. [Allows IAM users from a 3rd party AWS account to access this account.] を選択します。

    2. アクセス権限を付与するアカウント (アカウント Z) の、12 桁のアカウント ID を入力します。

    3. ロールを担当できるユーザーをより高度に制御できるようにするための、外部 ID を入力します。詳細については、IAM ユーザーガイド の「AWS リソースへのアクセス権をサードパーティーに付与するときに外部 ID を使用する方法」を参照してください。

  8. [Next Step] を選択して、このロールのアクセス許可を設定するポリシーをアタッチします。

  9. [Attach Policy] で、[AmazonS3ReadOnlyAccess] ポリシーを選択します。

    注記

    デフォルトの場合、[AmazonS3ReadOnlyAccess] ポリシーでは、アカウント内のすべての Amazon S3 バケットに対するリスト権限と取得権限が付与されます。

  10. [Next Step] を選択します。

  11. ロール情報を確認します。

    注記

    この時点で、必要であればロール名を編集することができます。ただし、これを行うと画面が [Step 2: Select Role Type] ページに戻り、そこでロールの情報を再入力しなければならなくなります。

  12. [Create Role] を選択します。ロール作成プロセスが完了すると、作成したロールがロールリストに表示されます。

このページの内容: