Lake クエリ結果の Amazon S3 CloudTrail バケットポリシー - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lake クエリ結果の Amazon S3 CloudTrail バケットポリシー

デフォルトでは、Amazon S3 バケットとオブジェクトはプライベートです。リソース所有者 (バケットを作成した AWS アカウント) のみが、バケットとそれに含まれるオブジェクトにアクセスできます。リソース所有者は、アクセスポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与することができます。

CloudTrail Lake クエリ結果を S3 バケットに配信 CloudTrail するには、必要なアクセス許可が必要です。リクエスタ支払いバケットとして設定することはできません。

CloudTrail は、ポリシーに次のフィールドを追加します。

  • 許可された SIDs

  • バケット名

  • のサービスプリンシパル名 CloudTrail

セキュリティのベストプラクティスとして、aws:SourceArn 条件キーを Amazon S3 バケットポリシーに追加します。IAM グローバル条件キーは、 がイベントデータストアに対してのみ S3 バケットに CloudTrail 書き込むようにするaws:SourceArnのに役立ちます。

次のポリシーでは CloudTrail 、 がサポートされている からバケットにクエリ結果を配信できるようにします AWS リージョン。置換 amzn-s3-demo-bucket, myAccountID および myQueryRunningRegion 設定に適した値を指定します。- myAccountID は に使用される AWS アカウント ID であり CloudTrail、S3 バケットの AWS アカウント ID と同じではない場合があります。

注記

バケットポリシーにKMSキーのステートメントが含まれている場合は、完全修飾KMSキー を使用することをお勧めしますARN。代わりにKMSキーエイリアスを使用する場合、 はリクエスタのアカウント内のキーを AWS KMS 解決します。この動作により、バケット所有者ではなく、リクエスタに属するKMSキーで暗号化されたデータが発生する可能性があります。

これが組織のイベントデータストアである場合、イベントデータストアには管理 AWS アカウントのアカウント ID を含めるARN必要があります。これは、管理アカウントがすべての組織リソースの所有権を保持しているためです。

S3 バケットポリシー

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailLake1", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringLike": { "aws:sourceAccount": "myAccountID", "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Sid": "AWSCloudTrailLake2", "Effect": "Allow", "Principal": {"Service":"cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringLike": { "aws:sourceAccount": "myAccountID", "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } } ] }

CloudTrail Lake クエリ結果の既存のバケットの指定

CloudTrail Lake クエリ結果配信のストレージロケーションとして既存の S3 バケットを指定した場合は、 がクエリ結果をバケット CloudTrail に配信できるようにするポリシーをバケットにアタッチする必要があります。

注記

ベストプラクティスとして、 CloudTrail Lake クエリ結果専用の S3 バケットを使用します。

必要な CloudTrail ポリシーを Amazon S3 バケットに追加するには
  1. で Amazon S3 コンソールを開きますhttps://console.aws.amazon.com/s3/

  2. Lake クエリ結果を配信 CloudTrail するバケットを選択し、アクセス許可 を選択します。

  3. [編集] を選択します。

  4. S3 bucket policy for query results を [Bucket Policy Editor] ウィンドウにコピーします。イタリック体のプレースホルダーを、バケット、リージョン、アカウント ID の名前に置き換えます。

    注記

    既存のバケットにすでに 1 つ以上のポリシーがアタッチされている場合は、そのポリシー CloudTrail にアクセスするためのステートメントを追加します。バケットにアクセスするユーザーに適していることを確認するために、作成したアクセス権限のセットを評価します。

追加リソース

S3 バケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「バケットポリシーの使用」を参照してください。