CloudTrail Lake クエリ結果の Amazon S3 バケットポリシー - AWS CloudTrail

CloudTrail Lake クエリ結果の Amazon S3 バケットポリシー

デフォルトでは、Amazon S3 バケットとオブジェクトはプライベートです。リソース所有者 (バケットを作成した AWS アカウント) のみが、バケットとそれに含まれるオブジェクトにアクセスできます。リソース所有者は、アクセスポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与することができます。

S3 バケットに CloudTrail Lake ファイルを配信するためには、CloudTrail に必要なアクセス権限がある必要があり、[Requester Pays] (リクエスタ支払い) バケットとして設定することはできません。

CloudTrail は、ポリシーに以下のフィールドを追加します。

  • 許可された SID。

  • バケット名。

  • CloudTrail のサービスプリンシパル名。

セキュリティのベストプラクティスとして、aws:SourceArn 条件キーを Amazon S3 バケットポリシーに追加します。IAM グローバル条件キー aws:SourceArn は、CloudTrail がイベントデータストアに対してのみ S3 バケットに書き込めるようにするのに役立ちます。

次のポリシーでは、CloudTrail がサポートされているリージョンからログファイルをバケットに書き込むことを許可します。myBucketNamemyAccountIdmyQueryRunningRegion を、ご使用の設定に適した値に置き換えてます。myAccountID は CloudTrail で使われている AWS アカウント ID であり、S3 バケットの AWS アカウント ID とは異なる場合があります。

S3 バケットポリシー

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailLake1", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::myBucketName", "arn:aws:s3:::myBucketName/*" ], "Condition": { "StringLike": { "aws:sourceAccount": "myAccountID", "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } }, { "Sid": "AWSCloudTrailLake2", "Effect": "Allow", "Principal": {"Service":"cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName", "Condition": { "StringLike": { "aws:sourceAccount": "myAccountID", "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion:myAccountID:eventdatastore/*" } } } ] }

CloudTrail Lake クエリ結果の既存のバケットを指定する

CloudTrail Lake クエリ結果配信のストレージの場所として既存の S3 バケットを指定した場合は、CloudTrail がクエリ結果をバケットに配信できるようにするポリシーをバケットにアタッチする必要があります。

注記

ベストプラクティスとして、CloudTrail Lake クエリ結果専用 S3 バケットを使用します。

必要な CloudTrail ポリシーを Amazon S3 バケットに追加するには

  1. https://console.aws.amazon.com/s3/ で Amazon S3 コンソールを開きます。

  2. CloudTrail Lake クエリ結果ファイルを配信するバケットを選択し、[Permissions] (アクセス許可) を選択します。

  3. [Edit] (編集) を選択します。

  4. S3 bucket policy for query results を [Bucket Policy Editor] ウィンドウにコピーします。イタリック体のプレースホルダーを、バケット、リージョン、アカウント ID の名前に置き換えます。

    注記

    既存のバケットにすでに 1 つ以上のポリシーがアタッチされている場合は、そのポリシーに CloudTrail アクセスのステートメントを追加します。バケットにアクセスするユーザーに適していることを確認するために、作成したアクセス権限のセットを評価します。

その他のリソース

S3 バケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「バケットポリシーの使用」を参照してください。