翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Lake クエリ結果の Amazon S3 CloudTrail バケットポリシー
デフォルトでは、Amazon S3 バケットとオブジェクトはプライベートです。リソース所有者 (バケットを作成した AWS アカウント) のみが、バケットとそれに含まれるオブジェクトにアクセスできます。リソース所有者は、アクセスポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与することができます。
CloudTrail Lake クエリ結果を S3 バケットに配信 CloudTrail するには、必要なアクセス許可が必要です。リクエスタ支払いバケットとして設定することはできません。
CloudTrail は、ポリシーに次のフィールドを追加します。
-
許可された SIDs
-
バケット名
-
のサービスプリンシパル名 CloudTrail
セキュリティのベストプラクティスとして、aws:SourceArn
条件キーを Amazon S3 バケットポリシーに追加します。IAM グローバル条件キーは、 がイベントデータストアに対してのみ S3 バケットに CloudTrail 書き込むようにするaws:SourceArn
のに役立ちます。
次のポリシーでは CloudTrail 、 がサポートされている からバケットにクエリ結果を配信できるようにします AWS リージョン。置換 amzn-s3-demo-bucket
,
myAccountID
および myQueryRunningRegion
設定に適した値を指定します。- myAccountID
は に使用される AWS アカウント ID であり CloudTrail、S3 バケットの AWS アカウント ID と同じではない場合があります。
注記
バケットポリシーにKMSキーのステートメントが含まれている場合は、完全修飾KMSキー を使用することをお勧めしますARN。代わりにKMSキーエイリアスを使用する場合、 はリクエスタのアカウント内のキーを AWS KMS 解決します。この動作により、バケット所有者ではなく、リクエスタに属するKMSキーで暗号化されたデータが発生する可能性があります。
これが組織のイベントデータストアである場合、イベントデータストアには管理 AWS アカウントのアカウント ID を含めるARN必要があります。これは、管理アカウントがすべての組織リソースの所有権を保持しているためです。
S3 バケットポリシー
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailLake1", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": [ "s3:PutObject*", "s3:Abort*" ], "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket
", "arn:aws:s3:::amzn-s3-demo-bucket
/*" ], "Condition": { "StringLike": { "aws:sourceAccount": "myAccountID
", "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion
:myAccountID
:eventdatastore/*" } } }, { "Sid": "AWSCloudTrailLake2", "Effect": "Allow", "Principal": {"Service":"cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket
", "Condition": { "StringLike": { "aws:sourceAccount": "myAccountID
", "aws:sourceArn": "arn:aws:cloudtrail:myQueryRunningRegion
:myAccountID
:eventdatastore/*" } } } ] }
CloudTrail Lake クエリ結果の既存のバケットの指定
CloudTrail Lake クエリ結果配信のストレージロケーションとして既存の S3 バケットを指定した場合は、 がクエリ結果をバケット CloudTrail に配信できるようにするポリシーをバケットにアタッチする必要があります。
注記
ベストプラクティスとして、 CloudTrail Lake クエリ結果専用の S3 バケットを使用します。
必要な CloudTrail ポリシーを Amazon S3 バケットに追加するには
で Amazon S3 コンソールを開きますhttps://console.aws.amazon.com/s3/
。 -
Lake クエリ結果を配信 CloudTrail するバケットを選択し、アクセス許可 を選択します。
-
[編集] を選択します。
-
S3 bucket policy for query results を [Bucket Policy Editor] ウィンドウにコピーします。イタリック体のプレースホルダーを、バケット、リージョン、アカウント ID の名前に置き換えます。
注記
既存のバケットにすでに 1 つ以上のポリシーがアタッチされている場合は、そのポリシー CloudTrail にアクセスするためのステートメントを追加します。バケットにアクセスするユーザーに適していることを確認するために、作成したアクセス権限のセットを評価します。
追加リソース
S3 バケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「バケットポリシーの使用」を参照してください。