OrganizationsでのCloudTrail証跡一括取得 + ログアカウントでのKMS CMK暗号化実装手順#
S3バケットの作成 <ログアカウントでの作業>#
本ステップでは、CloudTrailがログをPUTする先となるS3バケットを作成します。
- マネジメントコンソールにて
S3を開きます。
バケットを作成をクリックします。
- 以下の設定を行ない、画面最下部の
バケットを作成をクリックします。
KMSキーは「KMSで暗号化キーを作成する」で作成したCMK KMSのARNを入力します。
| 項目 | ID |
|---|---|
| バケット名 | traillog-bucket-333333333333 |
| リージョン | 東京 |
| デフォルトの暗号化 | 有効 |
| 暗号化キータイプ | AWS KMSキー(SSE-KMS) AWS KMSキー ARNを入力する |
- 【3】で作成したS3バケットの
アクセス許可を開き、バケットポリシーの編集をクリックします。
5. 以下のポリシーをコピーペーストで貼り付け、画面最下部の 変更の保存 をクリックします。
ポリシーを貼り付ける際、以下の情報を各お客様環境に読み替えてください。
- 組織ID
- バケット名
- アカウントID
尚、ポリシーの内容は以下の通りとなります。
- CloudTrailサービスからのバケットのACL変更を許可する
- マスターアカウントの証跡書き込みを許可する
- 「組織の証跡」を許可する
- SSL以外での書き込みを禁止する
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::traillog-bucket-333333333333"
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::traillog-bucket-333333333333/AWSLogs/111111111111/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::traillog-bucket-333333333333/AWSLogs/o-wljinn39ki/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
},
{
"Sid": "AllowSSLRequestsOnly",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::traillog-bucket-333333333333",
"arn:aws:s3:::traillog-bucket-333333333333/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
