VPC Flowlog(KMSキー対応)実装手順書#
S3バケットの作成 <ログアカウントでの作業>#
本ステップでは、VPC FlowlogsがログをPUTする先となるS3バケットを作成します。
1. マネジメントコンソールにて S3 を開きます。
2. バケットを作成 をクリックします。
3. 以下の設定を行ない、画面最下部のバケットを作成 をクリックします。
KMSキーは「KMSで暗号化キーを作成する」で作成したCMK KMSのARNを入力します。
| 項目 | ID |
|---|---|
| バケット名 | vpc-flowlogs-bucket |
| リージョン | 東京 |
| デフォルトの暗号化 | 有効 |
| 暗号化キータイプ | AWS KMSキー(SSE-KMS) AWS KMSキー ARNを入力する |
- 【3】で作成したS3バケットの
アクセス許可を開き、バケットポリシーの編集をクリックします。
5. 以下のポリシーをコピーペーストで貼り付け、画面最下部の 変更の保存 をクリックします。
ポリシーを貼り付ける際、以下の情報を各お客様環境に読み替えてください。
- バケット名
- アカウントID
尚、ポリシーの内容は以下の通りとなります。
- FlowlogsからS3へのオブジェクト配置を許可する
- FlowlogsからバケットACLの取得を許可する
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::vpc-flowlogs-bucket/AWSLogs/111111111111/*"
],
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
},
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::vpc-flowlogs-bucket"
}
]
}
