AWS Configの構成#
S3バケットの作成 <ログアカウントでの作業>#
本ステップでは、CloudTrailがログをPUTする先となるS3バケットを作成します。
1. マネジメントコンソールにて S3 を開きます。
2. バケットを作成 をクリックします。
3. 以下の設定を行ない、画面最下部のバケットを作成 をクリックします。
KMSキーは「KMSで暗号化キーを作成する」で作成したCMK KMSのARNを入力します。
| 項目 | ID |
|---|---|
| バケット名 | config-bucket(一意の名前) |
| リージョン | 東京 |
| デフォルトの暗号化 | 有効 |
| 暗号化キータイプ | AWS KMSキー(SSE-KMS) AWS KMSキー ARNを入力する |
- 【3】で作成したS3バケットの
アクセス許可を開き、バケットポリシーの編集をクリックします。
-
以下のポリシーをコピーペーストで貼り付け、画面最下部の
変更の保存をクリックします。
ポリシーを貼り付ける際、以下の情報を各お客様環境に読み替えてください。- バケット名
尚、ポリシーの内容は以下の通りとなります。
- ConfigサービスからのバケットのACL変更を許可する
- ConfigサービスからS3バケットの表示を許可する
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSConfigBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::config-bucket"
},
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::config-bucket"
},
{
"Sid": "AWSConsolidatedLogs",
"Effect": "Allow",
"Principal": {
"Service": [
"config.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::config-bucket/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
},
{
"Sid": "AWSConfigBucketDelivery",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::config-bucket/AWSLogs/*"
},
{
"Sid": "AllowSSLRequestsOnly",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::config-bucket",
"arn:aws:s3:::config-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
