翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# CloudTrail Lake クエリ結果の Amazon S3 バケットポリシー
デフォルトでは、Amazon S3 バケットとオブジェクトはプライベートです。リソース所有者 (バケットを作成した AWS アカウント) のみが、バケットとそれに含まれるオブジェクトにアクセスできます。リソース所有者は、アクセスポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与することができます。
S3 バケットに CloudTrail Lake ファイルを配信するためには、CloudTrail に必要なアクセス権限がある必要があり、[[Requester Pays]](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html) (リクエスタ支払い) バケットとして設定することはできません。
CloudTrail は、ポリシーに以下のフィールドを追加します。
+ 許可された SID。
+ バケット名。
+ CloudTrail のサービスプリンシパル名。
セキュリティのベストプラクティスとして、`aws:SourceArn` 条件キーを Amazon S3 バケットポリシーに追加します。IAM グローバル条件キー `aws:SourceArn` は、CloudTrail がイベントデータストアに対してのみ S3 バケットに書き込めるようにするのに役立ちます。
次のポリシーでは、CloudTrail がサポートされている AWS リージョン からクエリ結果をバケットに書き込むことを許可します。{{amzn-s3-demo-bucket}}、{{myAccountID}}、{{myQueryRunningRegion}} を、ご使用の設定に適した値に置き換えてます。{{myAccountID}} は CloudTrail に使用される AWS アカウント ID であり、S3 バケットの AWS アカウント ID とは異なる場合があります。
**注記**
バケットポリシーが KMS キーに関するステートメントを含む場合には、完全修飾 KMS キー ARN を使用することをお勧めします。代わりに KMS キーエイリアスを使用する場合、 はリクエスタのアカウント内のキーを AWS KMS 解決します。この動作により、バケット所有者ではなく、リクエスタに属する KMS キーでデータが暗号化される可能性があります。
これが組織のイベントデータストアである場合は、そのイベントデータストアの ARN に、管理アカウントの AWS アカウント ID が含まれている必要があります。これは、管理アカウントがすべての組織リソースの所有権を保持しているためです。
**S3 バケットポリシー**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailLake1",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": [
"s3:PutObject*",
"s3:Abort*"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
],
"Condition": {
"StringEquals": {
"aws:sourceAccount": "{{111111111111}}"
},
"ArnLike": {
"aws:sourceArn": "arn:aws:cloudtrail:{{us-east-1}}:{{111111111111}}:eventdatastore/*"
}
}
},
{
"Sid": "AWSCloudTrailLake2",
"Effect": "Allow",
"Principal": {"Service":"cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"Condition": {
"StringEquals": {
"aws:sourceAccount": "{{111111111111}}"
},
"ArnLike": {
"aws:sourceArn": "arn:aws:cloudtrail:{{us-east-1}}:{{111111111111}}:eventdatastore/*"
}
}
}
]
}
```
------
**Contents**
+ [CloudTrail Lake クエリ結果の既存のバケットを指定する](#specify-an-existing-bucket-for-cloudtrail-query-results-delivery)
+ [その他のリソース](#cloudtrail-lake-S3-bucket-policy-resources)
## CloudTrail Lake クエリ結果の既存のバケットを指定する
CloudTrail Lake クエリ結果配信のストレージの場所として既存の S3 バケットを指定した場合は、CloudTrail がクエリ結果をバケットに配信できるようにするポリシーをバケットにアタッチする必要があります。
**注記**
ベストプラクティスとして、CloudTrail Lake クエリ結果専用 S3 バケットを使用します。
**必要な CloudTrail ポリシーを Amazon S3 バケットに追加するには**
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. CloudTrail Lake クエリ結果ファイルを配信するバケットを選択し、**[Permissions]** (アクセス許可) を選択します。
1. **[編集]** を選択します。
1. [S3 bucket policy for query results](#s3-bucket-policy-lake-query) を [**Bucket Policy Editor**] ウィンドウにコピーします。イタリック体のプレースホルダーを、バケット、リージョン、アカウント ID の名前に置き換えます。
**注記**
既存のバケットにすでに 1 つ以上のポリシーがアタッチされている場合は、そのポリシーに CloudTrail アクセスのステートメントを追加します。バケットにアクセスするユーザーに適していることを確認するために、作成したアクセス権限のセットを評価します。
## その他のリソース
S3 バケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「[バケットポリシーの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)」を参照してください。