AWS ファイアウォールのログを公開する方法

環境
AWS ファイアウォール
Amazon S3

操作方法
1.権限設定の内容

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "FirewallLogging"
        },
        {
            "Sid": "FirewallLoggingS3",
            "Action": [
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                Amazon S3 bucket ARN"
            ],
            "Effect": "Allow"
        }
    ]
}

デフォルトでは、Amazon S3 バケットとそれに含まれるオブジェクトはプライベートです。

2.ログを作成しているユーザーがバケットを所有している場合、サービスは自動的に 次のポリシーをバケットにアタッチして、ログ権限を付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {"Service": "delivery.logs.amazonaws.com"},
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/optional-folder/AWSLogs/account-id/*",
            "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}}
        },
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {"Service": "delivery.logs.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        }
    ]
}

 

関連記事:

  1. AWS Elastic Network Interface(ENI)の使い方
  2. AWS EC2フルアクセスのポリシーを作成しグループに追加する方法
  3. AWS コマンドでEC2のAMIを作成/削除する方法
  4. AWS リソースネーム (ARN)の使い方のメモ

AWS

Posted by arkgame