ステップ 1: Firehose 配信ストリームを作成する - Amazon CloudWatch ログ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: Firehose 配信ストリームを作成する

重要

以下の手順を実行する前に、Firehose が Amazon S3 バケットにアクセスできるように、アクセスポリシーを使用する必要があります。詳細については、「Amazon Data Firehose 開発者ガイド」の「Controlling Access」を参照してください。

このセクションのすべての手順 (ステップ 1) は、ログデータの受取人アカウントで行われます。

次のサンプルコマンドでは、米国東部 (バージニア北部) が使用されています。このリージョンを、デプロイに適したリージョンに置き換えます。

送信先として使用する Firehose 配信ストリームを作成するには

  1. Amazon S3 バケットの作成

    aws s3api create-bucket --bucket amzn-s3-demo-bucket --create-bucket-configuration LocationConstraint=us-east-1

  2. バケットにデータを配置するためのアクセス許可を Firehose に付与する IAM ロールを作成します。

    1. まず、テキストエディタを使用して、ファイル ~/TrustPolicyForFirehose.json で信頼ポリシーを作成します。

      { "Statement": { "Effect": "Allow", "Principal": { "Service": "firehose.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId":"222222222222" } } } }

    2. 作成したばかりの信頼ポリシーファイルを指定して、IAM ロールを作成します。

      aws iam create-role \ 
    --role-name FirehosetoS3Role \ 
    --assume-role-policy-document file://~/TrustPolicyForFirehose.json

    3. このコマンドの出力は、次のようになります。ロール名とロール ARN を書き留めます。

      {
    "Role": {
        "Path": "/",
        "RoleName": "FirehosetoS3Role",
        "RoleId": "AROAR3BXASEKW7K635M53",
        "Arn": "arn:aws:iam::222222222222:role/FirehosetoS3Role",
        "CreateDate": "2021-02-02T07:53:10+00:00",
        "AssumeRolePolicyDocument": {
            "Statement": {
                "Effect": "Allow",
                "Principal": {
                    "Service": "firehose.amazonaws.com"
                },
                "Action": "sts:AssumeRole",
                "Condition": {
                    "StringEquals": {
                        "sts:ExternalId": "222222222222"
                    }
                }
            }
        }
    }
}

  3. アクセス許可ポリシーを作成し、Firehose がアカウントで実行できるアクションを定義します。

    1. まず、テキストエディタを使用して、~/PermissionsForFirehose.json という名前のファイルに以下のようなアクセス許可ポリシーを作成します。ユースケースによっては、このファイルにさらにアクセス権限を追加する必要がある場合があります。

      {
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
    }]
}

    2. 次のコマンドを入力して、先ほど作成したアクセス権限ポリシーを IAM ロールに関連付けます。

      aws iam put-role-policy --role-name FirehosetoS3Role --policy-name Permissions-Policy-For-Firehose-To-S3 --policy-document file://~/PermissionsForFirehose.json

  4. 次のコマンドを入力して、Firehose 配信ストリームを作成します。my-role-arn および amzn-s3-demo-bucket2-arn をデプロイに適した値に置き換えます。

    aws firehose create-delivery-stream \
   --delivery-stream-name 'my-delivery-stream' \
   --s3-destination-configuration \
  '{"RoleARN": "arn:aws:iam::222222222222:role/FirehosetoS3Role", "BucketARN": "arn:aws:s3:::amzn-s3-demo-bucket"}'

    出力は次の例に類似したものになります:

    {
    "DeliveryStreamARN": "arn:aws:firehose:us-east-1:222222222222:deliverystream/my-delivery-stream"
}