翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
コンソールを使用してログデータを Amazon S3 にエクスポートする
次の例では、Amazon CloudWatch コンソールを使用して、 という名前の Amazon CloudWatch Logs ロググループから という名前の Amazon S3 バケットmy-log-groupにすべてのデータをエクスポートしますmy-exported-logs。
で暗号化された S3 KMSバケットへのログデータのエクスポートSSEがサポートされています。でKMS暗号化されたバケットへのエクスポートDSSEはサポートされていません。
エクスポートの設定方法の詳細は、エクスポート先の Amazon S3 バケットがエクスポート対象のログと同じアカウントにあるか、別のアカウントにあるかによって異なります。
同一アカウントへのエクスポート
Amazon S3 バケットがエクスポート対象のログと同じアカウントにある場合は、このセクションの手順を使用してください。
トピック
ステップ 1: Amazon S3 バケットを作成する
CloudWatch ログ専用に作成されたバケットを使用することをお勧めします。ただし、既存のバケットを使用する場合は、ステップ 2 に進むことができます。
注記
S3 バケットは、エクスポートするログデータと同じリージョンに存在する必要があります。 CloudWatch ログは、別のリージョンの S3 バケットへのデータのエクスポートをサポートしていません。
S3 バケットを作成するには
https://console.aws.amazon.com/s3/
で Amazon S3 コンソールを開きます。 -
必要に応じて、リージョンを変更します。ナビゲーションバーから、 CloudWatch ログが存在するリージョンを選択します。
-
バケットの作成 を選択します。
-
[バケット名] にバケットの名前を入力します。
-
リージョンで、 CloudWatch ログデータが存在するリージョンを選択します。
-
[Create] (作成) を選択します。
ステップ 2: アクセス許可を設定する
ステップ 5 でエクスポートタスクを作成するには、 AmazonS3ReadOnlyAccessIAMロールと次のアクセス許可でサインオンする必要があります。
logs:CreateExportTasklogs:CancelExportTasklogs:DescribeExportTaskslogs:DescribeLogStreamslogs:DescribeLogGroups
アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
-
以下のユーザーとグループ AWS IAM Identity Center:
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
-
ID プロバイダーIAMを介して で管理されるユーザー:
ID フェデレーションのロールを作成します。「 IAMユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) のロールを作成する」の手順に従います。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。「 ユーザーガイド」の「 IAMユーザーのロールを作成する」の手順に従います。 IAM
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。「 IAMユーザーガイド」の「ユーザーへのアクセス許可の追加 (コンソール)」の手順に従います。
-
ステップ 3: S3 バケットのアクセス許可を設定する
すべての S3 バケットとオブジェクトは、デフォルト状態でプライベートに設定されます。バケットを作成した AWS アカウント (リソース所有者) のみが、バケットとそれに含まれるオブジェクトにアクセスできます。ただし、リソース所有者は、アクセスポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与することができます。
ポリシーを設定する場合は、ランダムに生成された文字列をバケットのプレフィックスとして含めることをお勧めします。これにより、意図したログストリームのみがバケットにエクスポートされます。
重要
S3 バケットへのエクスポートをより安全にするために、ログデータを S3 バケットにエクスポートできるソースアカウントのリストの指定が必要になりました。
次の例では、IDsaws:SourceAccountキー内のアカウントのリストは、ユーザーがログデータを S3 バケットにエクスポートできるアカウントになります。aws:SourceArn キーは、アクションが実行される対象のリソースです。これを特定のロググループに制限することも、この例のようにワイルドカードを使用することもできます。
S3 バケットが作成されたアカウントのアカウント ID も含めることで、エクスポートを同じアカウント内で行えるようにすることをお勧めします。
Amazon S3 バケットに対する権限を設定するには
-
Amazon S3 コンソールで、ステップ 1 で作成したバケットを選択します。
-
[Permissions (アクセス許可)]、[Add bucket policy (バケットポリシーの追加)] の順に選択します。
-
[Bucket Policy Editor] (バケットポリシーエディタ) で、以下のポリシーを追加します。
my-exported-logsを Amazon S3 バケットの名前に変更します。[プリンシパル] にus-west-1などの正しいリージョンエンドポイントを指定してください。{ "Version": "2012-10-17", "Statement": [ { "Action": "s3:GetBucketAcl", "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Condition": { "StringEquals": { "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:Region:AccountId1:log-group:*", "arn:aws:logs:Region:AccountId2:log-group:*", ... ] } } }, { "Action": "s3:PutObject" , "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs/*", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:Region:AccountId1:log-group:*", "arn:aws:logs:Region:AccountId2:log-group:*", ... ] } } } ] } -
[Save] を選択して、バケットに対するアクセスポリシーとして追加したポリシーを設定します。このポリシーにより、 CloudWatch ログがログデータを S3 バケットにエクスポートできるようになります。バケット所有者には、エクスポートされたすべてのオブジェクトに対する完全なアクセス権限があります。
警告
既存のバケットに既に 1 つ以上のポリシーがアタッチされている場合は、そのポリシーへの CloudWatch Logs アクセスのステートメントを追加します。バケットにアクセスするユーザーに適したアクセス許可であることを確認するために、アクセス許可の結果セットを評価することをお勧めします。
(オプション) ステップ 4: で暗号化されたバケットにエクスポートする SSE-KMS
このステップは、 でサーバー側の暗号化を使用する S3 バケットにエクスポートする場合にのみ必要です AWS KMS keys。この暗号化は SSE- と呼ばれますKMS。
で暗号化されたバケットにエクスポートするには SSEKMS
-
https://console.aws.amazon.com/kms
で AWS KMS コンソールを開きます。 -
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
-
左のナビゲーションバーで、[Customer managed keys] (カスタマーマネージドキー) を選択します。
[Create Key] (キーを作成) を選択します。
-
[キーの種類] で、[対称] を選択します。
-
[Key usage] (キーの使用) で、[Encrypt and decrypt] (暗号化および復号化) 、[Next] (次へ) の順に選択します。
-
[Add labels] (ラベルを追加) で、キーのエイリアスを入力し、オプションで説明またはタグを追加します。次いで、[次へ] を選択します。
-
[Key administrators] (キー管理者) で、このキーを管理できるユーザーを選択した後、[Next] (次へ) を選択します。
-
[Define key usage permissions] (キーの使用アクセス許可を定義) の設定は変更せずに、[Next] (次へ) を選択します。
-
設定した内容を確認し、[Finish] (終了) を選択します。
-
[Customer managed keys] (カスタマーマネージドキー) ページに戻り、この前に作成したキーの名前を選択します。
-
[Key policy] (キーポリシー) タブを表示し、次に [Switch to policy view] (ポリシービューへの切り替え) を選択します。
-
[Key policy] (キーポリシー) セクションで、[Edit] (編集) を選択します。
-
キーポリシーステートメントのリストに、次のステートメントを追加します。その場合は、 をログのリージョン
Regionに置き換え、 ARNをKMSキーを所有するアカウントのaccount-ARNに置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow CWL Service Principal usage", "Effect": "Allow", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "account-ARN" }, "Action": [ "kms:GetKeyPolicy*", "kms:PutKeyPolicy*", "kms:DescribeKey*", "kms:CreateAlias*", "kms:ScheduleKeyDeletion*", "kms:Decrypt" ], "Resource": "*" } ] } -
[Save changes] (変更の保存) をクリックします。
https://console.aws.amazon.com/s3/
で Amazon S3 コンソールを開きます。 -
ステップ 1: S3 バケットを作成する。 で作成したバケットを検索し、その名前を選択します。
-
[プロパティ] タブを選択します。[Default Encryption] (デフォルトの暗号化) で、[Edit] (編集) を選択します。
-
[Server-side Encryption] (サーバー側の暗号化) で、[Enable] (有効化) を選択します。
-
暗号化タイプで、AWS Key Management Service キー (SSE-KMS) を選択します。
-
AWS KMS キーから選択を選択し、作成したキーを見つけます。
-
[Bucket key] (バケットキー) で、[Enable] (有効化) を選択します。
-
[Save changes] (変更の保存) をクリックします。
ステップ 5: エクスポートタスクを作成する
このステップでは、ロググループからログをエクスポートするためのエクスポートタスクを作成します。
CloudWatch コンソールを使用して Amazon S3 にデータをエクスポートするには
-
ステップ 2: アクセス許可を設定する に記載されているように、十分なアクセス許可を使用してサインインします。
で CloudWatch コンソールを開きますhttps://console.aws.amazon.com/cloudwatch/
。 -
ナビゲーションペインで、[ロググループ] を選択します。
-
[ロググループ] 画面で、ロググループの名前を選択します。
-
[Actions (アクション)]、[Export data to Amazon S3 (データを Amazon S3 にエクスポート)] の順に選択します。
-
[Export data to Amazon S3 (データを Amazon S3 にエクスポート)] 画面の [Define data export (データエクスポートを定義)] で、[From (開始)] と [To (終了)] を使用してデータをエクスポートする時間の範囲を設定します。
-
ロググループに複数のログストリームがある場合は、特定のストリームのロググループデータを制限するログストリームプレフィックスを指定できます。[Advanced (詳細設定)] を選択して、[ストリームプレフィックス] にログストリームプレフィックスを入力します。
-
[Choose S3 bucket] (S3 バケットの選択) で、S3 バケットに関連付けられたアカウントを選択します。
-
[S3 bucket name] (S3 バケット名) で、 バケットを選択します。
-
[S3 バケットプレフィックス] にバケットポリシーで指定した、ランダムに生成された文字列を入力します。
-
[Export (エクスポート)] を選択して、ログデータを Amazon S3 にエクスポートします。
-
Amazon S3 にエクスポートしたログデータのステータスを表示するには、[Actions (アクション)]、[View all exports to Amazon S3 (Amazon S3 へのすべてのエクスポートを表示)] を選択します。
クロスアカウントでのエクスポート
Amazon S3 バケットがエクスポート対象のログとは別のアカウントにある場合は、このセクションの手順を使用してください。
トピック
ステップ 1: Amazon S3 バケットを作成する
CloudWatch ログ専用に作成されたバケットを使用することをお勧めします。ただし、既存のバケットを使用する場合は、ステップ 2 に進むことができます。
注記
S3 バケットは、エクスポートするログデータと同じリージョンに存在する必要があります。 CloudWatch ログは、別のリージョンの S3 バケットへのデータのエクスポートをサポートしていません。
S3 バケットを作成するには
https://console.aws.amazon.com/s3/
で Amazon S3 コンソールを開きます。 -
必要に応じて、リージョンを変更します。ナビゲーションバーから、 CloudWatch ログが存在するリージョンを選択します。
-
バケットの作成 を選択します。
-
[バケット名] にバケットの名前を入力します。
-
リージョンで、 CloudWatch ログデータが存在するリージョンを選択します。
-
[Create] (作成) を選択します。
ステップ 2: アクセス許可を設定する
まず、新しいIAMポリシーを作成して、 CloudWatch ログが送信先アカウントの送信先 Amazon S3 バケットに対する s3:PutObject アクセス許可を持つようにする必要があります。
作成するポリシーは、レプリケート先バケットが AWS KMS 暗号化を使用するかどうかによって異なります。
Amazon S3 バケットにログをエクスポートする IAMポリシーを作成するには
https://console.aws.amazon.com/iam/
で IAM コンソールを開きます。 左側のナビゲーションペインで、[ポリシー] を選択します。
[Create policy] を選択します。
ポリシーエディタセクションで、 を選択しますJSON。
送信先バケットが AWS KMS 暗号化を使用しない場合は、次のポリシーをエディタに貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-exported-logs/*" } ] }レプリケート先バケットが AWS KMS 暗号化を使用している場合は、次のポリシーをエディタに貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-exported-logs/*" }, { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "ARN_OF_KMS_KEY" } ] }[Next (次へ)] を選択します。
ポリシー名を入力します。この名前を使用して、ポリシーをIAMロールにアタッチします。
次に、[ポリシーの作成] を選択してポリシーを保存します。
ステップ 5 でエクスポートタスクを作成するには、 AmazonS3ReadOnlyAccessIAMロールでサインオンする必要があります。また、先ほど作成したIAMポリシーと、次のアクセス許可でサインオンする必要があります。
logs:CreateExportTasklogs:CancelExportTasklogs:DescribeExportTaskslogs:DescribeLogStreamslogs:DescribeLogGroups
アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
-
以下のユーザーとグループ AWS IAM Identity Center:
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
-
ID プロバイダーIAMを介して で管理されるユーザー:
ID フェデレーションのロールを作成します。「 IAMユーザーガイド」の「サードパーティー ID プロバイダーのロールを作成する (フェデレーション)」の手順に従います。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。「 IAMユーザーガイド」の「 IAMユーザーのロールを作成する」の手順に従います。
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。「 IAMユーザーガイド」の「ユーザーへのアクセス許可の追加 (コンソール)」の手順に従います。
-
ステップ 3: S3 バケットのアクセス許可を設定する
すべての S3 バケットとオブジェクトは、デフォルト状態でプライベートに設定されます。バケットを作成した AWS アカウント (リソース所有者) のみが、バケットとそれに含まれるオブジェクトにアクセスできます。ただし、リソース所有者は、アクセスポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与することができます。
ポリシーを設定する場合は、ランダムに生成された文字列をバケットのプレフィックスとして含めることをお勧めします。これにより、意図したログストリームのみがバケットにエクスポートされます。
重要
S3 バケットへのエクスポートをより安全にするために、ログデータを S3 バケットにエクスポートできるソースアカウントのリストの指定が必要になりました。
次の例では、IDsaws:SourceAccountキー内のアカウントのリストは、ユーザーがログデータを S3 バケットにエクスポートできるアカウントになります。aws:SourceArn キーは、アクションが実行される対象のリソースです。これを特定のロググループに制限することも、この例のようにワイルドカードを使用することもできます。
S3 バケットが作成されたアカウントのアカウント ID も含めることで、エクスポートを同じアカウント内で行えるようにすることをお勧めします。
Amazon S3 バケットに対する権限を設定するには
-
Amazon S3 コンソールで、ステップ 1 で作成したバケットを選択します。
-
[Permissions (アクセス許可)]、[Add bucket policy (バケットポリシーの追加)] の順に選択します。
-
[Bucket Policy Editor] (バケットポリシーエディタ) で、以下のポリシーを追加します。
my-exported-logsを Amazon S3 バケットの名前に変更します。[プリンシパル] にus-west-1などの正しいリージョンエンドポイントを指定してください。{ "Version": "2012-10-17", "Statement": [ { "Action": "s3:GetBucketAcl", "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Condition": { "StringEquals": { "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:Region:AccountId1:log-group:*", "arn:aws:logs:Region:AccountId2:log-group:*", ... ] } } }, { "Action": "s3:PutObject" , "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs/*", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:Region:AccountId1:log-group:*", "arn:aws:logs:Region:AccountId2:log-group:*", ... ] } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::create_export_task_caller_account:role/role_name" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-exported-logs/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] } -
[Save] を選択して、バケットに対するアクセスポリシーとして追加したポリシーを設定します。このポリシーにより、 CloudWatch ログがログデータを S3 バケットにエクスポートできるようになります。バケット所有者には、エクスポートされたすべてのオブジェクトに対する完全なアクセス権限があります。
警告
既存のバケットに既に 1 つ以上のポリシーがアタッチされている場合は、そのポリシーへの CloudWatch Logs アクセスのステートメントを追加します。バケットにアクセスするユーザーに適したアクセス許可であることを確認するために、アクセス許可の結果セットを評価することをお勧めします。
(オプション) ステップ 4: で暗号化されたバケットにエクスポートする SSE-KMS
このステップは、 でサーバー側の暗号化を使用する S3 バケットにエクスポートする場合にのみ必要です AWS KMS keys。この暗号化は SSE- と呼ばれますKMS。
で暗号化されたバケットにエクスポートするには SSEKMS
-
https://console.aws.amazon.com/kms
で AWS KMS コンソールを開きます。 -
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
-
左のナビゲーションバーで、[Customer managed keys] (カスタマーマネージドキー) を選択します。
[Create Key] (キーを作成) を選択します。
-
[キーの種類] で、[対称] を選択します。
-
[Key usage] (キーの使用) で、[Encrypt and decrypt] (暗号化および復号化) 、[Next] (次へ) の順に選択します。
-
[Add labels] (ラベルを追加) で、キーのエイリアスを入力し、オプションで説明またはタグを追加します。次いで、[次へ] を選択します。
-
[Key administrators] (キー管理者) で、このキーを管理できるユーザーを選択した後、[Next] (次へ) を選択します。
-
[Define key usage permissions] (キーの使用アクセス許可を定義) の設定は変更せずに、[Next] (次へ) を選択します。
-
設定した内容を確認し、[Finish] (終了) を選択します。
-
[Customer managed keys] (カスタマーマネージドキー) ページに戻り、この前に作成したキーの名前を選択します。
-
[Key policy] (キーポリシー) タブを表示し、次に [Switch to policy view] (ポリシービューへの切り替え) を選択します。
-
[Key policy] (キーポリシー) セクションで、[Edit] (編集) を選択します。
-
キーポリシーステートメントのリストに、次のステートメントを追加します。その場合は、 をログのリージョン
Regionに置き換え、 ARNをKMSキーを所有するアカウントのaccount-ARNに置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow CWL Service Principal usage", "Effect": "Allow", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "account-ARN" }, "Action": [ "kms:GetKeyPolicy*", "kms:PutKeyPolicy*", "kms:DescribeKey*", "kms:CreateAlias*", "kms:ScheduleKeyDeletion*", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "Enable IAM Role Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::create_export_task_caller_account:role/role_name" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "ARN_OF_KMS_KEY" } ] } -
[Save changes] (変更の保存) をクリックします。
https://console.aws.amazon.com/s3/
で Amazon S3 コンソールを開きます。 -
ステップ 1: S3 バケットを作成する。 で作成したバケットを検索し、その名前を選択します。
-
[プロパティ] タブを選択します。[Default Encryption] (デフォルトの暗号化) で、[Edit] (編集) を選択します。
-
[Server-side Encryption] (サーバー側の暗号化) で、[Enable] (有効化) を選択します。
-
暗号化タイプで、AWS Key Management Service キー (SSE-KMS) を選択します。
-
AWS KMS キーから選択を選択し、作成したキーを見つけます。
-
[Bucket key] (バケットキー) で、[Enable] (有効化) を選択します。
-
[Save changes] (変更の保存) をクリックします。
ステップ 5: エクスポートタスクを作成する
このステップでは、ロググループからログをエクスポートするためのエクスポートタスクを作成します。
CloudWatch コンソールを使用して Amazon S3 にデータをエクスポートするには
-
ステップ 2: アクセス許可を設定する に記載されているように、十分なアクセス許可を使用してサインインします。
で CloudWatch コンソールを開きますhttps://console.aws.amazon.com/cloudwatch/
。 -
ナビゲーションペインで、[ロググループ] を選択します。
-
[ロググループ] 画面で、ロググループの名前を選択します。
-
[Actions (アクション)]、[Export data to Amazon S3 (データを Amazon S3 にエクスポート)] の順に選択します。
-
[Export data to Amazon S3 (データを Amazon S3 にエクスポート)] 画面の [Define data export (データエクスポートを定義)] で、[From (開始)] と [To (終了)] を使用してデータをエクスポートする時間の範囲を設定します。
-
ロググループに複数のログストリームがある場合は、特定のストリームのロググループデータを制限するログストリームプレフィックスを指定できます。[Advanced (詳細設定)] を選択して、[ストリームプレフィックス] にログストリームプレフィックスを入力します。
-
[Choose S3 bucket] (S3 バケットの選択) で、S3 バケットに関連付けられたアカウントを選択します。
-
[S3 bucket name] (S3 バケット名) で、 バケットを選択します。
-
[S3 バケットプレフィックス] にバケットポリシーで指定した、ランダムに生成された文字列を入力します。
-
[Export (エクスポート)] を選択して、ログデータを Amazon S3 にエクスポートします。
-
Amazon S3 にエクスポートしたログデータのステータスを表示するには、[Actions (アクション)]、[View all exports to Amazon S3 (Amazon S3 へのすべてのエクスポートを表示)] を選択します。
