を使用したデータのエクスポート CloudShell

AWS コンソールにログインします。

AWS CloudShellを開きます。

AWS CloudShell はブラウザ内で動作するコマンドライン環境です。内では AWS CloudShell、 AWS Command Line Interface を使用して多くの AWS サービスを起動および設定できます。

で AWS CloudShell、次のコマンドを入力します。ここで、bucketname は作成するバケットの名前です。

$ aws s3api create-bucket --bucket bucketname --region us-east-1

このコマンドで、raw データを保存する Amazon S3 バケットを作成します。コンソールから簡単にバケットへアクセスできるようになり、適宜データをダウンロードできるようになります。詳細については、「Amazon S3 バケットの作成、設定、操作」を参照してください。

上記のコマンドは、米国東部 (バージニア北部) リージョンにバケットを作成します。必要に応じて、リクエストボディに別のリージョンを指定できます。詳細については、「リージョン、アベイラビリティーゾーン、および Local Zones」を参照してください。

次のような出力が表示されます。

{ "Location": "/bucketname" }

作成したバケットの Amazon リソースネーム (ARN） を特定します。

arn:aws:s3:::bucketname

以下のコードをテキストエディタに貼り付け、 monitron-assumes-role.json として保存します。Microsoft Word は使用しないでください。余分な文字が追加されてしまいます。メモ帳や などのシンプルなテキストエディタを使用します TextEdit。

このポリシーでは、S3 バケットへアクセスできるロールを引き受ける権限を Amazon Monitron に付与します。詳細については、「 のポリシーとアクセス許可」を参照してくださいIAM。

{
	"Version": "2012-10-17",
	"Statement": [{
		"Effect": "Allow",
		"Principal": {
			"Service": ["monitron.amazonaws.com"]
		},
		"Action": "sts:AssumeRole"
	}]
}

以下のテキストをテキストエディタに貼り付け、 monitron-role-accesses-s3.json として保存します。

このポリシーで、Amazon Monitron は (上記で作成したロールを使用して) Amazon S3 バケットにアクセスできるようになります。

{
    "Statement": [
        {
            "Action": [
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::bucketname"
            ]
        },
        {
            "Action": [
                "s3:PutObject",
                "s3:GetBucketAcl"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::bucketname/*"
            ]
        }
    ],
    "Version": "2012-10-17"
}

先ほど作成したテキストファイルで、 のすべての出現bucketnameをバケットの名前に置き換えます。

例えば、バケットの名前が「relentless」の場合、ファイルは次のようになります。

{
    "Statement": [
        {
            "Action": [
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::relentless"
            ]
        },
        {
            "Action": [
                "s3:PutObject",
                "s3:GetBucketAcl"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::relentless/*"
            ]
        }
    ],
    "Version": "2012-10-17"
}

作成した JSON ファイルをホームディレクトリ CloudShell の にアップロードします。

ファイルをアップロードするには、 CloudShell コンソールページの右上隅からアクションを選択し、ファイルのアップロードを選択します。

でコマンドラインに次のように入力します CloudShell。

aws iam create-role --role-name role-for-monitron --assume-role-policy-document "cat monitron-assumes-role.json"

このコマンドはロールを作成し、ポリシーをアタッチします monitron-assumes-role。

次のような出力が表示されます。

 {
	"Role": {
		"Path": "/",
		"RoleName": "role-for-monitron",
		"RoleId": "AROAT7PQQWN6BMTMASVPP",
		"Arn": "arn:aws:iam::273771705212:role/role-for-monitron",
		"CreateDate": "2021-07-14T02:48:15+00:00",
		"AssumeRolePolicyDocument": {
			"Version": "2012-10-17",
			"Statement": [{
				"Sid": "",
				"Effect": "Allow",
				"Principal": {
					"Service": [
						"monitron.amazonaws.com"
					]
				},
				"Action": "sts:AssumeRole"
			}]
		}
	}
}

先ほど作成したロールARNの値を書き留めます。後で必要になります。

この例では、ARN値は です。 arn:aws:iam::273771705212:role/role-for-monitron

でコマンドラインに次のように入力します CloudShell。

aws iam create-policy --policy-name role-uses-bucket --policy-document "cat role-uses-bucket.json"

このコマンドは monitron-role-accesses-s3 つのポリシーを作成します。

次のような出力が表示されます。

 {
	"Policy": {
		"PolicyName": "role-uses-bucket",
		"PolicyId": "ANPAT7PQQWN6I5KLORSDQ",
		"Arn": "arn:aws:iam::273771705212:policy/role-uses-bucket",
		"Path": "/",
		"DefaultVersionId": "v1",
		"AttachmentCount": 0,
		"PermissionsBoundaryUsageCount": 0,
		"IsAttachable": true,
		"CreateDate": "2021-07-14T02:19:23+00:00",
		"UpdateDate": "2021-07-14T02:19:23+00:00"
	}
}

先ほど作成したポリシーのARN値を書き留めます。次のステップで必要になります。

この例では、ARN値は です。

arn:aws:iam::273771705212:policy/role-uses-bucket

のコマンドラインに次のように入力し CloudShell、 をポリシーARNの に置き換えARNます role-uses-bucket。

 aws iam attach-role-policy --role-name role-for-monitron --policy-arn
      arn:aws:iam::273771705212:policy/role-uses-bucket 

このコマンドは、先ほど作成したロールに monitron-role-accesses-s3 ポリシーをアタッチします。

これで、Amazon S3 バケット、Amazon Monitron が引き受けることができるロール、Amazon Monitron がそのロールを引き受けることを許可するポリシー、およびそのロールを使用するサービスが Amazon S3 バケットを使用することを許可する別のポリシーを作成し、プロビジョニングすることができました。

ユーザーはデータを保護するための適切な措置を講じる責任があります。サーバー側の暗号化を使用し、バケットへのパブリックアクセスをブロックすることを強くお勧めします。詳細については「パブリックアクセスのブロック」を参照してください。

AWS コンソールから、任意のページの右上隅にある疑問符アイコンを選択し、サポートセンターを選択します。

次のページで、[ケースの作成] を選択します。

「ヘルプ方法」ページで、次の操作を行います。

1. [アカウントおよび請求サポート] を選択します。

2. サービスで、アカウントを選択します。

3. [カテゴリ] で、[コンプライアンスと認定] を選択します。

4. サポート契約に基づいてそのオプションが利用できる場合は、[重要度] を選択します。

5. [Next step: Additional information] (次のステップ:追加情報) を選択します。

   

「追加情報」で、次の操作を行います。

1. [件名] に Amazon Monitron data export request と入力します。

2. [説明] フィールドに、次のように入力します。

   1. アカウント ID

   2. 作成したバケットのリージョン

   3. 作成したバケットARNの （例：「arn:aws:s3:::bucketname」）

   4. 作成したロールARNの （例：「arn:aws:iam::273771705212:role/role-for-monitron」）

   

3. [次のステップ: 今すぐ解決またはお問い合わせ] を選択します。

今すぐ解決するか、お問い合わせください。

1. 今すぐ解決で、次へを選択します。

   

2. お問い合わせで、ご希望の連絡先言語とご希望の連絡方法を選択します。

3. [送信] を選択します。ケース ID と詳細を含む確認画面が表示されます。