翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
証拠ファインダーのデフォルトのエクスポート先の設定
証拠ファインダーでクエリを実行すると、検索結果をカンマ区切り値 (CSV) ファイルにエクスポートできます。この設定を使用して、Audit Manager がエクスポートしたファイルを保存するデフォルトの S3 バケットを選択します。
前提条件
S3 バケットには、 がエクスポートファイルを CloudTrail 書き込めるようにするために必要なアクセス許可ポリシーが必要です。より具体的には、バケットポリシーには s3:PutObject
アクションと バケット が含まれARN、サービスプリンシパル CloudTrail としてリストされている必要があります。
-
使用できるアクセス許可ポリシーの例については、「」を参照してください例 3 (エクスポート先のアクセス許可)。
-
このポリシーを S3 バケットにアタッチする手順については、Amazon S3コンソール を使用したバケットポリシーの追加」を参照してください。
-
その他のヒントについては、このページの「エクスポート先の設定に関するヒント」を参照してください。
エクスポート先の設定に関するヒント
ファイルのエクスポートを確実に成功させるために、エクスポート先の以下の設定を確認することをお勧めします。
- AWS リージョン
-
カスタマーマネージドキー AWS リージョン の (提供した場合) は、評価のリージョンと一致する必要があります。KMS キーを変更する方法については、「Audit Manager データ暗号化設定」を参照してください。
- クロスアカウント S3 バケット
エクスポート先として、クロスアカウント S3 バケットを使用することは、Audit Manager コンソールではサポートされていません。 AWS CLI または の 1 つを使用してクロスアカウントバケットを指定することは可能ですが AWS SDKs、わかりやすくするために、これを行わないことをお勧めします。エクスポート先として、クロスアカウント S3 バケットを使用することを選択する場合は、次の点を考慮してください。
-
デフォルトでは、CSVエクスポートなどの S3 オブジェクトは、オブジェクトをアップロード AWS アカウント する によって所有されます。S3 オブジェクト所有権設定を使用してこのデフォルトの動作を変更し、既定アクセスコントロールリスト (ACL)
bucket-owner-full-control
を持つアカウントによって書き込まれた新しいオブジェクトがバケット所有者によって自動的に所有されるようにすることができます。必須ではありませんが、クロスアカウントバケットの設定に次の変更を加えることをお勧めします。これらの変更をすることで、バケット所有者はバケットに発行するエクスポート済みファイルを完全に制御できます。
-
S3 バケットのオブジェクト所有権を、デフォルトのオブジェクトライターではなく、優先バケット所有者に設定
-
バケットポリシーを追加して、そのバケットにアップロードされたオブジェクトに があることを確認します。
bucket-owner-full-control
ACL
-
-
Audit Manager がファイルをクロスアカウント S3 バケットにエクスポートできるようにするには、次の S3 バケットポリシーをエクスポート先に追加する必要があります。を置き換える
placeholder text
自分の情報を入力します。このポリシーのPrincipal
要素は、評価を所有し、ファイルをエクスポートするユーザーまたはロールです。Resource
は、ファイルのエクスポート先のクロスアカウント S3 バケットを指定します。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow cross account file exports", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
AssessmentOwnerAccountId
:user/AssessmentOwnerUserName
" }, "Action": [ "s3:ListBucket", "s3:PutObject", "s3:GetObject", "s3:GetBucketLocation", "s3:PutObjectAcl", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::CROSS-ACCOUNT-BUCKET
", "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*
" ] } ] }
-
手順
この設定は、Audit Manager コンソール、 AWS Command Line Interface (AWS CLI)、または Audit Manager を使用して更新できますAPI。