CloudTrail用のS3 Bucket Policyの設定（全リージョン対応版）

以前に、CloudTrailのログを受け取るのに、S3 Bucket Policyでリージョンごとに設定を追加する方法を書いた。

• [AWS] ap-northeast-2 リージョンのCloudTrailのログのPutを許可する

Central regionやLondon regionが追加されたということで、また更新しないといけないかと思ったら、いつの間にか、今後登場するものも含めて、全てのリージョンに対応する方法が案内されていた。

• Amazon S3 Bucket Policy for CloudTrail – AWS CloudTrail

つまり、下記のようなPolicyを適用すれば良いようだ。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::myBucketName"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::myBucketName/[optional prefix]/AWSLogs/myAccountID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
               }
            }
        }
    ]
}

myBucketName, optional prefix, myAccountID を書き換える。複数のアカウントから受ける場合は、myAccountIDはワイルドカード ‘*’ にできる。

元記事はこちら

「CloudTrail用のS3 Bucket Policyの設定（全リージョン対応版）」