メインコンテンツまでスキップ
Sumo Logic Japanese

AWS 製品へのアクセス権限の付与

AWS Source の設定や S3 への Data Forwarding を行う前に、Sumo Logic のアクセス許可を付与する必要があります。それらのアクセス許可は、Amazon Web Service Identity and Access Management (IAM) によって管理します。 

組織の AWS アカウントに Identity & Access Management がまだ含まれていない場合は、AWS Source を設定する前にこのオプションを追加する必要があります。これを行わない場合、データにアクセスするための適切なアクセス許可が Sumo Logic に与えられません。

操作手順と、Identity and Access Management の使用方法の詳細については、AWS Identity and Access Management (IAM) を参照してください。

Sumo Logic にアクセス許可を付与するには、IAM ユーザまたは IAM ロールのいずれかを使用します。AWS および Sumo Logic では、セキュリティに優れた IAM ロールを使用することを推奨しています。IAM ロールは、AWS ID と許可のポリシーで構成されている点でユーザと似ており、特定の ID が AWS で実行できること、および実行できないことを定めます。ただし、ロールは、1 人の人物と一意に関連付けられるのではなく、それを必要とするすべての人に適用できることが想定されています。また、ロールには標準の長期的な認証情報 (パスワードまたはアクセス キー) が関連付けられません。その代わりに、ユーザにロールが割り当てられると、一時的なセキュリティ認証情報が動的に作成され、ユーザに提供されます。

次のビデオは、S3 Source の作成時に IAM ロールを設定する方法を示しています。

次の手順では、Sumo Logic に与えるアクセス許可を含んだカスタム ポリシーを JSON で指定する必要があります。JSON ポリシーに必要な許可は、作成する Source ごとに異なります。ポリシーは結合することができます。

CloudFormation

ロールは、IAM コンソールまたは CloudFormation テンプレートを使用して設定できます。CloudFormation を使用することをお勧めします。

IAM ロール

roleARN を取得するには、AWS で IAM Role を作成する必要があります。AWS ユーザ ガイドの該当するセクションに記載されている手順に従ってください。

  1. AWS 管理コンソールにサインインして、IAM コンソールを開きます。

  2. コンソールのナビゲーション ペインで、[Roles (ロール)] を選択し、次に [Create role (ロールを作成)] を選択します。

  3. [Another AWS account (他の AWS アカウント)] ロール タイプを選択します。

  4. [Account ID (アカウント ID)] に Sumo Logic の ID である 926226587429 を入力します。

  5. [Options (オプション)] セクションでは、セキュリティを強化するために [Require external ID (外部 ID を要求する)] を有効にする必要があります。詳細については、AWS ユーザ ガイドの「外部 ID の使用が必要な理由」を参照してください。外部 ID は、Sumo アカウント固有のものであり、指定された形式である必要があります。

    形式: SumoDeployment:SumoAccountId
    例: us1:0000000000000131

    SumoDeployment は、小文字の au、ca、de、eu、fed、in、jp、us1、us2 のいずれかにする必要があります。
    SumoAccountId は組織 ID であり、アカウント ページで見つけることができます。

  6. [Require MFA (MFA が必要)] オプションはサポートされていません。

  7. [Next: Permissions (次へ: アクセス許可)] をクリックします。

  8. AWS ユーザ ガイドの手順 8 で、カスタム ポリシーを作成します。Source タイプに JSON アクセス ポリシーを使用します。詳細については、AWS ユーザ ガイドのアクセス ポリシーのセクションを参照してください。

  9. ロールを作成したら、Source の作成時に Sumo Logic で指定するために、ロール ARN をコピーします。

IAM ユーザ

  1. AWS で IAM ユーザを作成します。この詳細については、AWS ユーザ ガイドの該当するセクションを参照してください。
    1. アクセス キー ID とシークレット アクセス キーの認証情報を保存します。これらは、Sumo Logic で必要になります。
  2. IAM ユーザのカスタム ポリシーを作成します。AWS ユーザ ガイドのアクセス ポリシーのセクションを参照の上、自分の Source タイプの JSON アクセス ポリシーを使用してください。

JSON アクセス ポリシー

AWS S3 ポリシー

このポリシーは、AWS S3 SourceAWS S3 監査 SourceAWS CloudFront SourceAWS CloudTrail Source、および AWS ELB Source に対応します。

JSON ポリシーの Resource セクションにある your_bucketname プレースホルダを実際の S3 バケット名に置き換えます。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:ListBucketVersions",
            "s3:ListBucket"
         ],
         "Effect":"Allow",
         "Resource":[
            "arn:aws:s3:::your_bucketname/*",
            "arn:aws:s3:::your_bucketname"
         ]
      }
   ]
}

サーバ側の暗号化データに対する KMS 鍵ポリシー

暗号化された Source から、暗号化された CloudTrail ログなどのデータを収集するには、KMS 鍵ポリシーで KMS リソースへのアクセス権限も追加する必要があります。鍵ポリシーの [Principal (プリンシパル)] セクションに IAM ユーザまたはロールを追加して、kms:Decrypt アクションを指定します。詳細については、「鍵ポリシーの例」を参照してください。

AWS CloudWatch Source ポリシー

このポリシーは、Amazon CloudWatch メトリクス Source に対応します。

tag:GetResources  パラメータは、タグをサポートする AWS 名前空間からタグを収集する CloudWatch Source を作成する場合にのみ必要です。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "tag:GetResources"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

メトリクス用 AWS メタデータ (タグ) Source ポリシー

このポリシーは、メトリクス用 AWS メタデータ (タグ) Source に対応します。

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Action": [
               "tag:GetResources"
           ],
           "Effect": "Allow",
           "Resource": "*"
       }
   ]
}

Data Forwarding ポリシー

このポリシーは、Sumo Logic から S3 への Data Forwarding に対応します。

JSON ポリシーの Resource セクションにある your_bucketname プレースホルダを実際の S3 バケット名に置き換えます。

{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "s3:PutObject"
         ],
         "Resource":[  
            "arn:aws:s3:::your_bucketname/*"
         ]
      }
   ]
}

 

  • この記事は役に立ちましたか?