メインコンテンツまでスキップ
Sumo Logic Japanese

AWS 製品へのアクセス権限の付与

AWS ソースの設定や S3 へのデータ転送を行う前に、Sumo Logic のアクセス許可を付与する必要があります。それらのアクセス許可は、Amazon Web Service Identity and Access Management (IAM) によって管理します。 

組織の AWS アカウントに Identity & Access Management がまだ含まれていない場合は、AWS ソースを設定する前にこのオプションを追加する必要があります。これを行わない場合、データにアクセスするための適切なアクセス許可が Sumo Logic に与えられません。

操作手順と、Identity and Access Management の使用方法の詳細については、AWS Identity and Access Management (IAM) を参照してください。

Sumo Logic にアクセス許可を付与するには、IAM ユーザまたは IAM ロールのいずれかを使用します。AWS および Sumo Logic では、セキュリティに優れた IAM ロールを使用することを推奨しています。IAM ロールは、AWS ID と許可のポリシーで構成されている点でユーザと似ており、特定の ID が AWS で実行できること、および実行できないことを定めます。ただし、ロールは、1 人の人物と一意に関連付けられるのではなく、それを必要とするすべての人に適用できることが想定されています。また、ロールには標準の長期的な認証情報 (パスワードまたはアクセス キー) が関連付けられません。その代わりに、ユーザにロールが割り当てられると、一時的なセキュリティ認証情報が動的に作成され、ユーザに提供されます。

次のビデオは、S3 ソースの作成時に IAM ロールを設定する方法を示しています。

次の手順では、Sumo Logic に与えるアクセス許可を含んだカスタム ポリシーを JSON で指定する必要があります。JSON ポリシーに必要な許可は、作成するソースごとに異なります。ポリシーは結合することができます。

CloudFormation

ロールは、IAM コンソールまたは CloudFormation テンプレートを使用して設定できます。CloudFormation を使用することをお勧めします。

IAM ロール

roleARN を取得するには、AWS で IAM Role を作成する必要があります。AWS ユーザ ガイドの該当するセクションに記載されている手順に従ってください。

  1. AWS 管理コンソールにサインインして、IAM コンソールを開きます。

  2. コンソールのナビゲーション ペインで、[Roles (ロール)] を選択し、次に [Create role (ロールを作成)] を選択します。

  3. [Another AWS account (他の AWS アカウント)] ロール タイプを選択します。

  4. [Account ID (アカウント ID)] に Sumo Logic の ID である 926226587429 を入力します。

  5. [Options (オプション)] セクションでは、セキュリティを強化するために [Require external ID (外部 ID を要求する)] を有効にする必要があります。詳細については、AWS ユーザ ガイドの「外部 ID の使用が必要な理由」を参照してください。外部 ID は、Sumo アカウント固有のものであり、指定された形式である必要があります。

    形式: SumoDeployment:SumoAccountId
    例: us1:0000000000000131

    SumoDeployment は、小文字の us1、us2、eu、au、de、jp のいずれかになります。
    SumoAccountId は組織 ID であり、アカウント ページで見つけることができます。

  6. [Require MFA (MFA が必要)] オプションはサポートされていません。

  7. [Next: Permissions (次へ: アクセス許可)] をクリックします。

  8. AWS ユーザ ガイドの手順 8 で、カスタム ポリシーを作成します。ソース タイプに JSON アクセス ポリシーを使用します。詳細については、AWS ユーザ ガイドのアクセス ポリシーのセクションを参照してください。

  9. ロールを作成したら、ソースの作成時に Sumo Logic で指定するために、ロール ARN をコピーします。

IAM ユーザ

  1. AWS で IAM ユーザを作成します。この詳細については、AWS ユーザ ガイドの該当するセクションを参照してください。
    1. アクセス キー ID とシークレット アクセス キーの認証情報を保存します。これらは、Sumo Logic で必要になります。
  2. IAM ユーザのカスタム ポリシーを作成します。AWS ユーザ ガイドのアクセス ポリシーのセクションを参照の上、自分のソース タイプの JSON アクセス ポリシーを使用してください。

JSON アクセス ポリシー

AWS S3 ポリシー

このポリシーは、AWS S3 ソースAWS S3 監査ソースAWS CloudFront ソースAWS CloudTrail ソース、および AWS ELB ソースに対応します。

JSON ポリシーの Resource セクションにある your_bucketname プレースホルダを実際の S3 バケット名に置き換えます。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:ListBucketVersions",
            "s3:ListBucket"
         ],
         "Effect":"Allow",
         "Resource":[
            "arn:aws:s3:::your_bucketname/*",
            "arn:aws:s3:::your_bucketname"
         ]
      }
   ]
}

サーバ側の暗号化データに対する KMS キー ポリシー

暗号化されたソースから、暗号化された CloudTrail ログなどのデータを収集するには、KMS キー ポリシーで KMS リソースへのアクセス権限も追加する必要があります。キーポリシーの [Principal (プリンシパル)] セクションに IAM ユーザまたはロールを追加して、kms:Decrypt アクションを指定します。詳細については、「キーポリシーの例」を参照してください。

AWS CloudWatch ソース ポリシー

このポリシーは、Amazon CloudWatch メトリクス ソースに対応します。

ec2:DescribeInstances パラメーターは、EC2 名前空間から収集する CloudWatch ソースを作成する場合にのみ必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeInstances"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

メトリクス用 AWS メタデータ (タグ) ソース ポリシー

このポリシーは、メトリクス用 AWS メタデータ (タグ) ソースに対応します。

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Action": [
               "ec2:DescribeInstances"
           ],
           "Effect": "Allow",
           "Resource": "*"
       }
   ]
}

データ転送ポリシー

このポリシーは、Sumo Logic から S3 へのデータ転送に対応します。

JSON ポリシーの Resource セクションにある your_bucketname プレースホルダを実際の S3 バケット名に置き換えます。

{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "s3:PutObject"
         ],
         "Resource":[  
            "arn:aws:s3:::your_bucketname/*"
         ]
      }
   ]
}

 

  • この記事は役に立ちましたか?