ステップ 3: クロスアカウントサポートを設定する (オプション)
この記事では、クロスアカウント監査ログ配信を設定する方法について説明します。 S3バケットがログ配信に使用されるAWS IAMロールと同じ アカウントにある場合は、この手順をスキップしてください。
Databricks ワークスペースに使用されているアカウント以外の AWS アカウントにログを配信するには、この手順で提供されている S3 バケットポリシーを追加する必要があります。 このポリシーは、「IAMステップ 2: 監査ログ配信の認証情報を設定する 」で作成したクロスアカウント ロールの ID を参照します。
-
AWSコンソールで、S3サービスに移動します。
-
バケット名をクリックします。
-
「 権限 」タブをクリックします。
-
「 バケットポリシー 」ボタンをクリックします。
-
「編集 」ボタンをクリックします。
-
このバケットポリシーをコピーして変更します。
<s3-bucket-name>を S3 バケット名に、<customer-iam-role-id>新しく作成した IAMロールのロール ID に、<s3-bucket-path-prefix>を必要なバケットパスプレフィックスに置き換えます。JSON{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::<customer-iam-role-id>"]
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::<s3-bucket-name>"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<customer-iam-role-id>"
},
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/",
"arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/*"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<customer-iam-role-id>"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::<s3-bucket-name>",
"Condition": {
"StringLike": {
"s3:prefix": ["<s3-bucket-path-prefix>", "<s3-bucket-path-prefix>/*"]
}
}
}
]
}
パスプレフィックスのカスタマイズ
パスプレフィックスのポリシー使用をカスタマイズできます。
-
バケットパスプレフィックスを使用したくない場合は、
<s3-bucket-path-prefix>/(末尾のスラッシュを含む)が表示されるたびにポリシーから削除します。 -
S3 バケットを共有し、異なるパスプレフィックスを使用する複数のワークスペースのログ配信設定が必要な場合は、複数のパスプレフィックスを含めることができます。 ポリシーには、
<s3-bucket-path-prefix>を参照する 2 つの部分があります。 いずれの場合も、パス プレフィックスを参照する 2 つの行を複製します。 例えば:JSON{
"Resource": [
"arn:aws:s3:::<mybucketname>/field-team/",
"arn:aws:s3:::<mybucketname>/field-team/*",
"arn:aws:s3:::<mybucketname>/finance-team/",
"arn:aws:s3:::<mybucketname>/finance-team/*"
]
}
次のステップ
最後に、ログ配信 API を呼び出して、配信の設定を完了します。 「ステップ 4: ログ配信 API を呼び出す」を参照してください。