Amazon
Web Services
Microsoft Azure
Google Cloud Platformステップ 3: クロスアカウント サポートを構成する (オプション)
この記事では、アカウント間の監査ログ配信を設定する方法について説明します。 S3バケットがログ配信に使用される IAM ロールと同じAWSアカウントにある場合は、この手順をスキップしてください。
AWSDatabricksワークスペースに使用されているもの以外のS3 アカウントにログを配信するには、このステップで提供されている バケットポリシーを追加する必要があります。このポリシーは、ステップ 2: 監査ログ配信の資格情報を構成する で作成したクロスアカウント IAM ロールの ID を参照します。
AWSコンソールで、S3サービスに移動します。
バケット名をクリックします。
「権限」タブをクリックします。
「バケットポリシー」ボタンをクリックします。
[ 編集 ] ボタンをクリックします。
このバケットポリシーをコピーして変更します。
<s3-bucket-name>をS3バケット名に、<customer-iam-role-id>を新しく作成した IAM ロールのロール ID に、<s3-bucket-path-prefix>を必要なバケット パス プレフィックスに置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": ["arn:aws:iam::<customer-iam-role-id>"] }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::<s3-bucket-name>" }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<customer-iam-role-id>" }, "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:PutObjectAcl", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/", "arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/*" ] }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<customer-iam-role-id>" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::<s3-bucket-name>", "Condition": { "StringLike": { "s3:prefix": [ "<s3-bucket-path-prefix>", "<s3-bucket-path-prefix>/*" ] } } } ] }
パス接頭辞のカスタマイズ
パスプレフィックスのポリシー使用をカスタマイズできます。
バケットパスプレフィックスを使用したくない場合は、
<s3-bucket-path-prefix>/(末尾のスラッシュを含む)が表示されるたびにポリシーから削除します。S3 バケットを共有するが異なるパスプレフィックスを使用する複数のワークスペースに対してログ配信設定が必要な場合は、複数のパスプレフィックスを含めることができます。
<s3-bucket-path-prefix>を参照するポリシーには 2 つの別個の部分があります。 それぞれのケースで、パスの接頭辞を参照する 2 行を複製します。 例えば:{ "Resource":[ "arn:aws:s3:::<mybucketname>/field-team/", "arn:aws:s3:::<mybucketname>/field-team/*", "arn:aws:s3:::<mybucketname>/finance-team/", "arn:aws:s3:::<mybucketname>/finance-team/*" ] }
次のステップ
最後に、ログ配信 API を呼び出して配信の設定を完了します。 「ステップ 4: ログ配信 API を呼び出す」を参照してください。