ステップ 3: クロスアカウントサポートを設定する (オプション)
この記事では、クロスアカウント監査ログ配信を設定する方法について説明します。 S3 バケットがログ配信に使用される IAMロールと同じ AWS アカウントにある場合は、このステップをスキップします。
Databricks ワークスペースに使用されているアカウント以外の AWS アカウントにログを配信するには、このステップで指定した S3 バケットポリシーを追加する必要があります。 このポリシーは、「 ステップ 2: 監査ログ配信用の認証情報を設定する」で作成したクロスアカウント IAM ロールの ID を参照します。
AWS コンソールで、S3 サービスに移動します。
バケット名をクリックします。
[権限] タブをクリックします。
[バケットポリシー] ボタンをクリックします。
[ 編集 ] ボタンをクリックします。
このバケットポリシーをコピーして変更します。
<s3-bucket-name>
を S3 バケット名に、<customer-iam-role-id>
を新しく作成した IAMロールのロール ID に、<s3-bucket-path-prefix>
を必要なバケットパスプレフィックスに置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": ["arn:aws:iam::<customer-iam-role-id>"] }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::<s3-bucket-name>" }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<customer-iam-role-id>" }, "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:PutObjectAcl", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/", "arn:aws:s3:::<s3-bucket-name>/<s3-bucket-path-prefix>/*" ] }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<customer-iam-role-id>" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::<s3-bucket-name>", "Condition": { "StringLike": { "s3:prefix": [ "<s3-bucket-path-prefix>", "<s3-bucket-path-prefix>/*" ] } } } ] }
パスプレフィックス のカスタマイズ
パスプレフィックスのポリシー使用をカスタマイズできます。
バケットパスプレフィックスを使用しない場合は、ポリシーが表示されるたびにポリシーから
<s3-bucket-path-prefix>/
(最後のスラッシュを含む) を削除します。S3 バケットを共有し、異なるパスプレフィックスを使用する複数のワークスペースのログ配信設定が必要な場合は、複数のパスプレフィックスを含めることができます。
<s3-bucket-path-prefix>
を参照するポリシーの 2 つの別個の部分があります。いずれの場合も、パス プレフィックスを参照する 2 行を複製します。 例えば:{ "Resource":[ "arn:aws:s3:::<mybucketname>/field-team/", "arn:aws:s3:::<mybucketname>/field-team/*", "arn:aws:s3:::<mybucketname>/finance-team/", "arn:aws:s3:::<mybucketname>/finance-team/*" ] }
次のステップ
最後に、ログ配信 API を呼び出して配信の設定を完了します。 「 ステップ 4: ログ配信 API を呼び出す」を参照してください。