バケット ポリシーは、リソースの権限を定義することで特定のリソースへのアクセスを管理するために使用される AWS オブジェクトです。ポリシーの権限によって、要求を行うプリンシパル (ユーザーまたはロール) が、要求でアクションを実行することを許可されるか、拒否されるかが決まります。

データ フォワーダが使用するプリンシパル ロールに必要な権限を付与するポリシーを使用して、S3 バケットを作成する必要があります。このポリシーはリソースベースのポリシーです。

注: さまざまなバケット ポリシーの使用事例とさまざまなアクセス レベルの構成の詳細については、 Carbon Black Cloud データ フォワーダの AWS S3 バケット ポリシー オプションを参照してください

前提条件

AWS での S3 バケットの作成

注: S3 バケットの構成時に、暗号化を有効にすることもできます。詳細については、 AWS KMS を使用した S3 バケットの暗号化 を参照してください。

手順

  1. AWS S3 バケットの成功メッセージで、[バケットの詳細にアクセス]を選択するか、リストからバケットの名前をクリックします。
  2. Carbon Black Cloud コンソールでデータ フォワーダを設定するときに、指定されたデータ タイプをデータ フォワーダがプッシュする基本フォルダとして機能するように、新しいフォルダを作成します。
    重要: 各データ フォワーダには、独自のフォルダが必要です。独自のフォルダがないと、複数のフォワーダのデータが同じフォルダ内に混在し、 データを解析できなくなります。
  3. 正確なフォルダ名を書き留めます。
    このフォルダ名を使用し、 Carbon Black Cloud コンソールにデータ フォワーダを追加するときに、次の手順でバケット ポリシーの prefix-folder-name を置き換えます。
  4. [権限] タブで [バケット ポリシー] を選択し、下記の例をバケット ポリシー エディタにコピーし、「太字」テキストを調整することで構成します。
    具体的には、次の値を置き換えます。
    • [Id]: 「Id」の値には、「Policy04212020」 (ここで、04212020 は日付を示す。この場合は 2020 年 4 月 21 日) などの値を指定できます。
    • [Sid]: 「Sid」の値は、「Stmt04212020」など、なんでも指定できます。
    • [Principal>AWS]: Carbon Black Cloud 製品リージョンに対応する AWS プリンシパル値。
      AWS リージョン プリンシパル ID

      米国東部 (バージニア北部)

      us-east-1      		 arn:aws:iam::132308400445:role/mcs-psc-prod-event-forwarder-us-east-1-event-forwarder

      ヨーロッパ (フランクフルト)

      eu-central-1      		 arn:aws:iam::132308400445:role/mcs-psc-prod-event-forwarder-eu-central-1-event-forwarder

      ヨーロッパ(ロンドン)

      eu-west-2      		 arn:aws:iam::132308400445:role/mcs2-psc-data-forwarder-s3

      アジア太平洋 (東京)

      ap-northwest-1      		 arn:aws:iam::132308400445:role/mcs-psc-prod-event-forwarder-ap-northeast-1-event-forwarder

      アジア太平洋 (シドニー)

      ap-southeast-2      		 arn:aws:iam::132308400445:role/mcs-psc-prod-event-forwarder-ap-southeast-2-event-forwarder

    • [リソース]: (AWS S3 バケット)

      「リソース」の値には、S3 バケットの名前と、それに続く「prefix-folder-name」を含める必要があります。これは、転送する予定の特定のデータ タイプのバケットに作成したフォルダです。例:

      "Resource": "arn:aws:s3:::bucket-name/prefix-folder-name/*"

      注: リソースを定義する場合、 Carbon Black Cloud がサブフォルダを作成してアクセスできるように、最終的な結果が [/*] で終わる必要があります。
    バケット ポリシー コード 
    {
    "Version": "2012-10-17",
    "Id": "[Policy04212020]",
    "Statement": [
        {
            "Sid": "[Stmt04212020]",
            "Effect": "Allow",
            "Principal": {
                "AWS":
"[arn:aws:iam::132308400445:role/mcs-psc-prod-event-forwarder-us-east-1-event-forwarder]"
            },
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource":
"[arn:aws:s3:::bucket-name/prefix-folder-name/*]"
        }
    ]
}
  5. オプション: S3 バケットを暗号化する場合は、AWS KMS を使用した S3 バケットの暗号化 を参照してください。
  6. [保存] をクリックします。

結果

これでバケットは Carbon Black Cloud データ フォワーダからデータを受け取ることができます。

次のタスク

Carbon Black Cloudデータ フォワーダを追加して構成する必要があります。