翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# コンソールを使用してログデータを Amazon S3 にエクスポートする
以下の例では、Amazon CloudWatch コンソールを使用して、`my-log-group` という名前の Amazon CloudWatch Logs ロググループからすべてのデータを `amzn-s3-demo-bucket` という名前の Amazon S3 バケットにエクスポートします。
SSE-KMS によって暗号化された S3 バケットへのログデータのエクスポートは、サポートされています。DSSE-KMS で暗号化されたバケットへのエクスポートはサポートされていません。
エクスポートの設定方法の詳細は、エクスポート先の Amazon S3 バケットがエクスポート対象のログと同じアカウントにあるか、別のアカウントにあるかによって異なります。
**Topics**
+ [同一アカウントのエクスポート (コンソール)](#ExportSingleAccount)
+ [クロスアカウントエクスポート (コンソール)](#ExportCrossAccount)
## 同一アカウントのエクスポート (コンソール)
Amazon S3 バケットがエクスポート対象のログと同じアカウントにある場合は、このセクションの手順を使用してください。
**Topics**
+ [Amazon S3 バケットを作成する (コンソール)](#CreateS3BucketConsole)
+ [アクセス許可を設定する (コンソール)](#CreateIAMUser-With-S3-Access)
+ [Amazon S3 バケットに対するアクセス許可の設定 (コンソール)](#S3PermissionsConsole)
+ [(オプション) SSE-KMS で暗号化された送信先 Amazon S3 バケットへのエクスポート (コンソール)](#S3-Export-KMSEncrypted)
+ [エクスポートタスクを作成する (コンソール)](#CreateExportTaskConsole)
### Amazon S3 バケットを作成する (コンソール)
CloudWatch Logs 専用に作成したバケットを使用することをお勧めします。ただし、既存のバケットを使用する場合は、ステップ 2 に進むことができます。
**注記**
Amazon S3 バケットは、エクスポートするログデータと同じリージョンに存在している必要があります。CloudWatch Logs は、別のリージョンの Amazon S3 バケットへのデータのエクスポートをサポートしていません。
**Amazon S3 バケットを作成するには**
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. 必要に応じて、リージョンを変更します。ナビゲーションバーから、CloudWatch Logs があるリージョンを選択します。
1. **バケットの作成** を選択します。
1. [**バケット名**] にバケットの名前を入力します。
1. [**Region (リージョン)**] で、CloudWatch Logs データが存在するリージョンを選択します。
1. **[作成]** を選択します。
### アクセス許可を設定する (コンソール)
エクスポートタスクを作成するには、IAM `AmazonS3ReadOnlyAccess` ロールと次のアクセス許可を使用してサインオンする必要があります。
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ のユーザーとグループ AWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。
### Amazon S3 バケットに対するアクセス許可の設定 (コンソール)
デフォルトでは、すべての Amazon S3 バケットとオブジェクトはプライベートです。バケットを AWS アカウント 作成した リソース所有者のみが、バケットとそれに含まれるオブジェクトにアクセスできます。ただし、リソース所有者は、アクセスポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与することができます。
ポリシーを設定する場合は、ランダムに生成された文字列をバケットのプレフィックスとして含めることをお勧めします。これにより、意図したログストリームのみがバケットにエクスポートされます。
**重要**
Amazon S3 バケットへのエクスポートをより安全にするために、ログデータを S3 バケットにエクスポートできるソースアカウントのリストの指定が必要になりました。
次の例では、`aws:SourceAccount` キー内のアカウント ID のリストにあるのは、ユーザーがログデータを Amazon S3 バケットにエクスポートできるアカウントです。`aws:SourceArn` キーは、アクションが実行される対象のリソースです。これを特定のロググループに制限することも、この例のようにワイルドカードを使用することもできます。
S3 バケットが作成されたアカウントのアカウント ID も含めることで、エクスポートを同じアカウント内で行えるようにすることをお勧めします。
**Amazon S3 バケットに対する権限を設定するには**
1. Amazon S3 コンソールで、作成したバケットを選択します。
1. [**Permissions (アクセス許可)**]、[**Add bucket policy (バケットポリシーの追加)**] の順に選択します。
1. **[Bucket Policy Editor]** (バケットポリシーエディタ) で、以下のポリシーを追加します。`amzn-s3-demo-bucket` を Amazon S3 バケットの名前に変更します。[**プリンシパル**] に `us-west-1` などの正しいリージョンエンドポイントを指定してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudWatchLogsGetBucketAcl",
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Sid": "AllowCloudWatchLogsPutObject",
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
}
]
}
```
------
1. [**Save**] を選択して、バケットに対するアクセスポリシーとして追加したポリシーを設定します。このポリシーにより、CloudWatch Logs が Amazon S3 バケットにログデータをエクスポートできるようになります。バケット所有者には、エクスポートされたすべてのオブジェクトに対する完全なアクセス権限があります。
**警告**
バケットにアタッチされているポリシーがすでに 1 つ以上ある場合は、そのポリシーに CloudWatch Logs アクセスのステートメントを追加します。バケットにアクセスするユーザーに適したアクセス許可であることを確認するために、アクセス許可の結果セットを評価することをお勧めします。
### (オプション) SSE-KMS で暗号化された送信先 Amazon S3 バケットへのエクスポート (コンソール)
このステップは、 でサーバー側の暗号化を使用する Amazon S3 バケットにエクスポートする場合にのみ必要です AWS KMS keys。この暗号化は SSE−KMS と呼ばれます。
**SSE-KMS で暗号化されたバケットにエクスポートするには**
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. 左のナビゲーションバーで、**[Customer managed keys]** (カスタマーマネージドキー) を選択します。
**[Create Key]** (キーを作成) を選択します。
1. [**キーの種類**] で、[**対称**] を選択します。
1. **[Key usage]** (キーの使用) で、**[Encrypt and decrypt]** (暗号化および復号化) 、**[Next]** (次へ) の順に選択します。
1. **[Add labels]** (ラベルを追加) で、キーのエイリアスを入力し、オプションで説明またはタグを追加します。次いで、**[次へ]** を選択します。
1. **[Key administrators]** (キー管理者) で、このキーを管理できるユーザーを選択した後、**[Next]** (次へ) を選択します。
1. **[Define key usage permissions]** (キーの使用アクセス許可を定義) の設定は変更せずに、**[Next]** (次へ) を選択します。
1. 設定した内容を確認し、**[Finish]** (終了) を選択します。
1. **[Customer managed keys]** (カスタマーマネージドキー) ページに戻り、この前に作成したキーの名前を選択します。
1. **[Key policy]** (キーポリシー) タブを表示し、次に **[Switch to policy view]** (ポリシービューへの切り替え) を選択します。
1. **[Key policy]** (キーポリシー) セクションで、**[Edit]** (編集) を選択します。
1. キーポリシーステートメントのリストに、次のステートメントを追加します。これを行う際、*Region* は実際のログのリージョンに置き換え、*account-ARN* は KMS キーを所有するアカウントの ARN に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.Region.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. **[Save changes]** (変更の保存) をクリックします。
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. [S3 バケットを作成する (CLI)](S3ExportTasks.md#CreateS3Bucket) で作成したバケットを検索し、その名前を選択します。
1. **[プロパティ]** タブを選択します。**[Default Encryption]** (デフォルトの暗号化) で、**[Edit]** (編集) を選択します。
1. **[Server-side Encryption]** (サーバー側の暗号化) で、**[Enable]** (有効化) を選択します。
1. **暗号キー**で、**AWS Key Management Service キー (SSE−KMS)** を選択します。
1. ** AWS KMS キーから選択**を選択し、作成したキーを見つけます。
1. **[Bucket key]** (バケットキー) で、**[Enable]** (有効化) を選択します。
1. **[Save changes]** (変更の保存) をクリックします。
### エクスポートタスクを作成する (コンソール)
この手順では、ロググループからログをエクスポートするためのエクスポートタスクを作成します。
**CloudWatch コンソールを使用して Amazon S3 にデータをエクスポートするには**
1. [アクセス許可を設定する (コンソール)](#CreateIAMUser-With-S3-Access) に記載されているように、十分なアクセス許可を使用してサインインします。
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. ナビゲーションペインで、**[Log groups]** (ロググループ) を選択します。
1. [**ロググループ**] 画面で、ロググループの名前を選択します。
1. [**Actions (アクション)**]、[**Export data to Amazon S3 (データを Amazon S3 にエクスポート)**] の順に選択します。
1. [**Export data to Amazon S3 (データを Amazon S3 にエクスポート)**] 画面の [**Define data export (データエクスポートを定義)**] で、[**From (開始)**] と [**To (終了)**] を使用してデータをエクスポートする時間の範囲を設定します。
1. ロググループに複数のログストリームがある場合は、特定のストリームのロググループデータを制限するログストリームプレフィックスを指定できます。[**Advanced (詳細設定)**] を選択して、[**ストリームプレフィックス**] にログストリームプレフィックスを入力します。
1. **[Choose S3 bucket]** (S3 バケットの選択) で、S3 バケットに関連付けられたアカウントを選択します。
1. **[S3 バケット名]** で、&S3; バケットを選択します。
1. [**S3 バケットプレフィックス**] にバケットポリシーで指定した、ランダムに生成された文字列を入力します。
1. [**Export (エクスポート)**] を選択して、ログデータを Amazon S3 にエクスポートします。
1. Amazon S3 にエクスポートしたログデータのステータスを表示するには、[**Actions (アクション)**]、[**View all exports to Amazon S3 (Amazon S3 へのすべてのエクスポートを表示)**] を選択します。
## クロスアカウントエクスポート (コンソール)
Amazon S3 バケットがエクスポート対象のログとは別のアカウントにある場合は、このセクションの手順を使用してください。
**Topics**
+ [クロスアカウントエクスポート用の Amazon S3 バケットを作成する (コンソール)](#CreateS3BucketConsole-crossaccount)
+ [クロスアカウントエクスポートのアクセス許可を設定する (コンソール)](#CreateIAMUser-With-S3-Access-crossaccount)
+ [クロスアカウントエクスポート用に S3 バケットにアクセス許可を設定する (コンソール)](#S3PermissionsConsole-crossaccount)
+ [(オプション) クロスアカウントエクスポート用に SSE-KMS で暗号化された送信先 Amazon S3 バケットへのエクスポート (コンソール)](#S3-Export-KMSEncrypted-crossaccount)
+ [クロスアカウントエクスポートのエクスポートタスクを作成する (コンソール)](#CreateExportTaskConsole-crossaccount)
### クロスアカウントエクスポート用の Amazon S3 バケットを作成する (コンソール)
CloudWatch Logs 専用に作成したバケットを使用することをお勧めします。ただし、既存のバケットを使用する場合は、この手順をスキップできます。
**注記**
Amazon S3 バケットは、エクスポートするログデータと同じリージョンに存在している必要があります。CloudWatch Logs は、別のリージョンの Amazon S3 バケットへのデータのエクスポートをサポートしていません。
**Amazon S3 バケットを作成するには**
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. 必要に応じて、リージョンを変更します。ナビゲーションバーから、CloudWatch Logs があるリージョンを選択します。
1. **バケットの作成** を選択します。
1. [**バケット名**] にバケットの名前を入力します。
1. [**Region (リージョン)**] で、CloudWatch Logs データが存在するリージョンを選択します。
1. **[作成]** を選択します。
### クロスアカウントエクスポートのアクセス許可を設定する (コンソール)
まず、新しい IAM ポリシーを作成して、CloudWatch Logs が送信先アカウントの宛先 Amazon S3 バケットへの `s3:PutObject` アクションを有効にする必要があります。
`s3:PutObject` アクションに加えて、ポリシーに含まれる追加のアクションは、送信先バケットが AWS KMS 暗号化を使用しているか、[S3 オブジェクト所有権](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)設定を使用して ACLs が有効になっているかによって異なります。
+ KMS 暗号化を使用している場合は、キーリソースの `kms:GenerateDataKey` および `kms:Decrypt` アクションを追加します。
+ バケットで ACL が有効化されている場合、バケットリソースに `s3:PutObjectAcl` アクションを追加します。
次のポリシーで、 を送信先 S3 バケットの名前`amzn-s3-demo-bucket`に変更します。
**Amazon S3 バケットにログをエクスポートする IAM ポリシーを作成するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. **[ポリシーエディター]** セクションで、**[JSON]** を選択します。
1. 送信先バケットが AWS KMS 暗号化を使用しない場合は、次のポリシーをエディタに貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
送信先バケットが AWS KMS 暗号化を使用している場合は、次のポリシーをエディタに貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
送信先バケットで ACLsは、上記のポリシーで s3:PutObjectAcl を s3:PutObject Action ブロックに追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. [**次へ**] を選択します。
1. ポリシー名を入力します。この名前を使用して、ポリシーを IAM ロールにアタッチします。
1. 次に、**[ポリシーの作成]** を選択してポリシーを保存します。
エクスポートタスクを作成するには、 `AmazonS3ReadOnlyAccess`管理ポリシーがアタッチされた IAM ロール、上記で作成された IAM ポリシー、および次のアクセス許可を使用してサインインする必要があります。
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ のユーザーとグループ AWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。
### クロスアカウントエクスポート用に S3 バケットにアクセス許可を設定する (コンソール)
すべての S3 バケットとオブジェクトは、デフォルト状態でプライベートに設定されます。バケットを AWS アカウント 作成した リソース所有者のみが、バケットとそれに含まれるオブジェクトにアクセスできます。ただし、リソース所有者は、アクセスポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与することができます。
ポリシーを設定する場合は、ランダムに生成された文字列をバケットのプレフィックスとして含めることをお勧めします。これにより、意図したログストリームのみがバケットにエクスポートされます。
**重要**
S3 バケットへのエクスポートをより安全にするために、ログデータを S3 バケットにエクスポートできるソースアカウントのリストの指定が必要になりました。
次の例では、`aws:SourceAccount` キー内のアカウント ID のリストにあるのは、ユーザーがログデータを S3 バケットにエクスポートできるアカウントです。`aws:SourceArn` キーは、アクションが実行される対象のリソースです。これを特定のロググループに制限することも、この例のようにワイルドカードを使用することもできます。
S3 バケットが作成されたアカウントのアカウント ID も含めることで、エクスポートを同じアカウント内で行えるようにすることをお勧めします。
**Amazon S3 バケットに対する権限を設定するには**
1. Amazon S3 コンソールで、作成したバケットを選択します。
1. [**Permissions (アクセス許可)**]、[**Add bucket policy (バケットポリシーの追加)**] の順に選択します。
1. **[Bucket Policy Editor]** (バケットポリシーエディタ) で、以下のポリシーを追加します。`amzn-s3-demo-bucket` を Amazon S3 バケットの名前に変更します。[**プリンシパル**] に `us-east-1` などの正しいリージョンエンドポイントを指定してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
1. [**Save**] を選択して、バケットに対するアクセスポリシーとして追加したポリシーを設定します。このポリシーにより、CloudWatch Logs は S3 バケットにログデータをエクスポートできるようになります。バケット所有者には、エクスポートされたすべてのオブジェクトに対する完全なアクセス権限があります。
**警告**
バケットにアタッチされているポリシーがすでに 1 つ以上ある場合は、そのポリシーに CloudWatch Logs アクセスのステートメントを追加します。バケットにアクセスするユーザーに適したアクセス許可であることを確認するために、アクセス許可の結果セットを評価することをお勧めします。
### (オプション) クロスアカウントエクスポート用に SSE-KMS で暗号化された送信先 Amazon S3 バケットへのエクスポート (コンソール)
この手順は、 でサーバー側の暗号化を使用する S3 バケットにエクスポートする場合にのみ必要です AWS KMS keys。この暗号化は SSE−KMS と呼ばれます。
**SSE-KMS で暗号化されたバケットにエクスポートするには**
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. 左のナビゲーションバーで、**[Customer managed keys]** (カスタマーマネージドキー) を選択します。
**[Create Key]** (キーを作成) を選択します。
1. [**キーの種類**] で、[**対称**] を選択します。
1. **[Key usage]** (キーの使用) で、**[Encrypt and decrypt]** (暗号化および復号化) 、**[Next]** (次へ) の順に選択します。
1. **[Add labels]** (ラベルを追加) で、キーのエイリアスを入力し、オプションで説明またはタグを追加します。次いで、**[次へ]** を選択します。
1. **[Key administrators]** (キー管理者) で、このキーを管理できるユーザーを選択した後、**[Next]** (次へ) を選択します。
1. **[Define key usage permissions]** (キーの使用アクセス許可を定義) の設定は変更せずに、**[Next]** (次へ) を選択します。
1. 設定した内容を確認し、**[Finish]** (終了) を選択します。
1. **[Customer managed keys]** (カスタマーマネージドキー) ページに戻り、この前に作成したキーの名前を選択します。
1. **[Key policy]** (キーポリシー) タブを表示し、次に **[Switch to policy view]** (ポリシービューへの切り替え) を選択します。
1. **[Key policy]** (キーポリシー) セクションで、**[Edit]** (編集) を選択します。
1. キーポリシーステートメントのリストに、次のステートメントを追加します。これを行うときは、*us-east-1* をログのリージョンに置き換え、*account-ARN* を KMS キーを所有するアカウントの ARN に置き換え、*123456789012* を KMS キーを所有するアカウント番号に置き換え、*key\$1id* を kms-key Id に置き換え、*role\$1name* をエクスポートタスクの作成に使用されるロールに置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM Role Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. **[Save changes]** (変更の保存) をクリックします。
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. [S3 バケットを作成する (CLI)](S3ExportTasks.md#CreateS3Bucket) で作成したバケットを検索し、その名前を選択します。
1. **[プロパティ]** タブを選択します。**[Default Encryption]** (デフォルトの暗号化) で、**[Edit]** (編集) を選択します。
1. **[Server-side Encryption]** (サーバー側の暗号化) で、**[Enable]** (有効化) を選択します。
1. **暗号キー**で、**AWS Key Management Service キー (SSE−KMS)** を選択します。
1. ** AWS KMS キーから選択を選択し**、作成したキーを見つけます。
1. **[Bucket key]** (バケットキー) で、**[Enable]** (有効化) を選択します。
1. **[Save changes]** (変更の保存) をクリックします。
### クロスアカウントエクスポートのエクスポートタスクを作成する (コンソール)
この手順では、ロググループからログをエクスポートするためのエクスポートタスクを作成します。
**CloudWatch コンソールを使用して Amazon S3 にデータをエクスポートするには**
1. [アクセス許可を設定する (コンソール)](#CreateIAMUser-With-S3-Access) に記載されているように、十分なアクセス許可を使用してサインインします。
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. ナビゲーションペインで、**[Log groups]** (ロググループ) を選択します。
1. [**ロググループ**] 画面で、ロググループの名前を選択します。
1. [**Actions (アクション)**]、[**Export data to Amazon S3 (データを Amazon S3 にエクスポート)**] の順に選択します。
1. [**Export data to Amazon S3 (データを Amazon S3 にエクスポート)**] 画面の [**Define data export (データエクスポートを定義)**] で、[**From (開始)**] と [**To (終了)**] を使用してデータをエクスポートする時間の範囲を設定します。
1. ロググループに複数のログストリームがある場合は、特定のストリームのロググループデータを制限するログストリームプレフィックスを指定できます。[**Advanced (詳細設定)**] を選択して、[**ストリームプレフィックス**] にログストリームプレフィックスを入力します。
1. **[Choose S3 bucket]** (S3 バケットの選択) で、S3 バケットに関連付けられたアカウントを選択します。
1. **[S3 bucket name]** (S3 バケット名) で、 バケットを選択します。
1. [**S3 バケットプレフィックス**] にバケットポリシーで指定した、ランダムに生成された文字列を入力します。
1. [**Export (エクスポート)**] を選択して、ログデータを Amazon S3 にエクスポートします。
1. Amazon S3 にエクスポートしたログデータのステータスを表示するには、[**Actions (アクション)**]、[**View all exports to Amazon S3 (Amazon S3 へのすべてのエクスポートを表示)**] を選択します。