翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
監査ログ記録の有効化
監査ログを使用して、Amazon WorkMail 組織の使用状況に関する詳細情報をキャプチャできます。監査ログは、メールボックスへのユーザーのアクセスのモニタリング、疑わしいアクティビティの監査、アクセスコントロールと可用性プロバイダーの設定のデバッグに使用できます。
注記
AmazonWorkMailFullAccess 管理ポリシーには、ログ配信を管理するために必要なアクセス許可がすべて含まれているわけではありません。このポリシーを使用して WorkMail を管理する場合は、ログ配信の設定に使用されるプリンシパル (引き受けたロールなど) にも必要なすべてのアクセス許可があることを確認してください。
Amazon WorkMail は、監査ログの 3 つの配信先、CloudWatch Logs、Amazon S3、Amazon Data Firehose をサポートしています。詳細については、Amazon CloudWatch Logs ユーザーガイド」の「追加のアクセス許可が必要なログ記録 [V2]」を参照してください。
追加のアクセス許可 [V2] を必要とするログ記録にリストされているアクセス許可に加えて、Amazon WorkMail にはログ配信を設定するための追加のアクセス許可が必要です: workmail:AllowVendedLogDeliveryForResource。
動作しているログ配信は、次の 3 つの要素で構成されます。
-
DeliverySource は、ログを送信するリソースを表す論理オブジェクトです。Amazon WorkMail の場合、これは Amazon WorkMail Organization です。
-
DeliveryDestination。実際の配信先を表す論理オブジェクトです。
-
配信元を配信先に接続する配信。
Amazon WorkMail と送信先間のログ配信を設定するには、以下を実行します。
-
PutDeliverySource を使用して配信ソースを作成します。
-
PutDeliveryDestination を使用して配信先を作成します。
-
ログをクロスアカウントで配信する場合は、送信先アカウントの PutDeliveryDestinationPolicy を使用して、送信先に IAM ポリシーを割り当てる必要があります。このポリシーは、アカウント A の配信ソースからアカウント B の配信先への配信の作成を許可します。
-
CreateDelivery を使用して、1 つの配信ソースと 1 つの配信先をペアリングして配信を作成します。
以下のセクションでは、各タイプの送信先へのログ配信をセットアップするためにサインインするときに必要なアクセス許可の詳細について説明します。これらのアクセス許可は、サインインしている IAM ロールに付与できます。
重要
ログ生成リソースを削除した後、ログ配信リソースを削除するのはユーザーの責任です。
ログ生成リソースを削除した後にログ配信リソースを削除するには、次の手順に従います。
-
DeleteDelivery オペレーションを使用して配信を削除します。
-
DeliverySource オペレーションを使用して DeliverySource を削除します。 DeleteDeliverySource
-
削除した DeliverySource に関連付けられた DeliveryDestination がこの特定の DeliverySource にのみ使用されている場合は、DeleteDeliveryDestinations オペレーションを使用して削除できます。
Amazon WorkMail コンソールを使用した監査ログ記録の設定
Amazon WorkMail コンソールで監査ログを設定できます。
-
Amazon WorkMail コンソール (https://console.aws.amazon.com/workmail/
) を開きます。 必要に応じて、 AWS リージョンを変更します。コンソールウィンドウの上部にあるバーで、リージョンの選択リストを開き、リージョンを選択します。詳細については、「Amazon Web Services 全般のリファレンス」の「リージョンとエンドポイント」を参照してください。
-
ナビゲーションペインで [組織] を選択し、組織の名前を選択します。
ログ記録設定を選択します。
監査ログ設定タブを選択します。
適切なウィジェットを使用して、必要なログタイプの配信を設定します。
-
[保存] を選択します。
CloudWatch Logs に送信されたログ
ユーザーアクセス許可
CloudWatch Logs へのログ送信を有効にするには、次のアクセス許可でサインインする必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyCWL", "Effect": "Allow", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:region:account-id:*" ] } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region:account-id:organization/organization-id" ] } ] }
ロググループのリソースポリシー
ログが送信されているロググループには、特定のアクセス許可が含まれるリソースポリシーが必要です。ロググループに現在リソースポリシーがなく、ログ記録を設定するユーザーにロググループの logs:PutResourcePolicy、logs:DescribeResourcePolicies、および アクセスlogs:DescribeLogGroups許可がある場合、CloudWatch Logs へのログの送信を開始すると、 によって次のポリシー AWS が自動的に作成されます。
ロググループリソースポリシーのサイズ制限に関する考慮事項
これらのサービスは、リソースポリシーでログを送信する各ロググループを一覧表示する必要があります。CloudWatch Logs リソースポリシーは 5,120 文字に制限されています。多数のロググループにログを送信するサービスは、この上限に到達する可能性があります。
これを軽減するために、CloudWatch Logs はログを送信するサービスが使用するリソースポリシーのサイズをモニタリングします。ポリシーのサイズ制限である 5,120 文字に近づくと、CloudWatch Logs はそのサービスのリソースポリシー/aws/vendedlogs/*で を自動的に有効にします。その後、/aws/vendedlogs/ で始まる名前のロググループをこれらのサービスからのログの送信先として使用し始めることができます。
Amazon S3 に送信されたログ
ユーザーアクセス許可
Amazon S3 へのログ送信を有効にするには、次のアクセス許可でサインインする必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyS3", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucket-name" } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region:account-id:organization/organization-id" ] } ] }
ログが送信されている S3 バケットには、特定のアクセス許可が含まれるリソースポリシーが必要です。バケットに現在リソースポリシーがなく、ログ記録を設定するユーザーがバケットの S3:GetBucketPolicyおよび アクセスS3:PutBucketPolicy許可を持っている場合 AWS 、Amazon S3 へのログの送信を開始すると、 によって次のポリシーが自動的に作成されます。
前のポリシーの でaws:SourceAccount、ログがこのバケットに配信されるアカウント IDs のリストを指定します。aws:SourceArn には、ログを生成するリソースの ARN のリストを arn:aws:logs: の形式で指定します。source-region:source-account-id:*
バケットにリソースポリシーがあるが、そのポリシーに前のポリシーに示されているステートメントが含まれておらず、ログ記録を設定するユーザーにバケットの S3:GetBucketPolicyおよび アクセスS3:PutBucketPolicy許可がある場合、そのステートメントはバケットのリソースポリシーに追加されます。
注記
アクセスs3:ListBucket許可 AWS CloudTrail が に付与されていない場合、 にAccessDeniedエラーが表示されることがありますdelivery.logs.amazonaws.com。CloudTrail ログでこれらのエラーを回避するには、 にアクセスs3:ListBucket許可を付与する必要がありますdelivery.logs.amazonaws.com。また、前述のバケットポリシーのs3:GetBucketAclアクセス許可セットとともに表示されるConditionパラメータも含める必要があります。これを効率化するために、新しい を作成する代わりにStatement、 を直接 AWSLogDeliveryAclCheckに更新できます“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]。
Amazon S3 バケットのサーバー側の暗号化
Amazon S3 バケット内のデータを保護するには、Amazon S3-managedキーによるサーバー側の暗号化 (SSE-S3) または に保存されている AWS KMS キーによるサーバー側の暗号化 AWS Key Management Service (SSE-KMS) を有効にします。詳細については、「サーバー側の暗号化を使用したデータの保護」を参照してください。
SSE-S3 を選択した場合、追加の設定は必要ありません。Amazon S3 が暗号化キーを処理します。
警告
SSE-KMS を選択した場合、このシナリオでは の使用はサポート AWS マネージドキー されていないため、カスタマーマネージドキーを使用する必要があります。 AWS マネージドキーを使用して暗号化を設定すると、ログは読み取り不可能な形式で配信されます。
カスタマーマネージド AWS KMS キーを使用する場合、バケット暗号化を有効にするときに、カスタマーマネージドキーの Amazon リソースネーム (ARN) を指定できます。ログ配信アカウントが S3 バケットに書き込めるように、カスタマーマネージドキーのキーポリシーに (S3 バケットのバケットポリシーではなく) 以下を追加します。
SSE-KMS を選択した場合、このシナリオでは マネージドキーの使用はサポートされていないため、カスタマー AWS マネージドキーを使用する必要があります。カスタマーマネージド AWS KMS キーを使用する場合、バケット暗号化を有効にするときに、カスタマーマネージドキーの Amazon リソースネーム (ARN) を指定できます。ログ配信アカウントが S3 バケットに書き込めるように、カスタマーマネージドキーのキーポリシーに (S3 バケットのバケットポリシーではなく) 以下を追加します。
{ "Sid":"Allow Logs Delivery to use the key", "Effect":"Allow", "Principal":{ "Service":[ "delivery.logs.amazonaws.com" ] }, "Action":[ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:delivery-source:*" ] } } }
ではaws:SourceAccount、ログがこのバケットに配信されるアカウント IDs のリストを指定します。aws:SourceArn には、ログを生成するリソースの ARN のリストを arn:aws:logs: の形式で指定します。source-region:source-account-id:*
Firehose に送信されるログ
ユーザーアクセス許可
Firehose へのログ送信を有効にするには、次のアクセス許可を使用してサインインする必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyFH", "Effect": "Allow", "Action": [ "firehose:TagDeliveryStream" ], "Resource": [ "arn:aws:firehose:region:account-id:deliverystream/*" ] }, { "Sid": "CreateServiceLinkedRole", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::account-id:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery" } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region:account-id:organization/organization-id" ] } ] }
リソースのアクセス許可のために使用される IAM ロール
Firehose はリソースポリシーを使用しないため、 はこれらのログを Firehose に送信するように設定するときに IAM ロール AWS を使用します。 は、 という名前のサービスにリンクされたロール AWS を作成しますAWSServiceRoleForLogDelivery。このサービスリンクロールには、以下のアクセス許可が含まれます。
このサービスにリンクされたロールは、 LogDeliveryEnabled タグが に設定されているすべての Firehose 配信ストリームにアクセス許可を付与しますtrue。 は、ログ記録を設定するときに、このタグを送信先配信ストリームに AWS 付与します。
このサービスリンクロールには、delivery.logs.amazonaws.com サービスプリンシパルが必要なサービスリンクロールを引き受けることを可能にする信頼ポリシーもあります。以下がその信頼ポリシーです。
コンソール固有のアクセス許可
前のセクションに記載されているアクセス許可に加えて、APIs ではなく コンソールを使用してログ配信を設定する場合は、次のアクセス許可も必要です。
