Amazon WorkSpaces Secure Browser のセッションロガーの設定 - Amazon WorkSpaces セキュアブラウザ
KMS 暗号化を使用した S3 バケット

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon WorkSpaces Secure Browser のセッションロガーの設定

警告

セッションロガーを有効にすると、次の Chrome 機能が無効になります。

  • シークレットモード

  • デベロッパーツール

  • Chrome プロファイルの切り替え

WorkSpaces Secure Browser ポータルのセッションロガーをアクティブ化するには、まずセッションイベントが収集される Amazon S3 バケットを特定する必要があります。同様のログを既に保存している既存のバケットを使用することも、この目的のために特別に新しいバケットを作成することもできます。

Amazon S3 バケットには、ログを書き込むアクセス許可を WorkSpaces Secure Browser に付与するバケットポリシーが必要です。Amazon S3 バケットは、WorkSpaces Secure Browser ポータルと同じ AWS アカウント およびリージョンに配置することをお勧めします。

Amazon S3 バケットには命名要件はありません。新しいバケットを作成するには、以下のステップに従うか、Amazon Simple Storage Service ユーザーガイドの「汎用バケットの作成」を参照してください。アクセス許可の設定に関するガイダンスについては、Amazon S3のバケットポリシー」を参照してください。

以下は、Amazon S3 バケットのポリシーの例です。Amazon S3 バケットの名前でポリシーを更新してください。プリンシパルは「workspaces-web.amazonaws.com」であることに注意してください。


  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSessionLogger",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces-web.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
 }

WorkSpaces Secure Browser ポータルでセッションロガーを有効にすると、Amazon S3 から料金が発生する可能性があります。詳細については、「Amazon S3 の料金」を参照してください。

Session Logger がキャプチャするセッション関連のイベントの詳細については、「」を参照してくださいAmazon WorkSpaces Secure Browser のセッションロガーのセッションイベント

KMS 暗号化を使用した S3 バケット (オプション)

WorkSpaces Secure Browser セッションロガーは、 AWS KMS 暗号化が有効になっている Amazon S3 バケットを完全にサポートします。暗号化された Amazon S3 バケットで適切なログ記録機能を確保するには、 AWS KMS キーを使用するために必要なアクセス許可を Session Logger に付与する必要があります。

AWS KMS キー設定に次のポリシーを追加します。


{
  "Sid": "Session Logger",
  "Effect": "Allow",
  "Principal": {
    "Service": "workspaces-web.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:GenerateDataKey*"
  ],
  "Resource": "*"
},

AWS コンソールで、イベントを収集する WorkSpaces Secure Browser ポータルを選択し、セッションロガータブと編集を選択します。

ポータルのセッションロガーを設定するには、次の情報を入力します。

  • S3 Location (必須): イベントが配信される Amazon S3 バケットの名前。

  • キープレフィックス (オプション): イベントが配信されるフォルダ。フォルダが存在しない場合は作成されます。フィールドを空白のままにすると、Session Logger は Amazon S3 バケットのルートにイベントを書き込みます。

Advanced では、次のフィールドを設定できます。

  • イベントフィルター: これは Session Logger によってモニタリングされるイベントのリストです。

    • すべて: このオプションを選択すると、現在および将来のすべてのイベントがモニタリングされます。

    • 含める: これにより、モニタリングする特定のイベントを手動で選択できます。明示的に選択されたイベントのみがログに記録されます。今後の更新で導入された新しいイベントは、選択に手動で追加されない限り、モニタリングされません。

  • File format (ファイル形式)

    • JSON (デフォルト): これは、各ログファイルがイベントの配列として表示されるファイル形式です。ほとんどのユースケースでは、この形式をお勧めします。

    • JSONLines: これは Amazon Athena 用に最適化されたファイル形式です。

  • フォルダ構造: これにより、ログファイルの保存方法が決まります。

    • フラット (デフォルト): すべてのログファイルは 1 つのフォルダにあります。

    • 日付別ネスト: ログファイルは、日付と時刻別にフォルダに整理されます。Amazon Athena 用にパーティション分割され、Amazon Athena クエリ用に最適化されています。

セッションロガーのセットアップをテストし、セッションロガーが正しく機能していることを確認できます。設定が完了すると、システムは指定された Amazon S3 バケットとフォルダ_workspaces_secure_browser.tmp に という名前のテストファイルを書き込もうとします。これは、ログ記録機能とアクセス許可設定の両方の検証として機能します。

ポータルで Secure Browser セッションを開始し、通常どおりブラウザを使用してテストセッションを実行することもできます。Session Logger は、アクティブなセッション中またはセッション終了時に、設定された Amazon S3 バケットに 15 分ごとにログファイルを書き込みます。

セッションが終了した後、または次のログ記録間隔を待ってから、Amazon S3 バケットをチェックして、セッションのログファイルが想定どおりに生成および保存されていることを確認します。