- English
- 日本語
Fastly ログの AWS IAM のロールの作成
最終更新日 2024-01-12
Fastly サービスのログエンドポイントとして Amazon S3 または Amazon Kinesis を追加する前に、Fastly 専用に AWS でアイデンティティおよびアクセスの管理 (IAM) ロールを作成することをお勧めします。Fastly 顧客アカウント ID と Fastly AWS アカウント番号を使用して、アクセスキーとシークレットキーペアのような長期的な資格情報の代わりに一時的な資格情報を使用して、ログ配信用の S3 バケットまたは Kinesis データストリームへのアクセスを Fastly に与える役割を設定できます。
AWS 管理コンソールまたは AWS CLI でこれを行えます。
AWS 管理コンソール経由での IAM ロールの作成
AWS 管理コンソール経由で IAM ロールを作成するには、以下の手順に従ってください。
AWS 管理コンソールにログインして、IAM コンソールを開きます。
Fastly が AWS にオブジェクトを書き込む権限ポリシーを作成します。Create policy をクリックします。
JSON をクリックします。 以下のテンプレートのいずれかをコピー&ペーストし、リソースフィールドの名前を、Fastly がログを書き込む Amazon S3 バケットまたは Kinesis データストリームに置き換えます。
Amazon S3 templatejson12345678{"Version": "2012-10-17","Statement": {"Effect": "Allow","Action": "s3:PutObject","Resource": "arn:aws:s3:::YourS3BucketName/*"}}Amazon Kinesis templatejson1234567891011{"Version": "2012-10-17","Statement": {"Effect": "Allow","Action": ["kinesis:PutRecords","kinesis:ListShards"],"Resource": "arn:aws:kinesis:::YourKinesisStreamName"}}Create policy をクリックします。
信頼と権限ポリシーを添付したロールを作成します。ナビゲーションパネルから Roles を選択し、Create role をクリックします。
Select type of trusted entity については、Another AWS account を選択します。
Account ID には、Fastly AWS アカウント ID (
717331877981) を入力します。Require external ID を選択します。
External ID フィールドに、Fastly 顧客アカウント ID を入力します。
Next: Permissions をクリックします。
上記で作成した権限ポリシーの隣のチェックボックスを選択します。
Next: Tags をクリックします。
(オプション) キーと値のペアとしてタグを添付することで、ロールにメタデータを追加します。IAM でのタグの使用の詳細については、IAM リソースのタグ付けに関する Amazon のドキュメントを確認してください。
Next: Review をクリックします。以下のフィールドに入力します。
- Role name フィールドに、ロールの名前を入力します。ロール名は、AWS アカウント内で固有である必要があります。ケース別に区別されていません。他の AWS リソースはロールを参照する可能性があるため、ロールの名前は作成後に編集できません。
- (オプション) Role description フィールドに、新しいロールの説明を入力します。
ロールを確認し、Create role をクリックします。Roles タブのロールのリストに作成したロールが表示されます。
手順リージョントークンの有効化に従い、AWS アカウントがリージョント STS エンドポイントを使用してトークンを許可するように設定されていることを確認します。
新しいロールを作成した後、Roles タブからロールを選択して、Role ARN など、ロールに関する詳細を表示します。ログエンドポイントを作成するには、この ARN が必要です。
AWS CLI 経由での IAM ロールの作成
AWS CLI 経由で IAM ロールを作成するには、以下の手順に従ってください。
以下の点のいずれかを使用して、Fastlyアカウント ID と Fastly AWS アカウント番号を使用して、信頼ポリシーを JSON で作成します。テンプレートをテキストエディタにコピーし、
FastlyCustomerAccountIDを顧客アカウント ID、Sidをポリシーの名前に置き換えてください。ファイルをファイルシステムに保存します。Amazon S3 templatejson12345678910111213141516{"Version": "2012-10-17","Statement": {"Condition": {"StringEquals": {"sts:ExternalId": "FastlyCustomerAccountID"}},"Action": "sts:AssumeRole","Principal": {"AWS": "717331877981"},"Effect": "Allow","Sid": "S3LoggingTrustPolicy"}}Amazon Kinesis templatejson12345678910111213141516{"Version": "2012-10-17","Statement": {"Condition": {"StringEquals": {"sts:ExternalId": "FastlyCustomerAccountID"}},"Action": "sts:AssumeRole","Principal": {"AWS": "717331877981"},"Effect": "Allow","Sid": "KinesisLoggingTrustPolicy"}}Fastly からログを書き込む Amazon Resource Name (ARN) または Kinesis データストリームの S3 バケットを使用して、権限ポリシーを JSON に作成します。テンプレートをテキストエディタにコピーし、リソースフィールドの名前を S3 バケットまたは Kinesis データストリームの名前に置き換えてください。ファイルをファイルシステムに保存します。
Amazon S3 templatejson12345678{"Version": "2012-10-17","Statement": {"Effect": "Allow","Action": "s3:PutObject","Resource": "arn:aws:s3:::YourS3BucketName/*"}}Amazon Kinesis templatejson1234567891011{"Version": "2012-10-17","Statement": {"Effect": "Allow","Action": ["kinesis:PutRecords","kinesis:ListShards"],"Resource": "arn:aws:kinesis:::YourKinesisStreamName"}}コマンドラインからロールを作成し、ロールに信頼ポリシーを追加します。
YourRoleNameをロールの名前に置き換え、file://trust-policy-file.jsonを信頼ポリシーを作成したファイルの名前と場所に置き換えてください。$ aws --profile personal iam create-role --role-name YourRoleName --assume-role-policy-document file://trust-policy-file.jsonこのコマンドの正しいレスポンスを以下に示します。
12345678910111213141516171819202122232425{"Role": {"Path": "/","RoleName": "YourRoleName","RoleId": "ABCD1234ZHHQGKDRUMGFH","Arn": "arn:aws:iam::AmazonResourceName:role/YourRoleName","CreateDate": "2021-03-19T23:14:27+00:00","AssumeRolePolicyDocument": {"Version": "2012-10-17","Statement": {"Condition": {"StringEquals": {"sts:ExternalId": "abc12345-defg-6789-hijk-lmno10111213"}},"Action": "sts:AssumeRole","Principal": {"AWS": "717331877981"},"Effect": "Allow","Sid": "RoleForS3"}}}}注意
Arnフィールドの値をメモします。 これはロールの ARN で、ログエンドポイントを作成する際に必要になります。権限ポリシーを作成します。
YourPolicyNameをポリシーの名前に置き換え、file://permission-policy-file.jsonを信頼ポリシーを作成したファイルの名前と場所に置き換えてください。$ aws --profile personal iam create-policy --policy-name YourPolicyName --policy-document file://permissions-policy-file.jsonこのコマンドの正しいレスポンスを以下に示します。
1234567891011121314{"Policy": {"PolicyName": "YourPolicyName","PolicyId": "ABCDJH5Z123CTIKFWXYZ","Arn": "arn:aws:iam::AmazonResourceName:policy/YourPolicyName","Path": "/","DefaultVersionId": "v1","AttachmentCount": 0,"PermissionsBoundaryUsageCount": 0,"IsAttachable": true,"CreateDate": "2021-03-19T23:17:42+00:00","UpdateDate": "2021-03-19T23:17:42+00:00"}}ロールに権限ポリシーを添付します。
YourRoleNameをロールの名前に置き換え、--policy-arnの後ろの値を権限ポリシーの ARN に置き換えてください。$ aws --profile personal iam attach-role-policy --role-name YourRoleName --policy-arn arn:aws:iam::123453306678:policy/AllowLoggingBucketWrites手順リージョントークンの有効化に従い、AWS アカウントがリージョント STS エンドポイントを使用してトークンを許可するように設定されていることを確認します。
リージョントークンの有効化
Fastly は、AWS セキュリティ トークン サービス API を使用して、S3 や Kinesis などの AWS エンドポイントにログを書き込みするための一時的な認証情報をリクエストします。トークンは、単一のグローバルエンドポイントまたはリージョナルエンドポイントからリクエストできますが、AWS ではレイテンシの削減と冗長性の改善のためにリージョナル STS エンドポイントの使用を推奨しています。
AWS S3バケットまたは Kinesis ストリームがどこに配置されているかに関係なく、Fastly が使用するすべてのリージョナルエンドポイントを有効化して、最高レベルの冗長性とトークン有効性を提供する必要があります。 例えば、S3バケットが us-west-1 に位置していても、Fastly は別のリージョン (例: us-east-2) からバケットに書き込むトークンを取得できます。
手順AWS リージョンでAWS STS を有効化する手順と非アクティブ化に従って、Fastly がトークンを取得するために使用できるすべての以下のリージョナルエンドポイントをアクティブ化します。
- 米国東部 (N. Virginia)常にアクティブ:
https://sts.us-east-1.amazonaws.com - 米国東部 (Ohio):
https://sts.us-east-2.amazonaws.com - 米国西部 (N. California):
https://sts.us-west-1.amazonaws.com - 米国西部 (Oregon):
https://sts.us-west-2.amazonaws.com
次のステップ
作成した IAM ロールを使用して、ログエンドポイントとして Amazon S3 または Amazon Kinesis を追加します。
翻訳についての注意事項
このフォームを使用して機密性の高い情報を送信しないでください。サポートが必要な場合は、サポートチームまでご連絡ください。このフォームは reCAPTCHA によって保護されており、Google のプライバシーポリシーと利用規約が適用されます。
