AWS Identity and Access Management Access Analyzer 使用して AWS CloudTrail イベントに基づくポリシーを生成しようとしましたが、エラーが発生しました。
簡単な説明
IAM Access Analyzer を使用して、CloudTrail アクティビティに基づいてポリシーを生成する手順に従いましたが、次のようなエラーが表示されました。
「An error occurred Invalid accessRole: Incorrect permissions assigned to access CloudTrail S3 bucket」(エラーが発生しました 無効な accessRole: CloudTrail S3バケットへのアクセスに割り当てられた権限が正しくありません)
「The role is not authorized to perform: kms:Decrypt on the resource」(ロールには、リソースに対して kms:Decrypt を実行する権限がありません)
解決策
IAM Access Analyzer サービスロールに関連付けられているポリシーを確認する
IAM Access Analyzer のサービスロールに、ポリシーを生成するために必要なアクセス許可があることを確認します。IAM Access Analyzer が CloudTrail にアクセスできるようにするには、サービスロールを作成または編集する必要があります。また、AWS アカウントの AWS サービスの最終アクセス情報に対する IAM Access Analyzer のアクセス許可を許可する必要があります。AWS サービスが IAM で動作することを確認します。
**注:**初期設定のサービスロールは管理者に作成してもらうのがベストプラクティスです。詳細については、「AWS サービスにアクセス許可を委任するロールを作成する」を参照してください。
CloudTrail ログが保存されている Amazon S3 バケットポリシーを確認する
CloudTrail ログが保存されているバケットポリシーを確認してください。ポリシーステートメントが IAM Access Analyzer サービスロールへのアクセスを拒否していないことを確認します。CloudTrail ログが別のアカウントに保存されている場合は、ポリシーが Access Analyzer サービスロールへの明示的なアクセスを許可していることを確認します。
たとえば、Amazon Simple Storage Service (Amazon S3) バケットを AWS Organizations の別のアカウントに保存しているとします。Amazon S3 バケットの バケットポリシーは、IAM Access Analyze サービスロールの GetObject および ListBuckets API アクションへのアクセスを許可する必要があります。
CloudTrail ログの暗号化に使用している AWS KMS キーポリシーを確認する
AWS Key Management Service (AWS KMS)を使用して CloudTrail ログを暗号化する場合は、AWS KMS キーポリシーを更新します。CloudTrail ログを保存しているアカウントの AWS KMS キーポリシーを確認します。AWS KMS キーポリシーが IAM Access Analyzer へのアクセスを許可していることを確認します。AWS KMS キーポリシーに、IAM Access Analyzer サービスロールの明示的な拒否が含まれていないことを確認します。
関連情報
IAM Access Analyzer によるポリシーの生成
AWS Identity and Access Management Access Analyzer の使用
AWS IAM Access Analyzer を使用して、AWS 組織アカウントの AWS リソースを監視するにはどうすればよいですか?