目次

  1. 1.はじめに
  2. 2.S3 の設定によるアクセス拒否
  3. 3.IAM での拒否
  4. 4.おわりに

1. はじめに

WafCharm AWS 版を導入する際にアクセスログを連携するための設定が必要になります。
その際、稀に IAM や S3 の設定は手順通りに実施したにも関わらず連携できないとい問い合わせをいただくケースがあります。
この記事では原因となり得る箇所を確認していきたいと思います。

IAM 情報と登録した S3 Path の再確認をしても間違いが見つからない場合は参考にしてください。

2. S3 の設定によるアクセス拒否

S3 の設定によるアクセス拒否のトラブルシュートが公式情報にあります。

https://aws.amazon.com/jp/premiumsupport/knowledge-center/s3-troubleshoot-403/

S3 の設定が原因だとすると以下が確認ポイントとなります。
・ Amazon S3 のパブリックアクセスのブロック設定
・ Amazon S3 アクセスポイントポリシー
・ AWS KMS 暗号化
・ バケットで有効化されているリクエスタ支払い

各機能を使用しているかを確認していただき、何かアクセスを拒否するような設定がないか確認してください。

お問い合わせいただいた際に実際に原因となった事例に「AWS KMS 暗号化」に該当していたことがありました。CLI で WafCharm に登録いただいたクレデンシャルを利用して S3 へのアクセスを実施していただくと ListObject (バケット内のファイルの確認)は出来るのに GetObject (ファイルの読み込み)ができないという特徴がありました。
KMS キーポリシーに該当 IAM ユーザーを追加いただくことで解決しました。

3. IAM での拒否

IAM の設定は様々な単位で設定できますが、どの単位であっても明確な拒否の記載があればアクセスの拒否されることになります。

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

auto

上記公式情報のフローチャートが視覚的に分かりやすいものになっています。

・ Organizations SCP
・ リソースベースのポリシー
・ IAM アクセス許可の境界(Permissions boundary)
・ セッションポリシー
・ アイデンティティベースのポリシー(ユーザーやロールに設定される一般的に理解されているIAM)

に明示的な拒否(Deny)がないか探しましょう。

4. おわりに

本ブログでは S3 と IAM の設定に起因するトラブルシュートを紹介しましたが、WafCharm とのアクセスログ連携が失敗する多くの原因は、
・ 登録した情報の入力ミス
・ 異なるIAMの情報を登録するなど、意図した情報が登録されていない
といった間違いです。
もし、設定を再確認しても解決しない場合は本ブログを参考にしていただければと思います。