【IaC】Amazon S3 のサンプルコード集

作成日: 2025/01/03, 更新日: 2025/01/03

Amazon S3 は、AWS クラウド内にオブジェクトストレージを構築するサービスです。
保存するデータとしては、Web サイトの静的コンテンツやバックアップデータ、アーカイブデータ、ログファイルなどがあります。
本記事では、Amazon S3 の CloudFormation テンプレートのサンプルコード集を記載いたします。

コーディングルール
監査ログ用バケット
Athena ワークグループのクエリ結果保存用バケット

コーディングルール

本記事に記載している CloudFormation テンプレートは【IaC】CloudFormation テンプレート / SAM テンプレートのコーディングルールを基準に記述しています。
CloudFormation Guard を利用し、「Center for Internet Security (CIS) Amazon Web Services Foundation v1.4 Level 1」を評価できるルールセットを利用します。
- VSCode のプラグインでは評価できないため、以下のコマンドを利用します。


          cfn-guard validate \
          --rules ~/cis-aws-benchmark-level-1.guard \
          --data ./template.yml

監査ログ用バケット

以下の CloudFormation テンプレートは AWS サービスから出力される監査ログを保存するためのバケットです。
- 蓄積する監査ログの出力元 AWS サービスは、AWS Config、AWS CloudTrail、Amazon GuardDuty、Amazon VPC Flow Logs です。

ログの蓄積期間は 1年間とし、マルチアップロードファイルやバージョニングファイルの保持期間は 7日間としています。
サーバーアクセスログ用のバケットを作成し、監査ログ用バケットのログ記録先として設定しています。
- Amazon S3 サーバーアクセスログで、日付ベースの自動パーティション分割をサポートにある通り、サーバーアクセスログも日付ベースでパーティション分割することができるようになったため、S3 イベントの時刻でパスを切るように設定しています。
バケットポリシーや KMS キーのポリシーを設計した際に参考にしたサイトの URL はコメントに記載しています。
- 参考にしていたドキュメントでは Condition で aws:SourceArn や aws:SourceAccount を利用して出力元の AWS アカウントやリソースを指定していましたが、以下のテンプレートでは削除しております。最低限、Principal で AWS サービス名を絞り込んでいるので IAM ユーザーやロールからのアクセスは拒否されます。
- 設計ミスで想定していない AWS アカウントからログを出力してしまった、、、というリスクはあるため、必要に応じて Condition を追加してください。
CIS や cfn_nag のルールに基本的には準じた設計にしております。


          AWSTemplateFormatVersion: 2010-09-09
          Resources:
            AuditLogBucket01:
              Type: AWS::S3::Bucket
              Properties:
                BucketName: !Sub sample-audit-bucket-${AWS::AccountId}-${AWS::Region}
                BucketEncryption:
                  ServerSideEncryptionConfiguration:
                    - ServerSideEncryptionByDefault:
                        KMSMasterKeyID: !GetAtt AuditLogKey01.Arn
                        SSEAlgorithm: aws:kms
                OwnershipControls:
                  Rules:
                    - ObjectOwnership: BucketOwnerEnforced
                LifecycleConfiguration:
                  Rules:
                    - Status: Enabled
                      AbortIncompleteMultipartUpload:
                        DaysAfterInitiation: 7
                      NoncurrentVersionExpirationInDays: 7
                    - Status: Enabled
                      ExpirationInDays: 365
                      Prefix: /
                PublicAccessBlockConfiguration:
                  BlockPublicAcls: true
                  BlockPublicPolicy: true
                  IgnorePublicAcls: true
                  RestrictPublicBuckets: true
                VersioningConfiguration:
                  Status: Enabled
                LoggingConfiguration:
                  DestinationBucketName: !Ref ServerAccessLogBucket01
                  TargetObjectKeyFormat:
                    PartitionedPrefix:
                      PartitionDateSource: EventTime

            AuditLogBucketPolicy01:
              Type: AWS::S3::BucketPolicy
              Properties:
                Bucket: !Ref AuditLogBucket01
                PolicyDocument:
                  Version: 2012-10-17
                  Statement:
                    # 参考: https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/s3-bucket-policy.html
                    - Sid: AWSConfigAclCheck
                      Effect: Allow
                      Principal:
                        Service: config.amazonaws.com
                      Action:
                        - s3:GetBucketAcl
                      Resource: !Sub arn:${AWS::Partition}:s3:::${AuditLogBucket01}
                    - Sid: AWSConfigWrite
                      Effect: Allow
                      Principal:
                        Service: config.amazonaws.com
                      Action:
                        - s3:PutObject
                        - s3:PutObjectAcl
                      Resource: !Sub arn:${AWS::Partition}:s3:::${AuditLogBucket01}/*
                    # 参考: https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html
                    - Sid: AWSCLoudTrailAclCheck
                      Effect: Allow
                      Principal:
                        Service: cloudtrail.amazonaws.com
                      Action:
                        - s3:GetBucketAcl
                      Resource: !Sub arn:${AWS::Partition}:s3:::${AuditLogBucket01}
                    - Sid: AWSCloudTrailWrite
                      Effect: Allow
                      Principal:
                        Service: cloudtrail.amazonaws.com
                      Action:
                        - s3:PutObject
                      Resource: !Sub arn:${AWS::Partition}:s3:::${AuditLogBucket01}/AWSLogs/*
                      Condition:
                        StringEquals:
                          s3:x-amz-acl: bucket-owner-full-control
                    # 参考: https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-s3-policies
                    - Sid: Allow PutObject
                      Effect: Allow
                      Principal:
                        Service: guardduty.amazonaws.com
                      Action: s3:PutObject
                      Resource: !Sub arn:${AWS::Partition}:s3:::${AuditLogBucket01}/*
                    - Sid: Allow GetBucketLocation
                      Effect: Allow
                      Principal:
                        Service: guardduty.amazonaws.com
                      Action: s3:GetBucketLocation
                      Resource: !Sub arn:${AWS::Partition}:s3:::${AuditLogBucket01}
                    # 参考: https://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/flow-logs-s3.html#flow-logs-s3-permissions
                    - Sid: VPCFlowLogsWrite
                      Effect: Allow
                      Principal:
                        Service: delivery.logs.amazonaws.com
                      Action:
                        - s3:PutObject
                      Resource: !Sub arn:${AWS::Partition}:s3:::${AuditLogBucket01}/*
                      Condition:
                        StringEquals:
                          s3:x-amz-acl: bucket-owner-full-control
                    - Sid: AWSLogDeliveryAclCheck
                      Effect: Allow
                      Principal:
                        Service: delivery.logs.amazonaws.com
                      Action:
                        - s3:GetBucketAcl
                        - s3:ListBucket
                      Resource: !Sub arn:${AWS::Partition}:s3:::${AuditLogBucket01}
                    # 参考: https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/s3-controls.html#s3-5
                    - Sid: AllowSSLRequestsOnly
                      Effect: Deny
                      Principal: '*'
                      Action: s3:*
                      Resource:
                        - !Sub arn:${AWS::Partition}:s3:::${AuditLogBucket01}
                        - !Sub arn:${AWS::Partition}:s3:::${AuditLogBucket01}/*
                      Condition:
                        Bool:
                          aws:SecureTransport: false

            ServerAccessLogBucket01:
              Type: AWS::S3::Bucket
              Metadata:
                cfn_nag:
                  rules_to_suppress:
                    - id: W35
                      reason: サーバーアクセスログバケット自体のログ記録は不要
                guard:
                  SuppressedRules:
                    - S3_BUCKET_LOGGING_ENABLED # サーバーアクセスログバケット自体のログ記録は不要
              Properties:
                BucketName: !Sub sample-server-access-log-bucket-${AWS::AccountId}-${AWS::Region}
                BucketEncryption:
                  # SSE−KMS はサポートされていないため、SSE-S3 を使用
                  # 参考: https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/enable-server-access-logging.html
                  ServerSideEncryptionConfiguration:
                    - ServerSideEncryptionByDefault:
                        SSEAlgorithm: AES256
                OwnershipControls:
                  Rules:
                    - ObjectOwnership: BucketOwnerEnforced
                LifecycleConfiguration:
                  Rules:
                    - Status: Enabled
                      AbortIncompleteMultipartUpload:
                        DaysAfterInitiation: 7
                      NoncurrentVersionExpirationInDays: 7
                    - Status: Enabled
                      ExpirationInDays: 365
                      Prefix: /
                PublicAccessBlockConfiguration:
                  BlockPublicAcls: true
                  BlockPublicPolicy: true
                  IgnorePublicAcls: true
                  RestrictPublicBuckets: true
                VersioningConfiguration:
                  Status: Enabled

            ServerAccessLogBucketPolicy01:
              Type: AWS::S3::BucketPolicy
              Properties:
                Bucket: !Ref ServerAccessLogBucket01
                PolicyDocument:
                  Version: 2012-10-17
                  Statement:
                    # 参考: https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/enable-server-access-logging.html#grant-log-delivery-permissions-general
                    - Sid: S3ServerAccessLogsPolicy
                      Effect: Allow
                      Principal:
                        Service: logging.s3.amazonaws.com
                      Action: s3:PutObject
                      Resource: !Sub arn:${AWS::Partition}:s3:::${ServerAccessLogBucket01}/*
                    # 参考: https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/s3-controls.html#s3-5
                    - Sid: AllowSSLRequestsOnly
                      Effect: Deny
                      Principal: '*'
                      Action: s3:*
                      Resource:
                        - !Sub arn:${AWS::Partition}:s3:::${ServerAccessLogBucket01}
                        - !Sub arn:${AWS::Partition}:s3:::${ServerAccessLogBucket01}/*
                      Condition:
                        Bool:
                          aws:SecureTransport: false

            AuditLogKey01:
              Type: AWS::KMS::Key
              UpdateReplacePolicy: Retain
              DeletionPolicy: Retain
              Properties:
                EnableKeyRotation: true
                RotationPeriodInDays: 365
                KeyPolicy:
                  Version: 2012-10-17
                  Statement:
                    - Sid: Enable IAM User Permissions
                      Effect: Allow
                      Principal:
                        AWS: !Ref AWS::AccountId
                      Action: kms:*
                      Resource: '*'
                    # 参考: https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_exportfindings.html
                    - Sid: AllowGuardDutyKey
                      Effect: Allow
                      Principal:
                        Service: guardduty.amazonaws.com
                      Action: kms:GenerateDataKey
                      Resource: '*'

Athena ワークグループのクエリ結果保存用バケット

以下の CloudFormation テンプレートは Athena ワークグループのクエリ結果を保存するためのバケットです。
- Athena ワークグループのクエリ結果保存先は、Athena ワークグループごとに設定できます。
- 参考: クエリ結果の場所を指定する - Amazon Athena
サーバーアクセスログの出力先は前述した監査ログ用バケットに定義したサーバーアクセスログ保管用のバケットを設定しています。
- Amazon S3 サーバーアクセスログで、日付ベースの自動パーティション分割をサポートにある通り、サーバーアクセスログも日付ベースでパーティション分割することができるようになったため、S3 イベントの時刻でパスを切るように設定しています。
ログの蓄積期間はクエリの履歴が保持される期間と同様、45 日間としています。
- Athena コンソールで最近のクエリを表示する - Amazon Athena
S3 バケットポリシーの参考になる情報が AWS ユーザーガイドにはないのですが、 s3:PutObject s3:GetBucketLocation アクションを許可すれば Athena からのアクセスは可能です。


          AWSTemplateFormatVersion: 2010-09-09
          Resources:
            AthenaBucket01:
              Type: AWS::S3::Bucket
              Properties:
                BucketName: !Sub sample-athena-bucket-${AWS::AccountId}-${AWS::Region}
                BucketEncryption:
                  ServerSideEncryptionConfiguration:
                    - ServerSideEncryptionByDefault:
                        SSEAlgorithm: AES256
                LifecycleConfiguration:
                  Rules:
                    - Status: Enabled
                      ExpirationInDays: 45
                      Prefix: athena/
                    - Status: Enabled
                      AbortIncompleteMultipartUpload:
                        DaysAfterInitiation: 7
                      NoncurrentVersionExpirationInDays: 7
                PublicAccessBlockConfiguration:
                  BlockPublicAcls: true
                  BlockPublicPolicy: true
                  IgnorePublicAcls: true
                  RestrictPublicBuckets: true
                LoggingConfiguration:
                  DestinationBucketName: !Sub sample-server-access-log-bucket-${AWS::AccountId}-${AWS::Region}
                  TargetObjectKeyFormat:
                    PartitionedPrefix:
                      PartitionDateSource: EventTime
                VersioningConfiguration:
                  Status: Enabled

            AthenaBucketPolicy01:
              Type: AWS::S3::BucketPolicy
              Properties:
                Bucket: !Ref AthenaBucket01
                PolicyDocument:
                  Version: 2012-10-17
                  Statement:
                    - Sid: AllowAthenaGetBucketLocation
                      Effect: Allow
                      Principal:
                        Service:
                          - !Sub athena.${AWS::Region}.amazonaws.com
                      Action:
                        - s3:GetBucketLocation
                        - s3:PutObject
                      Resource:
                        - !Sub arn:${AWS::Partition}:s3:::${AthenaBucket01}
                        - !Sub arn:${AWS::Partition}:s3:::${AthenaBucket01}/*
                    # 参考: https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/s3-controls.html#s3-5
                    - Sid: AllowSSLRequestsOnly
                      Effect: Deny
                      Principal: '*'
                      Action: s3:*
                      Resource:
                        - !Sub arn:${AWS::Partition}:s3:::${AthenaBucket01}
                        - !Sub arn:${AWS::Partition}:s3:::${AthenaBucket01}/*
                      Condition:
                        Bool:
                          aws:SecureTransport: false