AWS CloudTrail のコンソールからイベントをダウンロードするために必要な権限を教えてください
困っていた内容
以下のブログを参考に、CloudTrail のイベントをローカル環境にダウンロードして分析する方法を検討しています。
AWS CloudTrailのイベントをAmazon Athenaを使わなくても取得して分析できるよって話 | DevelopersIO
しかし、特定の IAM プリンシパルで CloudTrail のコンソールからイベントをダウンロードする際に以下のエラーが発生してダウンロードできませんでした。
AWS CloudTrail はダウンロードリクエストを完了できませんでした。ページを更新して、再試行してください。
AWS CloudTrail のコンソールからイベントをダウンロードするために必要な権限を教えてください。
どう対応すればいいの?
cloudtrail:LookupEvents の権限を付与する方法をお試しください。
LookupEvents - AWS CloudTrail
Looks up management events or CloudTrail Insights events that are captured by CloudTrail. You can look up events that occurred in a Region within the last 90 days.
AWS CloudTrail のコンソールでイベントを閲覧するためには LookupEvents の権限が必要です。
LookupEvents の権限が付与されていない IAM プリンシパルが CloudTrail のコンソールのイベント履歴にアクセスした場合、イベントを閲覧できずイベントのダウンロードもできません。
そのため、エラーが発生する IAM プリンシパルに LookupEvents の権限を付与して再度ダウンロードをお試しください。
やってみた
LookupEvents の権限の有無で挙動を確認してみました。
まず、AdministratorAccess 権限のみを付与した状態ではイベント履歴を閲覧できることを確認します。
次に、LookupEvents の権限のみを拒否するために以下の IAM ポリシーを作成しました。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "cloudtrail:LookupEvents",
"Resource": "*"
}
]
}
上記 IAM ポリシーを IAM プリンシパルにアタッチします。
この状態で CloudTrail コンソールのイベント履歴にアクセスすると、以下のエラーが表示されました。
AccessDeniedException
User: arn:aws:sts::012345678901:assumed-role/xxx/xxx is not authorized to perform: cloudtrail:LookupEvents with an explicit deny in an identity-based policy: arn:aws:iam::012345678901:policy/Deny-LookupEvents
また、イベントをダウンロードする際に冒頭のエラーが発生することも確認できました。
以上より、LookupEvents の権限が付与されていない場合にはイベントをダウンロードできないことがわかりました。
