[トップページ] [FAQ 一覧]

対象:S3

"選択したバケットの ACL アクセス権が不正です。" が CloudWatch ログのエクスポートで表示される





エラーの内容


AWS 管理コンソールより CloudWatchのログをS3にエクスポートしようとしたところ、以下のエラーが発生しました。


選択したバケットの ACL アクセス権が不正です。CloudWatch Logs では、別のリージョンで作成された Amazon S3 バケットへのデータのエクスポートをサポートしていません。詳細はこちら。



ただしCloudWatchのリージョンとS3のリージョンは合致しています。

エラーの原因


この場合、S3にCloudWatch ログのアクセスのポリシーがないことが考えられます。

(1)例えば以下のポリシーを S3 バケットに追加します。


{
"Version": "2012-10-17",
"Statement": [
{
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::<バケット名>",
"Principal": { "Service": "logs.ap-northeast-1.amazonaws.com" }
},
{
"Action": "s3:PutObject" ,
"Effect": "Allow",
"Resource": "arn:aws:s3:::<バケット名>/<フォルダ名>/*",
"Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
"Principal": { "Service": "logs.ap-northeast-1.amazonaws.com" }
}
]
}



(注)すでにバケットにポリシーがアタッチされている場合はステートメントに追加します。"ap-northeast-1" の部分はお使いのリージョンに変更してください。

参考
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/S3ExportTasksConsole.html


(2)CloudwatchのS3エクスポート画面で、「Advance」より「バケットプレフィックス」にポリシーで指定した<フォルダ名>を入力します。エクスポートを実行します。
エクスポートしてもCloudWatchからログは削除されませんでした。

【超重要】本ページは2018/08/03に記載されました。情報が古くなっている可能性があります。




[ 一覧に戻る]


【注意事項】本ページの内容は個人的に調査した結果がであり内容が正しいことは保証されません。
またAWSサービスは常に改良、アップデートされており本ページの内容が古く誤った内容になる可能性もあります。変更になっても本ページが正しく更新されるとは限りません。
あくまでも参考程度でご覧ください。内容により発生したいかなる時間的損害、金銭的損害、その他の損害に関しても何人も保証しません。