AWSのS3のポリシー設定のJSONコードでエラーが発生する。

前提

現在、AWSの使い方を勉強しています。

実現したいこと

現在、ESP32C3搭載基板で、ボタンを押したらAWSサーバに対して通知するプログラムを作りました。最終的には、その通知信号をログファイルにまとめて参照できるようにしたいと思っています。

発生している問題・エラーメッセージ

どうやら、AWSのS3とかCloudWatct Logs等のサービス機能を使えばできるのではないか？と思い、下記のサイトを見つけ、掲載されている通りに進めてみたところ、バケットポリシーの設定のところでエラーが発生して変更を保存できません。

Ln8,Col 38 
Restrict Access To Service Principal: ソースを指定せずにサービスプリンシパルにアクセス権を付与すると、許容度が過度に高くなります。aws:SourceArn または aws:SourceAccount 条件キーを使用して、きめ細かなアクセス権を付与します。


Ln15,Col 38 
Restrict Access To Service Principal: ソースを指定せずにサービスプリンシパルにアクセス権を付与すると、許容度が過度に高くなります。aws:SourceArn または aws:SourceAccount 条件キーを使用して、きめ細かなアクセス権を付与します。

該当のソースコード

json
1 {
2    "Version": "2012-10-17",
3    "Statement": [
4        {
5            "Action": "s3:GetBucketAcl",
6            "Effect": "Allow",
7            "Resource": "arn:aws:s3:::test-logs-2-0-2-2-1019",
8            "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
9        },
10        {
11            "Action": "s3:PutObject" ,
12            "Effect": "Allow",
13            "Resource": "arn:aws:s3:::test-logs-2-0-2-2-1019/log-okiba/*",
14            "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
15            "Principal": { "Service": "logs.us-east-1.amazonaws.com" }
16        }
17    ]
18}

試したこと

エラー内容から"Principal"の行は”aws:SourceArn...”等とAmazon Resorce Nameというそれぞれの機能が持つIDを指定する必要があるのかな？と思い、このS3バケットにログを収納しようとしているCloudWatchのイベントのルールのARN

”arn:aws:events:us-west-2:513******:rule/helloWorldRule”

このARNを設定してみたところ、2つのエラーは消えましたが、次のようなエラーが発生して変更が保存できません。

不明なエラー
予期しないエラーが発生しました。
＊API レスポンス
Policies must be valid JSON and the first byte must be '{'

変更時のJSONコード

json
1 {
2    "Version": "2012-10-17",
3    "Statement": [
4        {
5            "Action": "s3:GetBucketAcl",
6            "Effect": "Allow",
7            "Resource": "arn:aws:s3:::test-logs-2-0-2-2-1019",
8            "Principal": { "AWS": "arn:aws:events:us-west-2:513******:rule/helloWorldRule" }
9        },
10        {
11            "Action": "s3:PutObject" ,
12            "Effect": "Allow",
13            "Resource": "arn:aws:s3:::test-logs-2-0-2-2-1019/log-okiba/*",
14            "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } },
15            "Principal": { "AWS": "arn:aws:events:us-west-2:513******:rule/helloWorldRule" }
16        }
17    ]
18}

補足情報（FW/ツールのバージョンなど）

ここにより詳細な情報を記載してください。

行動規範の内容に同意します

回答1件

自己解決

一応、解決ができました。

jsonコード内に何か余計なものが付いていたらしいのですが、原因がよくわからず、ポリシーサイトにリンクのあるjsonジェネレータでほぼ同じ条件のコードを出力してもらって、正常にポリシーの更新保存が完了できました。

cloud watchのロググループでログエクスポートを実施して、出力先のバケットにエクスポートできているのを確認できました。

正常に更新・保存ができたポリシー

json
1{
2    "Version": "2012-10-17",
3    "Id": "Policy1666238906932",
4    "Statement": [
5        {
6            "Sid": "Stmt1666238693629",
7            "Effect": "Allow",
8            "Principal": {
9                "Service": "logs.us-west-2.amazonaws.com"
10            },
11            "Action": "s3:GetBucketAcl",
12            "Resource": "arn:aws:s3:::test-logs-2-0-2-2-1020"
13        },
14        {
15            "Sid": "Stmt1666238899908",
16            "Effect": "Allow",
17            "Principal": {
18                "Service": "logs.us-west-2.amazonaws.com"
19            },
20            "Action": "s3:PutObject",
21            "Resource": "arn:aws:s3:::test-logs-2-0-2-2-1020/log-okiba/*",
22            "Condition": {
23                "StringEquals": {
24                    "s3:x-amz-acl": "bucket-owner-full-control"
25                }
26            }
27        }
28    ]
29}