CloudWatch Logs のログをS3にエクスポート

CloudWatch Logs で収集してるログをローカルで解析したくて、生ログをS3にエクスポートする方法でてこずった。
用意したバケットにエクスポートしようとすると何やら権限でコケてしまって、しかもメッセージがリージョンが異なっているから無理的な内容で、リージョン合わせてるしバケットの権限も設定しているからはまった。

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/S3ExportTasks.html

でも、ちゃんと説明を読んだら「To set permissions on an Amazon S3 bucket」ていうところでポリシーの設定が必要と明記されていて、自分のうかつさだけをかみしめる結果でした。
これを設定したら何の問題もなくエクスポートできました。