Erste Schritte mit AWS CloudTrail Tutorials - AWS CloudTrail
Erteilen Sie Nutzungsberechtigungen CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit AWS CloudTrail Tutorials

Wenn Sie noch nicht damit vertraut sind AWS CloudTrail, können Ihnen diese Tutorials dabei helfen, die Funktionen zu nutzen.

Themen

Erteilen Sie Nutzungsberechtigungen CloudTrail

Um CloudTrail Ressourcen wie Pfade, Veranstaltungsdatenspeicher und Kanäle zu erstellen, zu aktualisieren und zu verwalten, müssen Sie Nutzungsberechtigungen erteilen CloudTrail. Dieser Abschnitt enthält Informationen zu den verwalteten Richtlinien, die für verfügbar sind CloudTrail.

Anmerkung

Die Berechtigungen, die Sie Benutzern zur Durchführung von CloudTrail Verwaltungsaufgaben gewähren, sind nicht dieselben wie die Berechtigungen, die für die Übermittlung von Protokolldateien an Amazon S3 S3-Buckets oder das Senden von Benachrichtigungen an Amazon SNS SNS-Themen CloudTrail erforderlich sind. Weitere Informationen zu diesen Berechtigungen finden Sie unter Amazon S3 S3-Bucket-Richtlinie für CloudTrail.

Wenn Sie die Integration mit Amazon CloudWatch Logs konfigurieren, benötigt es CloudTrail auch eine Rolle, die es übernehmen kann, um Ereignisse an eine Amazon CloudWatch Logs-Protokollgruppe zu übermitteln. Sie müssen die Rolle erstellen, die CloudTrail verwendet. Weitere Informationen finden Sie unter Erteilen der Berechtigung zum Anzeigen und Konfigurieren von Amazon CloudWatch Logs-Informationen auf der CloudTrail Konsole und Ereignisse an CloudWatch Logs senden.

Die folgenden AWS verwalteten Richtlinien sind verfügbar für CloudTrail:

  • AWSCloudTrail_FullAccess— Diese Richtlinie bietet vollen Zugriff auf CloudTrail Aktionen in CloudTrail Bezug auf Ressourcen wie Pfade, Ereignisdatenspeicher und Kanäle. Diese Richtlinie bietet die erforderlichen Berechtigungen zum Erstellen, Aktualisieren und Löschen von CloudTrail Pfaden, Ereignisdatenspeichern und Kanälen.

    Diese Richtlinie bietet auch Berechtigungen zur Verwaltung des Amazon S3 S3-Buckets, der Protokollgruppe für CloudWatch Logs und eines Amazon SNS SNS-Themas für einen Trail. Die AWSCloudTrail_FullAccess verwaltete Richtlinie bietet jedoch keine Berechtigungen zum Löschen des Amazon S3 S3-Buckets, der Protokollgruppe für CloudWatch Logs oder eines Amazon SNS SNS-Themas. Informationen zu verwalteten Richtlinien für andere AWS Dienste finden Sie im Referenzhandbuch für AWS verwaltete Richtlinien.

    Anmerkung

    Die AWSCloudTrail_FullAccessRichtlinie ist nicht für die allgemeine Verbreitung in Ihrem Unternehmen vorgesehen AWS-Konto. Benutzer mit dieser Rolle können die sensibelsten und wichtigsten Auditing-Funktionen in ihren AWS-Konten deaktivieren oder konfigurieren. Aus diesem Grund dürfen Sie diese Richtlinie nur auf Kontoadministratoren anwenden. Sie müssen die Anwendung dieser Richtlinie genau kontrollieren und überwachen.

  • AWSCloudTrail_ReadOnlyAccess— Diese Richtlinie gewährt Berechtigungen zum Anzeigen der CloudTrail Konsole, einschließlich aktueller Ereignisse und des Ereignisverlaufs. Diese Richtlinie ermöglicht es Ihnen auch, vorhandene Trails, Ereignisdatenspeicher und Kanäle einzusehen. Rollen und Benutzer mit dieser Richtlinie können den Ereignisverlauf herunterladen, aber sie können keine Trails, Ereignisdatenspeicher oder Kanäle erstellen oder aktualisieren.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu: