Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erste Schritte mit AWS CloudTrail Tutorials
Wenn Sie noch nicht damit vertraut sind AWS CloudTrail, können Ihnen diese Tutorials dabei helfen, die Funktionen zu nutzen.
Themen
Erteilen Sie Nutzungsberechtigungen CloudTrail
Um CloudTrail Ressourcen wie Pfade, Veranstaltungsdatenspeicher und Kanäle zu erstellen, zu aktualisieren und zu verwalten, müssen Sie Nutzungsberechtigungen erteilen CloudTrail. Dieser Abschnitt enthält Informationen zu den verwalteten Richtlinien, die für verfügbar sind CloudTrail.
Anmerkung
Die Berechtigungen, die Sie Benutzern zur Durchführung von CloudTrail Verwaltungsaufgaben gewähren, sind nicht dieselben wie die Berechtigungen, die für die Übermittlung von Protokolldateien an Amazon S3 S3-Buckets oder das Senden von Benachrichtigungen an Amazon SNS SNS-Themen CloudTrail erforderlich sind. Weitere Informationen zu diesen Berechtigungen finden Sie unter Amazon S3 S3-Bucket-Richtlinie für CloudTrail.
Wenn Sie die Integration mit Amazon CloudWatch Logs konfigurieren, benötigt es CloudTrail auch eine Rolle, die es übernehmen kann, um Ereignisse an eine Amazon CloudWatch Logs-Protokollgruppe zu übermitteln. Sie müssen die Rolle erstellen, die CloudTrail verwendet. Weitere Informationen finden Sie unter Erteilen der Berechtigung zum Anzeigen und Konfigurieren von Amazon CloudWatch Logs-Informationen auf der CloudTrail Konsole und Ereignisse an CloudWatch Logs senden.
Die folgenden AWS verwalteten Richtlinien sind verfügbar für CloudTrail:
-
AWSCloudTrail_FullAccess— Diese Richtlinie bietet vollen Zugriff auf CloudTrail Aktionen in CloudTrail Bezug auf Ressourcen wie Pfade, Ereignisdatenspeicher und Kanäle. Diese Richtlinie bietet die erforderlichen Berechtigungen zum Erstellen, Aktualisieren und Löschen von CloudTrail Pfaden, Ereignisdatenspeichern und Kanälen.
Diese Richtlinie bietet auch Berechtigungen zur Verwaltung des Amazon S3 S3-Buckets, der Protokollgruppe für CloudWatch Logs und eines Amazon SNS SNS-Themas für einen Trail. Die
AWSCloudTrail_FullAccess
verwaltete Richtlinie bietet jedoch keine Berechtigungen zum Löschen des Amazon S3 S3-Buckets, der Protokollgruppe für CloudWatch Logs oder eines Amazon SNS SNS-Themas. Informationen zu verwalteten Richtlinien für andere AWS Dienste finden Sie im Referenzhandbuch für AWS verwaltete Richtlinien.Anmerkung
Die AWSCloudTrail_FullAccessRichtlinie ist nicht für die allgemeine Verbreitung in Ihrem Unternehmen vorgesehen AWS-Konto. Benutzer mit dieser Rolle können die sensibelsten und wichtigsten Auditing-Funktionen in ihren AWS-Konten deaktivieren oder konfigurieren. Aus diesem Grund dürfen Sie diese Richtlinie nur auf Kontoadministratoren anwenden. Sie müssen die Anwendung dieser Richtlinie genau kontrollieren und überwachen.
-
AWSCloudTrail_ReadOnlyAccess— Diese Richtlinie gewährt Berechtigungen zum Anzeigen der CloudTrail Konsole, einschließlich aktueller Ereignisse und des Ereignisverlaufs. Diese Richtlinie ermöglicht es Ihnen auch, vorhandene Trails, Ereignisdatenspeicher und Kanäle einzusehen. Rollen und Benutzer mit dieser Richtlinie können den Ereignisverlauf herunterladen, aber sie können keine Trails, Ereignisdatenspeicher oder Kanäle erstellen oder aktualisieren.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-