Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für identitätsbasierte Richtlinien für AWS CloudTrail
Standardmäßig sind Benutzer und Rollen nicht berechtigt, CloudTrail Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe von AWS Management Console, AWS Command Line Interface (AWS CLI) oder ausführen AWS API. Um Benutzern die Berechtigung zu erteilen, Aktionen mit den Ressourcen durchzuführen, die sie benötigen, kann ein IAM Administrator IAM Richtlinien erstellen. Der Administrator kann dann die IAM Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen übernehmen.
Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie anhand dieser JSON Beispieldokumente finden Sie unter IAMRichtlinien erstellen im IAMBenutzerhandbuch.
Weitere Informationen zu Aktionen und Ressourcentypen, die von definiert wurden CloudTrail, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS CloudTrail in der Referenz zur Serviceautorisierung.
Themen
- Bewährte Methoden für Richtlinien
- Beispiel: Zulassen und Verweigern von Aktionen für einen bestimmten Trail
- Beispiele: Erstellen und Anwenden von Richtlinien bei Aktionen für bestimmte Trails
- Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags
- Verwenden der CloudTrail Konsole
- Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
- Gewährung benutzerdefinierter Berechtigungen für Benutzer CloudTrail
Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand CloudTrail Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:
-
Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie AWS im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien oder Verwaltete Richtlinien für Jobfunktionen.
-
Berechtigungen mit den geringsten Rechten anwenden — Wenn Sie Berechtigungen mit IAM Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung IAM zum Anwenden von Berechtigungen finden Sie IAMim Benutzerhandbuch unter Richtlinien und Berechtigungen. IAM
-
Verwenden Sie Bedingungen in IAM Richtlinien, um den Zugriff weiter einzuschränken — Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen einzuschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um anzugeben, dass alle Anfragen mit gesendet werden müssenSSL. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese über einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMJSONRichtlinienelemente: Bedingung.
-
Verwenden Sie IAM Access Analyzer, um Ihre IAM Richtlinien zu validieren, um sichere und funktionale Berechtigungen zu gewährleisten. IAM Access Analyzer validiert neue und bestehende Richtlinien, sodass die Richtlinien der IAM Richtliniensprache (JSON) und den IAM bewährten Methoden entsprechen. IAMAccess Analyzer bietet mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen, um Sie bei der Erstellung sicherer und funktionaler Richtlinien zu unterstützen. Weitere Informationen finden Sie unter IAMAccess Analyzer-Richtlinienvalidierung im IAMBenutzerhandbuch.
-
Multi-Faktor-Authentifizierung erforderlich (MFA) — Wenn Sie ein Szenario haben, in dem IAM Benutzer oder ein Root-Benutzer erforderlich sind AWS-Konto, aktivieren Sie die Option MFA für zusätzliche Sicherheit. Wenn Sie festlegen möchten, MFA wann API Operationen aufgerufen werden, fügen Sie MFA Bedingungen zu Ihren Richtlinien hinzu. Weitere Informationen finden Sie unter Konfiguration des MFA -geschützten API Zugriffs im IAMBenutzerhandbuch.
Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch. IAM
CloudTrail hat keine dienstspezifischen Kontextschlüssel, die Sie im Condition Element der Richtlinienanweisungen verwenden können.
Beispiel: Zulassen und Verweigern von Aktionen für einen bestimmten Trail
Das folgende Beispiel zeigt eine Richtlinie, die es Benutzern mit dieser Richtlinie ermöglicht, den Status und die Konfiguration eines Trails einzusehen und die Protokollierung für einen Trail mit dem Namen zu starten und zu beenden My-First-Trail. Dieser Trail wurde in der Region USA Ost (Ohio) (seiner Heimatregion) in der AWS-Konto mit der ID angelegt 123456789012.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
Das folgende Beispiel zeigt eine Richtlinie, die explizit CloudTrail Aktionen für nicht benannte Pfade verweigert My-First-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudtrail:*" ], "NotResource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
Beispiele: Erstellen und Anwenden von Richtlinien bei Aktionen für bestimmte Trails
Sie können Berechtigungen und Richtlinien verwenden, um die Fähigkeit eines Benutzers zu kontrollieren, bestimmte Aktionen auf CloudTrail Trails auszuführen.
Sie möchten zum Beispiel nicht, dass Benutzer der Entwicklergruppe Ihres Unternehmens die Protokollierung auf einem bestimmten Trail beginnen oder beenden. Möglicherweise möchten Sie ihnen jedoch die Erlaubnis erteilen, die Aktionen DescribeTrails und GetTrailStatus auf dem Trail auszuführen. Zudem sollen die Benutzer der Developer-Gruppe die Aktion StartLogging oder StopLogging für die Trails ausführen können, die von ihnen verwaltet werden.
Sie können zwei Richtlinienerklärungen erstellen und sie an die Entwicklergruppe anhängen, in der Sie sie erstellenIAM. Weitere Informationen zu Gruppen in IAM finden Sie unter IAMGruppen im IAMBenutzerhandbuch.
In der ersten Richtlinie verweigern Sie die StopLogging Aktionen StartLogging und Aktionen für den von ARN Ihnen angegebenen Trail. Im folgenden Beispiel ARN ist der Pfadarn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446057698000", "Effect": "Deny", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail" ] } ] }
In der zweiten Richtlinie sind die GetTrailStatus Aktionen DescribeTrails und für alle CloudTrail Ressourcen zulässig:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446072643000", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus" ], "Resource": [ "*" ] } ] }
Wenn ein Benutzer der Developer-Gruppe versucht, die Protokollierung für den Trail, den Sie in der ersten Richtlinie angegeben haben, zu starten oder zu beenden, wird dem Benutzer der Zugriff verweigert. Benutzer der Developer-Gruppe können die Protokollierung für Trails, die von ihnen erstellt und verwaltet werden, starten und beenden.
Die folgenden Beispiele zeigen, dass die konfigurierte Entwicklergruppe in einem AWS CLI Profil den Namen hatdevgroup. Zuerst führt ein devgroup-Benutzer den Befehl describe-trails aus.
$ aws --profile devgroup cloudtrail describe-trails
Der Befehl wird mit der folgenden Ausgabe erfolgreich abgeschlossen:
{ "trailList": [ { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", "IsMultiRegionTrail": false, "S3BucketName": "amzn-s3-demo-bucket", "HomeRegion": "us-east-2" } ] }
Anschließend führt der Benutzer den Befehl get-trail-status für den Trail aus, den Sie in der ersten Richtlinie angegeben haben.
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
Der Befehl wird mit der folgenden Ausgabe erfolgreich abgeschlossen:
{ "LatestDeliveryTime": 1449517556.256, "LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", "LatestNotificationAttemptSucceeded": "", "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", "IsLogging": true, "TimeLoggingStarted": "2015-12-07T19:36:27Z", "StartLoggingTime": 1449516987.685, "StopLoggingTime": 1449516977.332, "LatestNotificationAttemptTime": "", "TimeLoggingStopped": "2015-12-07T19:36:17Z" }
Als Nächstes führt eine devgroup-Gruppe den Befehl stop-logging für denselben Trail aus.
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
Der Befehl gibt eine Ausnahme zurück, bei der der Zugriff verweigert wurde, z. B. die folgende:
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
Der Benutzer führt den Befehl start-logging für denselben Trail aus.
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
Auch hier gibt der Befehl eine Ausnahme zurück, bei der der Zugriff verweigert wurde, z. B. die folgende:
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags
Im folgenden Richtlinienbeispiel wird die Berechtigung zum Erstellen eines Ereignisdatenspeichers mit CreateEventDataStore verweigert, wenn mindestens eine der folgenden Bedingungen nicht erfüllt ist:
-
Der Ereignisdatenspeicher hat keinen Tag-Schlüssel von
stageauf sich selbst angewendet -
Der Wert des Stage-Tags ist nicht
alpha,beta,gammaoderprod.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/stage": "true" } } }, { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/stage": [ "alpha", "beta", "gamma", "prod" ] } } } ] }
Im folgenden Beispiel wird das Löschen eines Ereignisdatenspeichers mit DeleteEventDataStore verweigert, wenn der Ereignisdatenspeicher ein stage-Tag mit dem Wert prod hat. Eine Richtlinie wie diese kann helfen, einen Ereignisdatenspeicher vor versehentlicher Löschung zu schützen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:DeleteEventDataStore", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
Verwenden der CloudTrail Konsole
Um auf die AWS CloudTrail Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den CloudTrail Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur Anrufe an AWS CLI oder am tätigen, keine Mindestberechtigungen für die Konsole gewähren AWS API. Erlauben Sie stattdessen nur den Zugriff auf die Aktionen, die dem API Vorgang entsprechen, den sie ausführen möchten.
Erteilen von Berechtigungen für die CloudTrail Verwaltung
Damit IAM Rollen oder Benutzer eine CloudTrail Ressource verwalten können, z. B. einen Trail, einen Ereignisdatenspeicher oder einen Kanal, müssen Sie explizite Berechtigungen für die Ausführung der mit CloudTrail Aufgaben verbundenen Aktionen gewähren. In den meisten Situationen können Sie eine AWS verwaltete Richtlinie verwenden, die vordefinierte Berechtigungen enthält.
Anmerkung
Die Berechtigungen, die Sie Benutzern zur Durchführung von CloudTrail Verwaltungsaufgaben gewähren, sind nicht dieselben wie die Berechtigungen, die für die Bereitstellung von Protokolldateien an Amazon S3 S3-Buckets oder das Senden von Benachrichtigungen an SNS Amazon-Themen CloudTrail erforderlich sind. Weitere Informationen zu diesen Berechtigungen finden Sie unter Amazon S3 S3-Bucket-Richtlinie für CloudTrail.
Wenn Sie die Integration mit Amazon CloudWatch Logs konfigurieren, benötigt es CloudTrail auch eine Rolle, die es übernehmen kann, um Ereignisse an eine Amazon CloudWatch Logs-Protokollgruppe zu übermitteln. Sie müssen die Rolle erstellen, die CloudTrail verwendet. Weitere Informationen erhalten Sie unter Erteilen der Berechtigung zum Anzeigen und Konfigurieren von Amazon CloudWatch Logs-Informationen auf der CloudTrail Konsole und Ereignisse an CloudWatch Logs senden.
Die folgenden AWS verwalteten Richtlinien sind verfügbar für CloudTrail:
-
AWSCloudTrail_FullAccess— Diese Richtlinie bietet vollen Zugriff auf CloudTrail Aktionen in CloudTrail Bezug auf Ressourcen wie Pfade, Ereignisdatenspeicher und Kanäle. Diese Richtlinie bietet die erforderlichen Berechtigungen zum Erstellen, Aktualisieren und Löschen von CloudTrail Pfaden, Ereignisdatenspeichern und Kanälen.
Diese Richtlinie bietet auch Berechtigungen zur Verwaltung des Amazon S3 S3-Buckets, der Protokollgruppe für CloudWatch Logs und eines SNS Amazon-Themas für einen Trail. Die
AWSCloudTrail_FullAccessverwaltete Richtlinie bietet jedoch keine Berechtigungen zum Löschen des Amazon S3 S3-Buckets, der Protokollgruppe für CloudWatch Logs oder eines SNS Amazon-Themas. Informationen zu verwalteten Richtlinien für andere AWS-Services finden Sie im Referenzhandbuch für AWS verwaltete Richtlinien.Anmerkung
Die AWSCloudTrail_FullAccessDiese Richtlinie ist nicht dafür vorgesehen, von allen Seiten gemeinsam genutzt zu werden AWS-Konto. Benutzer mit dieser Rolle können die sensibelsten und wichtigsten Auditing-Funktionen in ihren AWS-Konten deaktivieren oder konfigurieren. Aus diesem Grund dürfen Sie diese Richtlinie nur auf Kontoadministratoren anwenden. Sie müssen die Anwendung dieser Richtlinie genau kontrollieren und überwachen.
-
AWSCloudTrail_ReadOnlyAccess— Diese Richtlinie gewährt Berechtigungen zum Anzeigen der CloudTrail Konsole, einschließlich aktueller Ereignisse und des Ereignisverlaufs. Diese Richtlinie ermöglicht es Ihnen auch, vorhandene Trails, Ereignisdatenspeicher und Kanäle einzusehen. Rollen und Benutzer mit dieser Richtlinie können den Ereignisverlauf herunterladen, aber sie können keine Trails, Ereignisdatenspeicher oder Kanäle erstellen oder aktualisieren.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation) im IAMBenutzerhandbuch.
-
IAMBenutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.
-
Weitere Ressourcen
Weitere Informationen darüber, wie IAM Sie Identitäten wie Benutzern und Rollen Zugriff auf Ressourcen in Ihrem Konto gewähren, finden Sie unter Einrichtung von Ressourcen IAM und Zugriffsverwaltung für AWS Ressourcen im IAMBenutzerhandbuch.
Sie müssen Benutzern, die nur Anrufe an AWS CLI oder am tätigen, keine Mindestberechtigungen für die Konsole gewähren. AWS API Erlauben Sie stattdessen nur den Zugriff auf die Aktionen, die dem API Vorgang entsprechen, den Sie ausführen möchten.
Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es IAM Benutzern ermöglicht, die Inline- und verwalteten Richtlinien einzusehen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe von oder. AWS CLI AWS API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Gewährung benutzerdefinierter Berechtigungen für Benutzer CloudTrail
CloudTrail Richtlinien gewähren Benutzern, die mit arbeiten, Berechtigungen CloudTrail. Wenn Sie Benutzern unterschiedliche Berechtigungen gewähren müssen, können Sie einer IAM Gruppe oder einem Benutzer eine CloudTrail Richtlinie zuordnen. Sie können die Richtlinie bearbeiten, um bestimmte Berechtigungen einzubinden oder auszuschließen. Zudem können Sie eine eigene benutzerdefinierte Richtlinie erstellen. Richtlinien sind JSON Dokumente, die die Aktionen definieren, die ein Benutzer ausführen darf, und die Ressourcen, für die der Benutzer diese Aktionen ausführen darf. Beispiele finden Sie unter Beispiel: Zulassen und Verweigern von Aktionen für einen bestimmten Trail und Beispiele: Erstellen und Anwenden von Richtlinien bei Aktionen für bestimmte Trails.
Inhalt
Schreibgeschützter Zugriff
Das folgende Beispiel zeigt eine Richtlinie, die nur Lesezugriff auf Trails gewährt. CloudTrail Dies entspricht der verwalteten Richtlinie AWSCloudTrail_ReadOnlyAccess. Es gewährt Benutzern die Erlaubnis, Wanderinformationen zu sehen, aber keine Wanderwege zu erstellen oder zu aktualisieren.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:Get*", "cloudtrail:Describe*", "cloudtrail:List*", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
In den Richtlinienanweisungen gibt das Element Effect an, ob die Aktionen zugelassen oder verweigert werden. Das Element Action listet die spezifischen Aktionen auf, die der Benutzer ausführen darf. Das Resource Element listet die AWS Ressourcen auf, auf denen der Benutzer diese Aktionen ausführen darf. Bei Richtlinien, die den Zugriff auf CloudTrail Aktionen steuern, ist das Resource Element normalerweise auf einen Platzhalter gesetzt*, der „alle Ressourcen“ bedeutet.
Die Werte im Action Element entsprechen denen, die von den APIs Diensten unterstützt werden. Den Aktionen ist ein vorangestelltcloudtrail:, um darauf hinzuweisen, dass sie sich auf CloudTrail Aktionen beziehen. Sie können das Platzhalterzeichen * im Element Action beispielsweise wie folgt verwenden:
-
"Action": ["cloudtrail:*Logging"]Dies ermöglicht alle CloudTrail Aktionen, die mit „Logging“ (
StartLogging,StopLogging) enden. -
"Action": ["cloudtrail:*"]Dies erlaubt alle CloudTrail Aktionen, aber keine Aktionen für andere AWS Dienste.
-
"Action": ["*"]Dies ermöglicht alle AWS Aktionen. Diese Berechtigung eignet sich für Benutzer, die als AWS -Administrator für Ihr Konto fungieren.
Die Richtlinie für den schreibgeschützten Zugriff gewährt Benutzern keine Berechtigung für die Aktionen CreateTrail, UpdateTrail, StartLogging und StopLogging. Benutzer mit dieser Richtlinie dürfen weder Trails erstellen oder aktualisieren noch die Protokollierung aktivieren und deaktivieren. Die Liste der CloudTrail Aktionen finden Sie in der AWS CloudTrail APIReferenz.
Vollzugriff
Das folgende Beispiel zeigt eine Richtlinie, die vollen Zugriff auf gewährt CloudTrail. Dies entspricht der verwalteten Richtlinie AWSCloudTrail_FullAccess. Es gewährt Benutzern die Erlaubnis, alle CloudTrail Aktionen auszuführen. Außerdem können Benutzer Datenereignisse in Amazon S3 protokollieren und AWS Lambda Dateien in Amazon S3 S3-Buckets verwalten, verwalten, wie CloudWatch Logs Ereignisse überwacht CloudTrail , und SNS Amazon-Themen in dem Konto verwalten, mit dem der Benutzer verknüpft ist.
Wichtig
Die AWSCloudTrail_FullAccessRichtlinien oder gleichwertige Berechtigungen sind nicht für die gemeinsame Nutzung in Ihrem AWS Konto vorgesehen. Benutzer mit dieser Rolle oder einem gleichwertigen Zugriff haben die Möglichkeit, die sensibelsten und wichtigsten Prüfungsfunktionen in ihren AWS Konten zu deaktivieren oder neu zu konfigurieren. Aus diesem Grund sollte die Richtlinie nur für Kontoadministratoren verwendet werden; die Verwendung muss eng kontrolliert und überwacht werden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:SetTopicAttributes", "sns:GetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-logging-bucket1*" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudtrail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "dynamodb:ListGlobalTables", "dynamodb:ListTables" ], "Resource": "*" } ] }
Erteilen Sie die Berechtigung zum Anzeigen von AWS Config Informationen auf der Konsole CloudTrail
Sie können Ereignisinformationen auf der CloudTrail Konsole anzeigen, einschließlich Ressourcen, die sich auf dieses Ereignis beziehen. Für diese Ressourcen können Sie das AWS Config Symbol auswählen, um die Zeitleiste für diese Ressource in der AWS Config Konsole anzuzeigen. Hängen Sie diese Richtlinie an Ihre Benutzer an, um ihnen nur Lesezugriff AWS Config zu gewähren. Die Richtlinie gewährt Benutzern keine Berechtigung zum Ändern von Einstellungen in AWS Config.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:List*" ], "Resource": "*" }] }
Weitere Informationen finden Sie unter Anzeigen von mit AWS Config referenzierten Ressourcen.
Erteilen der Berechtigung zum Anzeigen und Konfigurieren von Amazon CloudWatch Logs-Informationen auf der CloudTrail Konsole
Sie können die Übertragung von Ereignissen an CloudWatch Logs in der CloudTrail Konsole anzeigen und konfigurieren, sofern Sie über ausreichende Berechtigungen verfügen. Dies sind Berechtigungen, die möglicherweise über die Berechtigungen hinausgehen, die CloudTrail Administratoren gewährt wurden. Hängen Sie diese Richtlinie an Administratoren an, die die CloudTrail Integration mit CloudWatch Logs konfigurieren und verwalten. Die Richtlinie gewährt ihnen nicht direkt Berechtigungen in CloudTrail oder in CloudWatch Logs, sondern gewährt stattdessen die Berechtigungen, die für die Erstellung und Konfiguration der Rolle erforderlich sind, die für die erfolgreiche Übermittlung von Ereignissen an Ihre CloudWatch Logs-Gruppe verwendet CloudTrail wird.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }] }
Weitere Informationen finden Sie unter Überwachung von CloudTrail Protokolldateien mit Amazon CloudWatch Logs.
Zusätzliche Informationen
Weitere Informationen darüber, wie IAM Sie Identitäten wie Benutzern und Rollen Zugriff auf Ressourcen in Ihrem Konto gewähren können, finden Sie unter Erste Schritte und Zugriffsverwaltung für AWS Ressourcen im IAMBenutzerhandbuch.
