Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis identitas untuk AWS CloudTrail
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi CloudTrail sumber daya. Mereka juga tidak dapat melakukan tugas dengan menggunakan AWS Management Console, AWS Command Line Interface (AWS CLI), atau AWS API. Untuk memberikan izin kepada pengguna untuk melakukan tindakan pada sumber daya yang mereka butuhkan, IAM administrator dapat membuat IAM kebijakan. Administrator kemudian dapat menambahkan IAM kebijakan ke peran, dan pengguna dapat mengambil peran.
Untuk mempelajari cara membuat kebijakan IAM berbasis identitas menggunakan contoh dokumen kebijakan ini, lihat Membuat JSON IAM kebijakan di Panduan Pengguna. IAM
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh CloudTrail, termasuk format ARNs untuk setiap jenis sumber daya, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS CloudTrail dalam Referensi Otorisasi Layanan.
Topik
- Praktik terbaik kebijakan
- Contoh: Mengizinkan dan menolak tindakan untuk jejak tertentu
- Contoh: Membuat dan menerapkan kebijakan untuk tindakan pada jalur tertentu
- Contoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag
- Menggunakan konsol CloudTrail
- Mengizinkan pengguna melihat izin mereka sendiri
- Memberikan izin khusus untuk pengguna CloudTrail
Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus CloudTrail sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
-
Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan kebijakan AWS terkelola yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat kebijakan AWSAWS terkelola atau kebijakan terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.
-
Menerapkan izin hak istimewa paling sedikit — Saat Anda menetapkan izin dengan IAM kebijakan, berikan hanya izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai izin dengan hak akses paling rendah. Untuk informasi selengkapnya tentang penggunaan IAM untuk menerapkan izin, lihat Kebijakan dan izin IAM di IAM Panduan Pengguna.
-
Gunakan ketentuan dalam IAM kebijakan untuk membatasi akses lebih lanjut — Anda dapat menambahkan kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Misalnya, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakanSSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti AWS CloudFormation. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Kondisi dalam Panduan IAM Pengguna.
-
Gunakan IAM Access Analyzer untuk memvalidasi IAM kebijakan Anda guna memastikan izin yang aman dan fungsional — IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan mematuhi bahasa IAM kebijakan () JSON dan praktik terbaik. IAM IAMAccess Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat Validasi kebijakan IAM Access Analyzer di IAMPanduan Pengguna.
-
Memerlukan otentikasi multi-faktor (MFA) - Jika Anda memiliki skenario yang mengharuskan IAM pengguna atau pengguna root di Anda Akun AWS, aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA kapan API operasi dipanggil, tambahkan MFA kondisi ke kebijakan Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi API akses MFA yang dilindungi di IAMPanduan Pengguna.
Untuk informasi selengkapnya tentang praktik terbaik diIAM, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.
CloudTrail tidak memiliki kunci konteks khusus layanan yang dapat Anda gunakan dalam Condition elemen pernyataan kebijakan.
Contoh: Mengizinkan dan menolak tindakan untuk jejak tertentu
Contoh berikut menunjukkan kebijakan yang memungkinkan pengguna dengan kebijakan untuk melihat status dan konfigurasi jejak serta memulai dan menghentikan pencatatan untuk jejak bernama My-First-Trail. Jejak ini dibuat di Wilayah Timur AS (Ohio) (Wilayah asalnya) Akun AWS dengan ID 123456789012.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
Contoh berikut menunjukkan kebijakan yang secara eksplisit menolak CloudTrail tindakan untuk jejak apa pun yang tidak disebutkan namanya My-First-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudtrail:*" ], "NotResource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
Contoh: Membuat dan menerapkan kebijakan untuk tindakan pada jalur tertentu
Anda dapat menggunakan izin dan kebijakan untuk mengontrol kemampuan pengguna untuk melakukan tindakan tertentu pada CloudTrail jejak.
Misalnya, Anda tidak ingin pengguna grup pengembang perusahaan Anda memulai atau menghentikan pencatatan pada jejak tertentu. Namun, Anda mungkin ingin memberi mereka izin untuk melakukan DescribeTrails dan GetTrailStatus tindakan di jalan setapak. Anda ingin pengguna grup pengembang melakukan StartLogging atau StopLogging tindakan pada jalur yang mereka kelola.
Anda dapat membuat dua pernyataan kebijakan dan melampirkannya ke grup pengembang yang Anda buatIAM. Untuk informasi selengkapnya tentang grupIAM, lihat IAMGrup di Panduan IAM Pengguna.
Dalam kebijakan pertama, Anda menolak StartLogging dan StopLogging tindakan untuk jejak ARN yang Anda tentukan. Dalam contoh berikut, jejaknya ARN adalaharn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446057698000", "Effect": "Deny", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail" ] } ] }
Dalam kebijakan kedua, DescribeTrails dan GetTrailStatus tindakan diizinkan pada semua CloudTrail sumber daya:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446072643000", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus" ], "Resource": [ "*" ] } ] }
Jika pengguna grup pengembang mencoba memulai atau menghentikan pencatatan pada jejak yang Anda tentukan dalam kebijakan pertama, pengguna tersebut mendapatkan pengecualian yang ditolak akses. Pengguna grup pengembang dapat memulai dan berhenti masuk pada jalur yang mereka buat dan kelola.
Contoh berikut menunjukkan bahwa grup pengembang dikonfigurasi dalam AWS CLI profil bernamadevgroup. Pertama, pengguna devgroup menjalankan describe-trails perintah.
$ aws --profile devgroup cloudtrail describe-trails
Perintah berhasil diselesaikan dengan output berikut:
{ "trailList": [ { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", "IsMultiRegionTrail": false, "S3BucketName": "amzn-s3-demo-bucket", "HomeRegion": "us-east-2" } ] }
Pengguna kemudian menjalankan get-trail-status perintah pada jejak yang Anda tentukan dalam kebijakan pertama.
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
Perintah berhasil diselesaikan dengan output berikut:
{ "LatestDeliveryTime": 1449517556.256, "LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", "LatestNotificationAttemptSucceeded": "", "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", "IsLogging": true, "TimeLoggingStarted": "2015-12-07T19:36:27Z", "StartLoggingTime": 1449516987.685, "StopLoggingTime": 1449516977.332, "LatestNotificationAttemptTime": "", "TimeLoggingStopped": "2015-12-07T19:36:17Z" }
Selanjutnya, pengguna dalam devgroup grup menjalankan stop-logging perintah di jalur yang sama.
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
Perintah mengembalikan pengecualian akses ditolak, seperti berikut ini:
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
Pengguna menjalankan start-logging perintah di jalur yang sama.
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
Sekali lagi perintah mengembalikan akses ditolak pengecualian, seperti berikut ini:
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
Contoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag
Dalam contoh kebijakan berikut, izin untuk membuat penyimpanan data peristiwa dengan CreateEventDataStore ditolak jika setidaknya salah satu dari kondisi berikut tidak terpenuhi:
-
Penyimpanan data acara tidak memiliki kunci tag yang
stagediterapkan pada dirinya sendiri -
Nilai tag panggung tidak
alpha,,betagamma, atauprod.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/stage": "true" } } }, { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/stage": [ "alpha", "beta", "gamma", "prod" ] } } } ] }
Dalam contoh kebijakan berikut, izin untuk menghapus penyimpanan data peristiwa dengan ditolak DeleteEventDataStore adalah jika penyimpanan data peristiwa memiliki stage tag dengan nilaiprod. Kebijakan seperti ini dapat membantu melindungi penyimpanan data peristiwa dari penghapusan yang tidak disengaja.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:DeleteEventDataStore", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
Menggunakan konsol CloudTrail
Untuk mengakses AWS CloudTrail konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang CloudTrail sumber daya di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau. AWS API Sebagai gantinya, izinkan akses hanya ke tindakan yang cocok dengan API operasi yang mereka coba lakukan.
Pemberian izin untuk administrasi CloudTrail
Untuk mengizinkan IAM peran atau pengguna mengelola CloudTrail sumber daya, seperti jejak, penyimpanan data peristiwa, atau saluran, Anda harus memberikan izin eksplisit untuk melakukan tindakan yang terkait dengan tugas. CloudTrail Dalam kebanyakan situasi, Anda dapat menggunakan kebijakan AWS terkelola yang berisi izin yang telah ditentukan sebelumnya.
catatan
Izin yang Anda berikan kepada pengguna untuk melakukan tugas CloudTrail administrasi tidak sama dengan izin yang CloudTrail diperlukan untuk mengirimkan file log ke bucket Amazon S3 atau mengirim pemberitahuan ke topik Amazon. SNS Untuk informasi selengkapnya tentang izin tersebut, lihatKebijakan bucket Amazon S3 untuk CloudTrail.
Jika Anda mengonfigurasi integrasi dengan Amazon CloudWatch Logs, Anda CloudTrail juga memerlukan peran yang dapat diasumsikan untuk mengirimkan peristiwa ke grup CloudWatch log Amazon Logs. Anda harus membuat peran yang CloudTrail menggunakan. Untuk informasi selengkapnya, silakan lihat Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail dan Mengirim acara ke CloudWatch Log.
Kebijakan AWS terkelola berikut tersedia untuk CloudTrail:
-
AWSCloudTrail_FullAccessKebijakan ini menyediakan akses penuh ke CloudTrail tindakan pada CloudTrail sumber daya, seperti jejak, penyimpanan data acara, dan saluran. Kebijakan ini menyediakan izin yang diperlukan untuk membuat, memperbarui, dan menghapus CloudTrail jejak, penyimpanan data peristiwa, dan saluran.
Kebijakan ini juga menyediakan izin untuk mengelola bucket Amazon S3, grup log CloudWatch untuk Log, dan topik SNS Amazon untuk jejak. Namun, kebijakan
AWSCloudTrail_FullAccessterkelola tidak memberikan izin untuk menghapus bucket Amazon S3, grup log CloudWatch untuk Log, atau topik AmazonSNS. Untuk informasi tentang kebijakan terkelola lainnya Layanan AWS, lihat Panduan Referensi Kebijakan AWS Terkelola.catatan
Sebuah AWSCloudTrail_FullAccessKebijakan tidak dimaksudkan untuk dibagikan secara luas di seluruh Anda Akun AWS. Pengguna dengan peran ini dapat mematikan atau mengkonfigurasi ulang fungsi audit yang paling sensitif dan penting di dalamnya. Akun AWS Untuk alasan ini, Anda hanya harus menerapkan kebijakan ini ke administrator akun. Anda harus mengontrol dan memantau penggunaan kebijakan ini dengan cermat.
-
AWSCloudTrail_ReadOnlyAccess— Kebijakan ini memberikan izin untuk melihat CloudTrail konsol, termasuk peristiwa terbaru dan riwayat acara. Kebijakan ini juga memungkinkan Anda untuk melihat jejak yang ada, penyimpanan data acara, dan saluran. Peran dan pengguna dengan kebijakan ini dapat mengunduh riwayat acara, tetapi mereka tidak dapat membuat atau memperbarui jejak, penyimpanan data acara, atau saluran.
Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.
-
IAMpengguna:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran bagi IAM pengguna di Panduan IAM Pengguna.
-
(Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.
-
Sumber daya tambahan
Untuk mempelajari lebih lanjut tentang penggunaan IAM untuk memberikan identitas, seperti pengguna dan peran, akses ke sumber daya di akun Anda, lihat Mengatur IAM dan Mengelola akses untuk AWS sumber daya di Panduan IAM Pengguna.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau. AWS API Sebagai gantinya, izinkan akses hanya ke tindakan yang cocok dengan API operasi yang Anda coba lakukan.
Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara Anda membuat kebijakan yang memungkinkan IAM pengguna melihat kebijakan sebaris dan terkelola yang dilampirkan pada identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau secara terprogram menggunakan atau. AWS CLI AWS API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Memberikan izin khusus untuk pengguna CloudTrail
CloudTrail kebijakan memberikan izin kepada pengguna yang bekerja dengan CloudTrail. Jika Anda perlu memberikan izin yang berbeda kepada pengguna, Anda dapat melampirkan CloudTrail kebijakan ke IAM grup atau pengguna. Anda dapat mengedit kebijakan untuk menyertakan atau mengecualikan izin tertentu. Anda juga dapat membuat kebijakan khusus Anda sendiri. Kebijakan adalah JSON dokumen yang menentukan tindakan yang diizinkan untuk dilakukan pengguna dan sumber daya yang diizinkan pengguna untuk melakukan tindakan tersebut. Untuk contoh spesifik, lihat Contoh: Mengizinkan dan menolak tindakan untuk jejak tertentu danContoh: Membuat dan menerapkan kebijakan untuk tindakan pada jalur tertentu.
Daftar Isi
Akses hanya-baca
Contoh berikut menunjukkan kebijakan yang memberikan akses hanya-baca ke jejak. CloudTrail Ini setara dengan kebijakan yang dikelola AWSCloudTrail_ReadOnlyAccess. Ini memberi pengguna izin untuk melihat informasi jejak, tetapi tidak untuk membuat atau memperbarui jejak.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:Get*", "cloudtrail:Describe*", "cloudtrail:List*", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
Dalam pernyataan kebijakan, Effect elemen menentukan apakah tindakan diizinkan atau ditolak. ActionElemen mencantumkan tindakan spesifik yang diizinkan dilakukan pengguna. ResourceElemen mencantumkan AWS sumber daya yang diizinkan pengguna untuk melakukan tindakan tersebut. Untuk kebijakan yang mengontrol akses ke CloudTrail tindakan, Resource elemen biasanya disetel ke*, wildcard yang berarti “semua sumber daya.”
Nilai-nilai dalam Action elemen sesuai dengan APIs yang didukung layanan. Tindakan didahului oleh cloudtrail: untuk menunjukkan bahwa mereka merujuk CloudTrail pada tindakan. Anda dapat menggunakan karakter * wildcard dalam Action elemen, seperti dalam contoh berikut:
-
"Action": ["cloudtrail:*Logging"]Ini memungkinkan semua CloudTrail tindakan yang diakhiri dengan “Logging” (
StartLogging,StopLogging). -
"Action": ["cloudtrail:*"]Ini memungkinkan semua CloudTrail tindakan, tetapi bukan tindakan untuk AWS layanan lain.
-
"Action": ["*"]Ini memungkinkan semua AWS tindakan. Izin ini cocok untuk pengguna yang bertindak sebagai AWS administrator untuk akun Anda.
Kebijakan hanya-baca tidak memberikan izin pengguna untukCreateTrail,, UpdateTrailStartLogging, dan StopLogging tindakan. Pengguna dengan kebijakan ini tidak diizinkan untuk membuat jejak, memperbarui jejak, atau mengaktifkan dan menonaktifkan log. Untuk daftar CloudTrail tindakan, lihat AWS CloudTrail APIReferensi.
Akses penuh
Contoh berikut menunjukkan kebijakan yang memberikan akses penuh ke CloudTrail. Ini setara dengan kebijakan yang dikelola AWSCloudTrail_FullAccess. Ini memberi pengguna izin untuk melakukan semua CloudTrail tindakan. Ini juga memungkinkan pengguna mencatat peristiwa data di Amazon S3 dan AWS Lambda, mengelola file di bucket Amazon S3, mengelola CloudWatch cara Log CloudTrail memantau peristiwa log, dan mengelola topik SNS Amazon di akun yang dikaitkan dengan pengguna.
penting
Sebuah AWSCloudTrail_FullAccesskebijakan atau izin yang setara tidak dimaksudkan untuk dibagikan secara luas di seluruh akun Anda AWS . Pengguna dengan peran ini atau akses yang setara memiliki kemampuan untuk menonaktifkan atau mengkonfigurasi ulang fungsi audit yang paling sensitif dan penting di akun mereka AWS . Untuk alasan ini, kebijakan ini harus diterapkan hanya untuk administrator akun, dan penggunaan kebijakan ini harus dikontrol dan dipantau secara ketat.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:SetTopicAttributes", "sns:GetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-logging-bucket1*" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudtrail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "dynamodb:ListGlobalTables", "dynamodb:ListTables" ], "Resource": "*" } ] }
Memberikan izin untuk melihat AWS Config informasi di konsol CloudTrail
Anda dapat melihat informasi peristiwa di CloudTrail konsol, termasuk sumber daya yang terkait dengan peristiwa tersebut. Untuk sumber daya ini, Anda dapat memilih AWS Config ikon untuk melihat garis waktu sumber daya tersebut di AWS Config konsol. Lampirkan kebijakan ini ke pengguna Anda untuk memberi mereka akses hanya-baca AWS Config . Kebijakan tidak memberi mereka izin untuk mengubah setelan AWS Config.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:List*" ], "Resource": "*" }] }
Untuk informasi selengkapnya, lihat Melihat sumber daya yang direferensikan dengan AWS Config.
Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail
Anda dapat melihat dan mengonfigurasi pengiriman peristiwa ke CloudWatch Log di CloudTrail konsol jika Anda memiliki izin yang memadai. Ini adalah izin yang mungkin di luar yang diberikan untuk CloudTrail administrator. Lampirkan kebijakan ini ke administrator yang akan mengonfigurasi dan mengelola CloudTrail integrasi dengan CloudWatch Log. Kebijakan ini tidak memberi mereka izin di dalam CloudTrail atau di CloudWatch Log secara langsung, tetapi memberikan izin yang diperlukan untuk membuat dan mengonfigurasi peran yang CloudTrail akan diambil agar berhasil mengirimkan peristiwa ke grup Log Anda CloudWatch .
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }] }
Untuk informasi selengkapnya, lihat Memantau File CloudTrail Log dengan CloudWatch Log Amazon.
Informasi tambahan
Untuk mempelajari lebih lanjut tentang penggunaan IAM untuk memberikan identitas, seperti pengguna dan peran, akses ke sumber daya di akun Anda, lihat Memulai dan Mengelola akses untuk AWS sumber daya di Panduan IAM Pengguna.
