

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS CloudTrail 与接口 VPC 终端节点一起使用
<a name="cloudtrail-and-interface-VPC"></a>

如果您使用亚马逊虚拟私有云（亚马逊 VPC）托管 AWS 资源，则可以在您的 VPC 和之间建立私有连接 AWS CloudTrail。您可以使用此连接实现 CloudTrail 与您的 VPC 上的资源的通信而不用访问公共 Internet。

Amazon VPC 是一项 AWS 服务，可用于在您定义的虚拟网络中启动 AWS 资源。借助 VPC，您可以控制您的网络设置，如 IP 地址范围、子网、路由表和网络网关。使用 VPC 终端节点，VPC 和 AWS 服务之间的路由由 AWS 网络处理，您可以使用 IAM 策略来控制对服务资源的访问。

要将您的 VPC 连接到 CloudTrail，您需要为定义*接口 VPC 终端节点* CloudTrail。接口终端节点是一个带有私有 IP 地址的 elastic network 接口，该地址用作发往受支持 AWS 服务的流量的入口点。该端点 CloudTrail 无需互联网网关、网络地址转换 (NAT) 实例或 VPN 连接即可提供可靠、可扩展的连接。有关更多信息，请参阅 *Amazon VPC 用户指南*中的[什么是 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。

Interface VPC 终端节点由 AWS PrivateLink一种 AWS 技术提供支持，该技术使用带有私有 IP 地址的弹性网络接口实现 AWS 服务之间的私密通信。有关更多信息，请参阅 [AWS PrivateLink](https://aws.amazon.com/privatelink/)。

以下各节适用于 Amazon VPC 的用户。有关更多信息，请参阅 *Amazon VPC 用户指南* 中的 [Amazon VPC 入门](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html)。

**Topics**
+ [Regions](#cloudtrail-interface-VPC-availability)
+ [为创建 VPC 终端节点 CloudTrail](#create-VPC-endpoint-for-CloudTrail)
+ [为创建 VPC 终端节点策略 CloudTrail](#create-VPC-endpoint-policy)
+ [共享子网](#shared-subnet-cloudtrail)

## Regions
<a name="cloudtrail-interface-VPC-availability"></a>

AWS CloudTrail 全部 AWS 区域 支持 VPC 终端节点和 VPC 终端节点策略。 CloudTrail 

## 为创建 VPC 终端节点 CloudTrail
<a name="create-VPC-endpoint-for-CloudTrail"></a>

要开始在您的 VPC 中使用 CloudTrail ，请为创建一个接口 VPC 终端节点 CloudTrail。有关更多信息，请参阅 *Amazon VPC 用户指南中的 AWS 服务 使用接口 VPC* [终端节点访问](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint.html)。

您无需更改的设置 CloudTrail。 CloudTrail AWS 服务 使用公共终端节点或私有接口 VPC 终端节点调用其他终端节点，以使用哪个为准。

## 为创建 VPC 终端节点策略 CloudTrail
<a name="create-VPC-endpoint-policy"></a>


VPC 端点策略是一种 IAM 资源，您可以将其附加到接口 VPC 端点。默认终端节点策略允许您 CloudTrail APIs 通过接口 VPC 终端节点进行完全访问。要控制 CloudTrail 从您的 VPC 授予的访问权限，请将自定义终端节点策略附加到接口 VPC 终端节点。

端点策略指定以下信息：
+ 可执行操作的主体（AWS 账户、IAM 用户和 IAM 角色）。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关 VPC 端点策略的更多信息，包括如何更新策略，请参阅《Amazon VPC 用户指南》**中的[使用 VPC 端点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

以下是的自定义 VPC 终端节点策略的示例 CloudTrail。

**Topics**
+ [示例：允许所有 CloudTrail 操作](#create-VPC-endpoint-policy-example1)
+ [示例：允许特定 CloudTrail 操作](#create-VPC-endpoint-policy-example2)
+ [示例：拒绝所有 CloudTrail 操作](#create-VPC-endpoint-policy-example3)
+ [示例：拒绝特定 CloudTrail 操作](#create-VPC-endpoint-policy-example4)
+ [示例：允许来自特定 VPC 的所有 CloudTrail 操作](#create-VPC-endpoint-policy-example5)
+ [示例：允许来自特定 VPC 终端节点的所有 CloudTrail 操作](#create-VPC-endpoint-policy-example6)

### 示例：允许所有 CloudTrail 操作
<a name="create-VPC-endpoint-policy-example1"></a>

以下示例 VPC 终端节点策略向所有委托人授予对所有资源的所有 CloudTrail 操作的访问权限。

------
#### [ JSON ]

****  

```
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Action": "cloudtrail:*",
             "Effect": "Allow",
             "Resource": "*",
             "Principal": "*"
         }
     ]
}
```

------

### 示例：允许特定 CloudTrail 操作
<a name="create-VPC-endpoint-policy-example2"></a>

以下示例 VPC 端点策略授权所有资源上的所有主体执行 `cloudtrail:ListTrails` 和 `cloudtrail:ListEventDataStores` 操作。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": ["cloudtrail:ListTrails", "cloudtrail:ListEventDataStores"],
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}
```

------

### 示例：拒绝所有 CloudTrail 操作
<a name="create-VPC-endpoint-policy-example3"></a>

以下示例 VPC 终端节点策略拒绝所有委托人访问所有资源上的所有 CloudTrail 操作。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "cloudtrail:*",
            "Effect": "Deny",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}
```

------

### 示例：拒绝特定 CloudTrail 操作
<a name="create-VPC-endpoint-policy-example4"></a>

以下示例 VPC 端点策略对所有资源上的所有主体拒绝 `cloudtrail:CreateTrail` 和 `cloudtrail:CreateEventDataStore` 操作。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": ["cloudtrail:CreateTrail", "cloudtrail:CreateEventDataStore"],
            "Effect": "Deny",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}
```

------

### 示例：允许来自特定 VPC 的所有 CloudTrail 操作
<a name="create-VPC-endpoint-policy-example5"></a>

以下示例 VPC 终端节点策略授予所有委托人对所有资源执行所有 CloudTrail 操作的访问权限，但前提是请求者使用指定的 VPC 发出请求。*vpc-id*替换为您的 VPC ID。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloudtrail:*",
      "Resource": "*",
      "Principal": "*",
      "Condition": {
        "StringEquals": {
        "aws:SourceVpc": "vpc-1234567890abcdef0"
        }
      }
    }
  ]
}
```

------

### 示例：允许来自特定 VPC 终端节点的所有 CloudTrail 操作
<a name="create-VPC-endpoint-policy-example6"></a>

以下示例 VPC 终端节点策略授予所有委托人对所有资源执行所有 CloudTrail 操作的访问权限，但前提是请求者使用指定的 VPC 终端节点发出请求。*vpc-endpoint-id*替换为您的 VPC 终端节点 ID。

------
#### [ JSON ]

****  

```
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "cloudtrail:*",
         "Resource": "*",
         "Condition": {
             "StringEquals": {
                "aws:SourceVpce": "vpce-1a2b3c4d"
             }
         }
       }
    ]
  }
```

------

## 共享子网
<a name="shared-subnet-cloudtrail"></a>

与任何其他 CloudTrail VPC 终端节点一样，VPC 终端节点只能由共享子网中的所有者账户创建。但是，参与者账户可以在与参与者账户共享的子网中使用 CloudTrail VPC 终端节点。有关 VPC 共享的更多信息，请参阅《Amazon VPC 用户指南》**中的[与其他账户共享 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。