本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
疑難排解 AWS CloudTrail 身分和存取
使用下列資訊可協助您診斷及修正使用和時可能會遇到的 CloudTrail 常見問題IAM。
主題
我沒有執行操作的授權 CloudTrail
如果您收到錯誤,告知您未獲授權執行動作,您的政策必須更新,允許您執行動作。
當使用mateojacksonIAM者嘗試使用主控台來檢視虛構my-example-widgetcloudtrail:權限時,就會發生下列範例錯誤。GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetWidgeton resource:my-example-widget
在此情況下,必須更新 mateojackson 使用者的政策,允許使用 cloudtrail: 動作存取 GetWidgetmy-example-widget
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
如果 AWS Management Console 告訴您您沒有執行動作的授權,則您必須聯絡管理員以尋求協助。您的管理員是為您提供簽署憑證的人員。
當使用mateojacksonIAM者嘗試使用主控台來檢視追蹤的詳細資料,但沒有適當的 CloudTrail 受管理原則 (AWSCloudTrail_FullAccess或 AWSCloudTrail_ReadOnlyAccess) 或對等權限套用至其帳戶時,就會發生下列範例錯誤。
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource:My-Trail
在這種情況下,Mateo 會要求管理員更新其政策,以允許該使用者在主控台中存取追蹤資訊和狀態。
如果您使用具有AWSCloudTrail_FullAccess受管政策或同等許可的IAM使用者或角色登入,且無法設定 AWS Config 或 Amazon CloudWatch Logs 與追蹤整合,則可能會遺漏與這些服務整合所需的許可。如需詳細資訊,請參閱 授與檢視 CloudTrail 主控台 AWS Config 資訊的權限 和 授與在主控台上檢視和設定 Amazon CloudWatch 日誌資 CloudTrail 訊的權限。
我未獲得執行 iam:PassRole 的授權
如果您收到未獲授權執行iam:PassRole動作的錯誤訊息,則必須更新您的原則以允許您將角色傳遞給 CloudTrail。
有些 AWS 服務 允許您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為的使用IAM者marymajor嘗試使用主控台執行中的動作時,就會發生下列範例錯誤 CloudTrail。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞至該服務的許可。
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
在這種情況下,Mary 的政策必須更新,允許她執行 iam:PassRole 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
我想允許我以外的人訪 AWS 帳戶 問我的 CloudTrail 資源
您可以建立角色,並在多個角色之間共用 CloudTrail 資訊 AWS 帳戶。如需詳細資訊,請參閱在 AWS 帳戶之間共用 CloudTrail 記錄檔。
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。對於支援以資源為基礎的政策或存取控制清單 (ACLs) 的服務,您可以使用這些政策授與人員存取您的資源。
如需進一步了解,請參閱以下內容:
-
若要瞭解是否 CloudTrail 支援這些功能,請參閱如何 AWS CloudTrail 使用 IAM。
-
若要瞭解如何提供您所擁有資 AWS 帳戶 源的存取權,請參閱《IAM使用指南》中的〈提供存取權給您 AWS 帳戶 所擁有的其他IAM使用者〉。
-
若要瞭解如何將資源存取權提供給第三方 AWS 帳戶,請參閱《IAM使用指南》中的提供第三方 AWS 帳戶 擁有的存取權。
-
若要瞭解如何透過聯合身分識別提供存取權,請參閱使用指南中的提供對外部驗證使用IAM者的存取權 (身分聯合)。
-
若要瞭解針對跨帳號存取使用角色與以資源為基礎的政策之間的差異,請參閱《使用IAM者指南》IAM中的〈跨帳號資源存取〉。
我未獲得執行 iam:PassRole 的授權
如果您收到未獲授權執行iam:PassRole動作的錯誤訊息,則必須更新您的原則以允許您將角色傳遞給 CloudTrail。
有些 AWS 服務 允許您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為的使用IAM者marymajor嘗試使用主控台執行中的動作時,就會發生下列範例錯誤 CloudTrail。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞至該服務的許可。
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
在這種情況下,Mary 的政策必須更新,允許她執行 iam:PassRole 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
當我嘗試建立組織追蹤或事件資料存放區時遇到 NoManagementAccountSLRExistsException 例外狀況
NoManagementAccountSLRExistsException 例外狀況會在管理帳戶沒有服務連結角色時擲出。當您使用 AWS Organizations AWS CLI 或API作業新增委派的系統管理員時,如果服務連結角色不存在,就不會建立該角色。
當您使用組織的管理帳戶新增委派的管理員,或在 CloudTrail 主控台中建立組織追蹤或事件資料存放區時,或使用或 CloudTrailAPI,如果您的 AWS CLI 管理帳戶尚未存在,則會 CloudTrail 自動為您的管理帳戶建立服務連結角色。
如果您尚未新增委派管理員,請使用 CloudTrail 主控台 AWS CLI 或新 CloudTrail API增委派的管理員。如需有關新增委派管理員的詳細資訊,請參閱新增 CloudTrail 委派管理員和 RegisterOrganizationDelegatedAdmin(API)。
如果您已新增委派的系統管理員,請使用管理帳戶在 CloudTrail 主控台中建立組織追蹤或事件資料存放區,或使用 AWS CLI 或 CloudTrail API。如需有關建立組織軌跡的詳細資訊使用主控台建立組織追蹤,請參閱建立組織的追蹤 AWS CLI、和 CreateTrail(API)。
