本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用服務連結角色 AWS CloudTrail
AWS CloudTrail 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至 CloudTrail的唯一IAM角色類型。服務連結角色由預先定義, CloudTrail 並包含服務代表您呼叫其他人所需 AWS 服務 的所有權限。
服務連結角色可讓您 CloudTrail 更輕鬆地設定,因為您不需要手動新增必要的權限。 CloudTrail 定義其服務連結角色的權限,除非另有定義,否則只 CloudTrail 能擔任其角色。定義的權限包括信任原則和權限原則,而且該權限原則無法附加至任何其他IAM實體。
如需支援服務連結角色之其他服務的相關資訊,請參閱使用的AWS 服務,IAM並在服務連結角色欄中尋找具有是的服務。選擇具有連結的是,以檢視該服務的服務連結角色文件。
服務連結角色權限 CloudTrail
CloudTrail 使用名為的服務連結角色 AWSServiceRoleForCloudTrail— 此服務連結角色用於支援組織追蹤和組織事件資料存放區。
服 AWSServiceRoleForCloudTrail 務連結角色會信任下列服務擔任該角色:
-
cloudtrail.amazonaws.com
此角色用於支援在中建立和管理 CloudTrail 組織追蹤和 CloudTrail Lake 組織事件資料存放區 CloudTrail。如需詳細資訊,請參閱 建立組織追蹤。
附加到角色的CloudTrailServiceRolePolicy策略允許 CloudTrail 對指定的資源完成以下動作:
-
對所有 CloudTrail 資源執行的動作:
-
All
-
-
對所有 AWS Organizations 資源執行的動作:
-
organizations:DescribeAccount
-
organizations:DescribeOrganization
-
organizations:ListAccounts
-
organizations:ListAWSServiceAccessForOrganization
-
-
針對 CloudTrail 服務主參與者的所有「組織」資源執行動作,Organizations 列出組織的委派管理員:
-
organizations:ListDelegatedAdministrators
-
-
組織事件資料存放區上的停用 Lake 聯合動作:
-
glue:DeleteTable
-
lakeformation:DeRegisterResource
-
您必須設定權限,才能允許IAM實體 (例如使用者、群組或角色) 建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱IAM使用指南中的服務連結角色權限。
建立服務連結角色 CloudTrail
您不需要手動建立一個服務連結角色。當您建立組織追蹤或組織事件資料存放區,或在 CloudTrail 主控台中新增委派的管理員,或使用 AWS CLI 或API作業時,如果服務連結角色尚未存在,則會為您建 CloudTrail立服務連結角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您建立組織追蹤或組織事件資料存放區,或新增委派的管理員時, CloudTrail 會再次為您建立服務連結角色。
編輯下列項目的服務連結角色 CloudTrail
CloudTrail 不允許您編輯AWSServiceRoleForCloudTrail服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。但是,您可以使用編輯角色的描述IAM。如需詳細資訊,請參閱IAM使用指南中的編輯服務連結角色。
刪除的服務連結角色 CloudTrail
您不需要手動刪除 AWSServiceRoleForCloudTrail 角色。如果從「組織」組 Organizations 中移除AWSServiceRoleForCloudTrail角色,則會自動從該組織中移除角色 AWS 帳戶。 AWS 帳戶 您必須先從組織中移除帳戶,才能從組織管理帳戶的 AWSServiceRoleForCloudTrail 服務連結角色中斷連結或移除政策。
您也可以使用IAM主控台 AWS CLI 或手動刪除服務連結角色。 AWS API若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。
注意
當您嘗試刪除資源時,如果 CloudTrail 服務正在使用此角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
若要移除 AWSServiceRoleForCloudTrail 角色正在使用的資源,您可以執行下列其中一項:
-
從「組織」 AWS 帳戶 中的組 Organizations 中移除。
-
更新追蹤,因此不再是組織追蹤。如需詳細資訊,請參閱 使用 CloudTrail 主控台更新追蹤。
-
更新事件資料存放區,使其不再作為組織事件資料存放區。如需詳細資訊,請參閱 使用主控台更新事件資料存放區。
-
刪除追蹤。如需詳細資訊,請參閱 使用 CloudTrail 主控台刪除追蹤。
-
刪除事件資料存放區。如需詳細資訊,請參閱 使用主控台刪除事件資料存放區。
若要使用手動刪除服務連結角色 IAM
使用IAM主控台 AWS CLI、或刪除AWSServiceRoleForCloudTrail服務連結角色。 AWS API如需詳細資訊,請參閱IAM使用指南中的刪除服務連結角色。
支援 CloudTrail 服務連結角色的區域
CloudTrail 支援在所有「Organizations」可用的 AWS 區域 位置 CloudTrail 中使用服務連結角色。如需詳細資訊,請參閱 AWS 一般參考 中的 AWS 服務 端點。