Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für identitätsbasierte Richtlinien für AWS CloudTrail
Standardmäßig sind Benutzer und Rollen nicht berechtigt, CloudTrail Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe der AWS Management Console, AWS Command Line Interface (AWS CLI) oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen. Der Administrator kann dann die IAM-Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen annehmen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.
Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden CloudTrail, einschließlich des Formats der ARNs für jeden der Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS CloudTrail in der Service Authorization Reference.
Themen
- Bewährte Methoden für Richtlinien
- Beispiel: Zulassen und Verweigern von Aktionen für einen bestimmten Trail
- Beispiele: Erstellen und Anwenden von Richtlinien bei Aktionen für bestimmte Trails
- Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags
- Verwenden der CloudTrail-Konsole
- Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
- Gewährung benutzerdefinierter Berechtigungen für Benutzer CloudTrail
Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand CloudTrail Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:
-
Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS -verwaltete Richtlinien oder AWS -verwaltete Richtlinien für Auftrags-Funktionen im IAM-Benutzerhandbuch.
-
Anwendung von Berechtigungen mit den geringsten Rechten – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.
-
Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
-
Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter Richtlinienvalidierung zum IAM Access Analyzer im IAM-Benutzerhandbuch.
-
Multi-Faktor-Authentifizierung (MFA) erforderlich — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter Konfigurieren eines MFA-geschützten API-Zugriffs im IAM-Benutzerhandbuch.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.
CloudTrail hat keine dienstspezifischen Kontextschlüssel, die Sie im Element der Condition Richtlinienanweisungen verwenden können.
Beispiel: Zulassen und Verweigern von Aktionen für einen bestimmten Trail
Das folgende Beispiel zeigt eine Richtlinie, die es Benutzern mit dieser Richtlinie ermöglicht, den Status und die Konfiguration eines Trails anzuzeigen sowie die Protokollierung für einen Trail namens My-First-Trail zu starten oder anzuhalten. Dieser Trail wurde in der Region USA Ost (Ohio) (seiner Heimatregion) AWS-Konto mit der ID 123456789012 angelegt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
Das folgende Beispiel zeigt eine Richtlinie, die explizit CloudTrail Aktionen für alle Pfade verweigert, die nicht My-First-Trail heißen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudtrail:*" ], "NotResource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
Beispiele: Erstellen und Anwenden von Richtlinien bei Aktionen für bestimmte Trails
Mithilfe von Berechtigungen und Richtlinien können Sie die Fähigkeit eines Benutzers steuern, bestimmte Aktionen auf Pfaden auszuführen. CloudTrail
Sie möchten zum Beispiel nicht, dass Benutzer der Entwicklergruppe Ihres Unternehmens die Protokollierung auf einem bestimmten Trail beginnen oder beenden. Möglicherweise möchten Sie ihnen jedoch die Erlaubnis erteilen, die Aktionen DescribeTrails und GetTrailStatus auf dem Trail auszuführen. Zudem sollen die Benutzer der Developer-Gruppe die Aktion StartLogging oder StopLogging für die Trails ausführen können, die von ihnen verwaltet werden.
Sie können zwei Richtlinienanweisungen erstellen und diese der in IAM erstellten Developer-Benutzergruppe anfügen. Weitere Informationen zu Gruppen in IAM finden Sie unter IAM-Gruppen im IAM-Benutzerhandbuch.
In der ersten Richtlinie verweigern Sie die Aktionen StartLogging und StopLogging für den spezifizierten Trail-ARN. Im folgenden Beispiel lautet der Trail-ARN arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446057698000", "Effect": "Deny", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail" ] } ] }
In der zweiten Richtlinie sind die GetTrailStatus Aktionen DescribeTrails und für alle CloudTrail Ressourcen zulässig:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446072643000", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus" ], "Resource": [ "*" ] } ] }
Wenn ein Benutzer der Developer-Gruppe versucht, die Protokollierung für den Trail, den Sie in der ersten Richtlinie angegeben haben, zu starten oder zu beenden, wird dem Benutzer der Zugriff verweigert. Benutzer der Developer-Gruppe können die Protokollierung für Trails, die von ihnen erstellt und verwaltet werden, starten und beenden.
Die folgenden Beispiele zeigen, dass die konfigurierte Entwicklergruppe in einem AWS CLI Profil den Namen hatdevgroup. Zuerst führt ein devgroup-Benutzer den Befehl describe-trails aus.
$ aws --profile devgroup cloudtrail describe-trails
Der Befehl wird mit der folgenden Ausgabe erfolgreich abgeschlossen:
{ "trailList": [ { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", "IsMultiRegionTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET", "HomeRegion": "us-east-2" } ] }
Anschließend führt der Benutzer den Befehl get-trail-status für den Trail aus, den Sie in der ersten Richtlinie angegeben haben.
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
Der Befehl wird mit der folgenden Ausgabe erfolgreich abgeschlossen:
{ "LatestDeliveryTime": 1449517556.256, "LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", "LatestNotificationAttemptSucceeded": "", "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", "IsLogging": true, "TimeLoggingStarted": "2015-12-07T19:36:27Z", "StartLoggingTime": 1449516987.685, "StopLoggingTime": 1449516977.332, "LatestNotificationAttemptTime": "", "TimeLoggingStopped": "2015-12-07T19:36:17Z" }
Als Nächstes führt eine devgroup-Gruppe den Befehl stop-logging für denselben Trail aus.
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
Der Befehl gibt eine Ausnahme zurück, bei der der Zugriff verweigert wurde, z. B. die folgende:
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
Der Benutzer führt den Befehl start-logging für denselben Trail aus.
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
Auch hier gibt der Befehl eine Ausnahme zurück, bei der der Zugriff verweigert wurde, z. B. die folgende:
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags
Im folgenden Richtlinienbeispiel wird die Berechtigung zum Erstellen eines Ereignisdatenspeichers mit CreateEventDataStore verweigert, wenn mindestens eine der folgenden Bedingungen nicht erfüllt ist:
-
Der Ereignisdatenspeicher hat keinen Tag-Schlüssel von
stageauf sich selbst angewendet -
Der Wert des Stage-Tags ist nicht
alpha,beta,gammaoderprod.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/stage": "true" } } }, { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/stage": [ "alpha", "beta", "gamma", "prod" ] } } } ] }
Im folgenden Beispiel wird das Löschen eines Ereignisdatenspeichers mit DeleteEventDataStore verweigert, wenn der Ereignisdatenspeicher ein stage-Tag mit dem Wert prod hat. Eine Richtlinie wie diese kann helfen, einen Ereignisdatenspeicher vor versehentlicher Löschung zu schützen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:DeleteEventDataStore", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
Verwenden der CloudTrail-Konsole
Um auf die AWS CloudTrail Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den CloudTrail Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Erteilen von Berechtigungen für die CloudTrail Verwaltung
Damit IAM-Rollen oder -Benutzer eine CloudTrail Ressource verwalten können, z. B. einen Trail, einen Ereignisdatenspeicher oder einen Kanal, müssen Sie explizite Berechtigungen für die Ausführung der mit CloudTrail Aufgaben verbundenen Aktionen gewähren. In den meisten Situationen können Sie eine AWS verwaltete Richtlinie verwenden, die vordefinierte Berechtigungen enthält.
Anmerkung
Die Berechtigungen, die Sie Benutzern zur Durchführung von CloudTrail Verwaltungsaufgaben gewähren, sind nicht dieselben wie die Berechtigungen, die für die Übermittlung von Protokolldateien an Amazon S3 S3-Buckets oder das Senden von Benachrichtigungen an Amazon SNS SNS-Themen CloudTrail erforderlich sind. Weitere Informationen zu diesen Berechtigungen finden Sie unter Amazon S3 S3-Bucket-Richtlinie für CloudTrail.
Wenn Sie die Integration mit Amazon CloudWatch Logs konfigurieren, benötigt es CloudTrail auch eine Rolle, die es übernehmen kann, um Ereignisse an eine Amazon CloudWatch Logs-Protokollgruppe zu übermitteln. Sie müssen die Rolle erstellen, die CloudTrail verwendet. Weitere Informationen finden Sie unter Erteilen der Berechtigung zum Anzeigen und Konfigurieren von Amazon CloudWatch Logs-Informationen auf der CloudTrail Konsole und Ereignisse an CloudWatch Logs senden.
Die folgenden AWS verwalteten Richtlinien sind verfügbar für CloudTrail:
-
AWSCloudTrail_FullAccess— Diese Richtlinie bietet vollen Zugriff auf CloudTrail Aktionen in CloudTrail Bezug auf Ressourcen wie Pfade, Ereignisdatenspeicher und Kanäle. Diese Richtlinie bietet die erforderlichen Berechtigungen zum Erstellen, Aktualisieren und Löschen von CloudTrail Pfaden, Ereignisdatenspeichern und Kanälen.
Diese Richtlinie bietet auch Berechtigungen zur Verwaltung des Amazon S3 S3-Buckets, der Protokollgruppe für CloudWatch Logs und eines Amazon SNS SNS-Themas für einen Trail. Die
AWSCloudTrail_FullAccessverwaltete Richtlinie bietet jedoch keine Berechtigungen zum Löschen des Amazon S3 S3-Buckets, der Protokollgruppe für CloudWatch Logs oder eines Amazon SNS SNS-Themas. Informationen zu verwalteten Richtlinien für andere AWS-Services finden Sie im Referenzhandbuch für AWS verwaltete Richtlinien.Anmerkung
Die AWSCloudTrail_FullAccessRichtlinie ist nicht für die allgemeine Verbreitung in Ihrem Unternehmen vorgesehen AWS-Konto. Benutzer mit dieser Rolle können die sensibelsten und wichtigsten Auditing-Funktionen in ihren AWS-Konten deaktivieren oder konfigurieren. Aus diesem Grund dürfen Sie diese Richtlinie nur auf Kontoadministratoren anwenden. Sie müssen die Anwendung dieser Richtlinie genau kontrollieren und überwachen.
-
AWSCloudTrail_ReadOnlyAccess— Diese Richtlinie gewährt Berechtigungen zum Anzeigen der CloudTrail Konsole, einschließlich aktueller Ereignisse und des Ereignisverlaufs. Diese Richtlinie ermöglicht es Ihnen auch, vorhandene Trails, Ereignisdatenspeicher und Kanäle einzusehen. Rollen und Benutzer mit dieser Richtlinie können den Ereignisverlauf herunterladen, aber sie können keine Trails, Ereignisdatenspeicher oder Kanäle erstellen oder aktualisieren.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-
Weitere Ressourcen
Weitere Informationen zur Verwendung von IAM, um Identitäten wie Benutzern und Rollen Zugriff auf Ressourcen in Ihrem Konto zu gewähren, finden Sie unter Einrichtung von IAM und Zugriffsverwaltung für AWS Ressourcen im IAM-Benutzerhandbuch.
Sie müssen Benutzern, die nur die API oder die API aufrufen, keine Mindestberechtigungen für die AWS CLI Konsole gewähren. AWS Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die den API-Operation entsprechen, die Sie ausführen möchten.
Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Gewährung benutzerdefinierter Berechtigungen für Benutzer CloudTrail
CloudTrail Richtlinien gewähren Benutzern, die mit arbeiten, Berechtigungen CloudTrail. Wenn Sie Benutzern unterschiedliche Berechtigungen gewähren müssen, können Sie eine CloudTrail Richtlinie an eine IAM-Gruppe oder an einen Benutzer anhängen. Sie können die Richtlinie bearbeiten, um bestimmte Berechtigungen einzubinden oder auszuschließen. Zudem können Sie eine eigene benutzerdefinierte Richtlinie erstellen. Richtlinien sind JSON-Dokumente, in denen die Aktionen, die ein Benutzer ausführen darf, und die Ressourcen, für die der Benutzer diese Aktionen ausführen darf, definiert sind. Beispiele finden Sie unter Beispiel: Zulassen und Verweigern von Aktionen für einen bestimmten Trail und Beispiele: Erstellen und Anwenden von Richtlinien bei Aktionen für bestimmte Trails.
Inhalt
Schreibgeschützter Zugriff
Das folgende Beispiel zeigt eine Richtlinie, die nur Lesezugriff auf Trails gewährt. CloudTrail Dies ist gleichbedeutend mit der verwalteten Richtlinie AWSCloudTrail_ReadOnlyAccess. Damit können Benutzer Informationen zu Trails anzeigen, aber die Trails weder erstellen noch aktualisieren.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:Get*", "cloudtrail:Describe*", "cloudtrail:List*", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
In den Richtlinienanweisungen gibt das Element Effect an, ob die Aktionen zugelassen oder verweigert werden. Das Element Action listet die spezifischen Aktionen auf, die der Benutzer ausführen darf. Das Resource Element listet die AWS Ressourcen auf, auf denen der Benutzer diese Aktionen ausführen darf. Bei Richtlinien, die den Zugriff auf CloudTrail Aktionen steuern, ist das Resource Element normalerweise auf einen Platzhalter gesetzt*, der „alle Ressourcen“ bedeutet.
Die Werte im Element Action entsprechen den APIs, die von den Services unterstützt werden. Den Aktionen wird ein vorangestellt, cloudtrail: um darauf hinzuweisen, dass sie sich auf Aktionen beziehen CloudTrail . Sie können das Platzhalterzeichen * im Element Action beispielsweise wie folgt verwenden:
-
"Action": ["cloudtrail:*Logging"]Dies ermöglicht alle CloudTrail Aktionen, die mit „Logging“ (
StartLogging,StopLogging) enden. -
"Action": ["cloudtrail:*"]Dies erlaubt alle CloudTrail Aktionen, aber keine Aktionen für andere AWS Dienste.
-
"Action": ["*"]Dies ermöglicht alle AWS Aktionen. Diese Berechtigung eignet sich für Benutzer, die als AWS -Administrator für Ihr Konto fungieren.
Die Richtlinie für den schreibgeschützten Zugriff gewährt Benutzern keine Berechtigung für die Aktionen CreateTrail, UpdateTrail, StartLogging und StopLogging. Benutzer mit dieser Richtlinie dürfen weder Trails erstellen oder aktualisieren noch die Protokollierung aktivieren und deaktivieren. Die Liste der CloudTrail Aktionen finden Sie in der AWS CloudTrail API-Referenz.
Vollzugriff
Das folgende Beispiel zeigt eine Richtlinie, die vollen Zugriff auf gewährt CloudTrail. Dies ist gleichbedeutend mit der verwalteten Richtlinie AWSCloudTrail_FullAccess. Sie gewährt Benutzern die Berechtigung, alle CloudTrail Aktionen auszuführen. Außerdem können Benutzer Datenereignisse in Amazon S3 protokollieren und AWS Lambda Dateien in Amazon S3 S3-Buckets verwalten, verwalten, wie CloudWatch Logs Ereignisse überwacht CloudTrail , und Amazon SNS SNS-Themen in dem Konto verwalten, mit dem der Benutzer verknüpft ist.
Wichtig
Die AWSCloudTrail_FullAccessRichtlinie oder gleichwertige Berechtigungen sind nicht für die gemeinsame Nutzung in Ihrem AWS Konto vorgesehen. Benutzer mit dieser Rolle oder einem gleichwertigen Zugriff haben die Möglichkeit, die sensibelsten und wichtigsten Prüfungsfunktionen in ihren AWS Konten zu deaktivieren oder neu zu konfigurieren. Aus diesem Grund sollte die Richtlinie nur für Kontoadministratoren verwendet werden; die Verwendung muss eng kontrolliert und überwacht werden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:SetTopicAttributes", "sns:GetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy" ], "Resource": [ "arn:aws:s3:::aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudtrail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "dynamodb:ListGlobalTables", "dynamodb:ListTables" ], "Resource": "*" } ] }
Erteilen Sie die Berechtigung zum Anzeigen von AWS Config Informationen auf der Konsole CloudTrail
Sie können Ereignisinformationen auf der CloudTrail Konsole anzeigen, einschließlich Ressourcen, die sich auf dieses Ereignis beziehen. Für diese Ressourcen können Sie das AWS Config Symbol auswählen, um die Zeitleiste für diese Ressource in der AWS Config Konsole anzuzeigen. Hängen Sie diese Richtlinie an Ihre Benutzer an, um ihnen nur Lesezugriff AWS Config zu gewähren. Die Richtlinie gewährt Benutzern keine Berechtigung zum Ändern von Einstellungen in AWS Config.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:List*" ], "Resource": "*" }] }
Weitere Informationen finden Sie unter Anzeigen von mit AWS Config referenzierten Ressourcen.
Erteilen der Berechtigung zum Anzeigen und Konfigurieren von Amazon CloudWatch Logs-Informationen auf der CloudTrail Konsole
Sie können die Übertragung von Ereignissen an CloudWatch Logs in der CloudTrail Konsole anzeigen und konfigurieren, sofern Sie über ausreichende Berechtigungen verfügen. Dies sind Berechtigungen, die möglicherweise über die Berechtigungen hinausgehen, die CloudTrail Administratoren gewährt wurden. Hängen Sie diese Richtlinie an Administratoren an, die die CloudTrail Integration mit CloudWatch Logs konfigurieren und verwalten. Die Richtlinie gewährt ihnen nicht direkt Berechtigungen in CloudTrail oder in CloudWatch Logs, sondern gewährt stattdessen die Berechtigungen, die für die Erstellung und Konfiguration der Rolle erforderlich sind, die für die erfolgreiche Übertragung von Ereignissen an Ihre CloudWatch Logs-Gruppe verwendet CloudTrail wird.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }] }
Weitere Informationen finden Sie unter Überwachung von CloudTrail Protokolldateien mit Amazon CloudWatch Logs.
Zusätzliche Informationen
Weitere Informationen zur Verwendung von IAM, um Identitäten wie Benutzern und Rollen Zugriff auf Ressourcen in Ihrem Konto zu gewähren, finden Sie unter Erste Schritte und Zugriffsverwaltung für AWS Ressourcen im IAM-Benutzerhandbuch.
