Berechtigungen für dienstverknüpfte Rollen für CloudTrail Eine dienstverknüpfte Rolle erstellen für CloudTrail Bearbeiten einer serviceverknüpften Rolle für CloudTrail Löschen einer serviceverknüpften Rolle für CloudTrail Unterstützte Regionen für CloudTrail dienstverknüpfte Rollen

Verwenden von serviceverknüpften Rollen für AWS CloudTrail

AWS CloudTrail verwendet AWS Identity and Access Management (IAM) dienstbezogene Rollen. Eine dienstbezogene Rolle ist ein einzigartiger Rollentyp, mit dem direkt verknüpft ist. IAM CloudTrail Mit Diensten verknüpfte Rollen sind vordefiniert CloudTrail und enthalten alle Berechtigungen, die der Dienst benötigt, um in AWS-Services Ihrem Namen andere Personen anzurufen.

Eine dienstbezogene Rolle CloudTrail erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. CloudTrail definiert die Berechtigungen ihrer dienstbezogenen Rollen und CloudTrail kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten funktionieren, IAM und suchen Sie in der Spalte Dienstverknüpfte Rolle nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen für dienstverknüpfte Rollen für CloudTrail

CloudTrail verwendet die mit dem Dienst verknüpfte Rolle mit dem Namen AWSServiceRoleForCloudTrail— Diese dienstverknüpfte Rolle wird zur Unterstützung von Organisationstrails und Datenspeichern für Organisationsereignisse verwendet.

Die AWSServiceRoleForCloudTrail serviceverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

cloudtrail.amazonaws.com

Diese Rolle wird verwendet, um die Erstellung und Verwaltung von CloudTrail Organisationspfaden und Datenspeichern von Organisationsereignissen in CloudTrail Lake zu unterstützen. CloudTrail Weitere Informationen finden Sie unter Erstellen eines Trails für eine Organisation.

Die der Rolle zugeordnete CloudTrailServiceRolePolicyRichtlinie CloudTrail ermöglicht es, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

Aktionen für alle CloudTrail Ressourcen:
- All
Maßnahmen für alle AWS Organizations Ressourcen:
- organizations:DescribeAccount
- organizations:DescribeOrganization
- organizations:ListAccounts
- organizations:ListAWSServiceAccessForOrganization
Aktionen für alle Organisationsressourcen für den CloudTrail Dienstprinzipal, um die delegierten Administratoren für die Organisation aufzulisten:
- organizations:ListDelegatedAdministrators
Aktionen zur Deaktivierung des Lake-Verbunds im Ereignisdatenspeicher einer Organisation:
- glue:DeleteTable
- lakeformation:DeRegisterResource

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstverknüpfte Rollen im IAMBenutzerhandbuch.

Eine dienstverknüpfte Rolle erstellen für CloudTrail

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen Organisationspfad- oder Organisationsereignisdatenspeicher erstellen oder einen delegierten Administrator in der CloudTrail Konsole hinzufügen oder den API Vorgang AWS CLI oder verwenden, CloudTrail wird die dienstbezogene Rolle für Sie erstellt, sofern sie noch nicht vorhanden ist.

Wenn Sie diese serviceverknüpfte Rolle löschen und dann erneut erstellen müssen, können Sie die Rolle in Ihrem Konto mit demselben Verfahren neu anlegen. Wenn Sie einen Organisationspfad- oder Organisationsereignisdatenspeicher erstellen oder einen delegierten Administrator hinzufügen, wird die dienstbezogene Rolle erneut für Sie CloudTrail erstellt.

Bearbeiten einer serviceverknüpften Rolle für CloudTrail

CloudTrail erlaubt es Ihnen nicht, die AWSServiceRoleForCloudTrail dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer dienstbezogenen Rolle im IAMBenutzerhandbuch.

Löschen einer serviceverknüpften Rolle für CloudTrail

Sie müssen die AWSServiceRoleForCloudTrail Rolle nicht manuell löschen. Wenn eine aus einer Organizations entfernt AWS-Konto wird, wird die AWSServiceRoleForCloudTrail Rolle automatisch aus dieser Organisation entfernt AWS-Konto. Sie können Richtlinien nicht von der serviceverknüpften Rolle AWSServiceRoleForCloudTrail in einem Organisationsverwaltungskonto trennen oder entfernen, ohne das Konto aus der Organisation zu entfernen.

Sie können auch die IAM Konsole, die AWS CLI oder die verwenden, AWS API um die mit dem Dienst verknüpfte Rolle manuell zu löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.

Anmerkung

Wenn der CloudTrail Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um eine Ressource, die von der Rolle AWSServiceRoleForCloudTrail verwendet wird, zu entfernen, können Sie einen der folgenden Schritte ausführen:

Entfernen Sie den AWS-Konto aus der Organisation in Organizations.
Aktualisieren Sie den Trail so, dass er nicht mehr ein Organisationstrail ist. Weitere Informationen finden Sie unter Einen Trail mit der CloudTrail Konsole aktualisieren.
Aktualisieren Sie den Ereignisdatenspeicher, sodass er kein Ereignisdatenspeicher einer Organisation mehr ist. Weitere Informationen finden Sie unter Aktualisieren Sie einen Ereignisdatenspeicher mit der Konsole.
Löschen Sie den Trail. Weitere Informationen finden Sie unter Einen Trail mit der CloudTrail Konsole löschen.
Löschen Sie den Ereignisdatenspeicher. Weitere Informationen finden Sie unter Löschen Sie einen Ereignisdatenspeicher mit der Konsole.

Um die mit dem Service verknüpfte Rolle manuell zu löschen, verwenden Sie IAM

Verwenden Sie die IAM Konsole, den oder AWS CLI, AWS API um die AWSServiceRoleForCloudTrail dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.

Unterstützte Regionen für CloudTrail dienstverknüpfte Rollen

CloudTrail unterstützt die Verwendung von serviceverknüpften Rollen in allen Bereichen, in AWS-Regionen denen CloudTrail sowohl Where als auch Organizations verfügbar sind. Weitere Informationen finden Sie unter AWS-Service -Endpunkte in Allgemeine AWS-Referenz.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Fehlerbehebung

AWS verwaltete Richtlinien