Cómo empezar con AWS CloudTrail los tutoriales - AWS CloudTrail
Otorgue permisos de uso CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo empezar con AWS CloudTrail los tutoriales

Si eres nuevo en esto AWS CloudTrail, estos tutoriales pueden ayudarte a aprender a usar sus funciones. Para usar CloudTrail las funciones, debe tener los permisos adecuados. En esta página, se describen las políticas administradas disponibles CloudTrail y se proporciona información sobre cómo se pueden conceder permisos.

Ejemplos:

Otorgue permisos de uso CloudTrail

Para crear, actualizar y gestionar CloudTrail recursos como rutas, almacenes de datos de eventos y canales, debes conceder permisos de uso CloudTrail. En esta sección se proporciona información sobre las políticas gestionadas disponibles para CloudTrail.

nota

Los permisos que concede a los usuarios para realizar tareas de CloudTrail administración no son los mismos que CloudTrail los permisos necesarios para entregar archivos de registro a los buckets de Amazon S3 o enviar notificaciones a SNS los temas de Amazon. Para obtener más información acerca de estos permisos, consulte Política de bucket de Amazon S3 para CloudTrail.

Si configura la integración con Amazon CloudWatch Logs, CloudTrail también se requiere un rol que pueda asumir para entregar eventos a un grupo de CloudWatch registros de Amazon Logs. Debe crear el rol que CloudTrail utiliza. Para obtener más información, consulte Concesión de permisos para ver y configurar la información de Amazon CloudWatch Logs en la CloudTrail consola y Envío de eventos a CloudWatch registros.

Las siguientes políticas AWS administradas están disponibles para CloudTrail:

  • AWSCloudTrail_FullAccess— Esta política proporciona acceso total a CloudTrail las acciones en CloudTrail los recursos, como las rutas, los almacenes de datos de eventos y los canales. Esta política proporciona los permisos necesarios para crear, actualizar y eliminar CloudTrail rutas, almacenes de datos de eventos y canales.

    Esta política también proporciona permisos para administrar el depósito de Amazon S3, el grupo de CloudWatch registros para los registros y un SNS tema de Amazon para una ruta. Sin embargo, la política AWSCloudTrail_FullAccess gestionada no proporciona permisos para eliminar el bucket de Amazon S3, el grupo de CloudWatch registros de Logs o un SNS tema de Amazon. Para obtener información sobre las políticas administradas para otros AWS servicios, consulte la Guía de referencia de políticas AWS administradas.

    nota

    La AWSCloudTrail_FullAccesspolítica no está pensada para que se divulgue ampliamente entre todos sus usuarios Cuenta de AWS. Los usuarios con este rol pueden desactivar o reconfigurar las funciones de auditoría más importantes y confidenciales de su Cuentas de AWS. Por este motivo, solo debe aplicar esta política a los administradores de cuentas. Debe controlar y supervisar de cerca el uso de esta política.

  • AWSCloudTrail_ReadOnlyAccess— Esta política otorga permisos para ver la CloudTrail consola, incluidos los eventos recientes y el historial de eventos. Esta política también le permite ver los registros de seguimiento, los almacenes de datos de eventos y los canales existentes. Los roles y los usuarios sujetos a esta política pueden descargar el historial de eventos, pero no pueden crear ni actualizar registros de seguimiento, almacenes de datos de eventos ni canales.

Para dar acceso, agregue permisos a los usuarios, grupos o roles: