Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur l'identité pour AWS CloudTrail
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier CloudTrail des ressources. Ils ne peuvent pas non plus effectuer de tâches en utilisant le AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.
Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, consultez la section Création de IAM politiques dans le guide de l'IAMutilisateur.
Pour plus de détails sur les actions et les types de ressources définis par CloudTrail, y compris le format de ARNs pour chacun des types de ressources, voir Actions, ressources et clés de condition AWS CloudTrail dans la référence d'autorisation de service.
Rubriques
- Bonnes pratiques en matière de politiques
- Exemple : autoriser et refuser des actions pour un journal de suivi spécifié
- Exemples : créer et appliquer des politiques pour des actions sur des journaux de suivi spécifiques
- Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications
- Utilisation de la CloudTrail console
- Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
- Octroi d'autorisations personnalisées aux CloudTrail utilisateurs
Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer CloudTrail des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
-
Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d'informations, consultez les politiques AWS gérées ou les politiques AWS gérées pour les fonctions professionnelles dans le Guide de IAM l'utilisateur.
-
Appliquer les autorisations du moindre privilège : lorsque vous définissez des autorisations à IAM l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d'informations sur l'utilisation IAM pour appliquer des autorisations, consultez la section Politiques et autorisations IAM dans le guide de IAM l'utilisateur.
-
Utilisez des conditions dans IAM les politiques pour restreindre davantage l'accès : vous pouvez ajouter une condition à vos politiques pour limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez rédiger une condition de politique pour spécifier que toutes les demandes doivent être envoyées en utilisantSSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique AWS service, tel que AWS CloudFormation. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.
-
Utilisez IAM Access Analyzer pour valider vos IAM politiques afin de garantir des autorisations sécurisées et fonctionnelles. IAM Access Analyzer valide les politiques nouvelles et existantes afin qu'elles soient conformes au langage des IAM politiques (JSON) et IAM aux meilleures pratiques. IAMAccess Analyzer fournit plus de 100 vérifications des politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d'informations, consultez la section Validation des politiques d'IAMAccess Analyzer dans le guide de IAM l'utilisateur.
-
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des IAM utilisateurs ou un utilisateur root Compte AWS, activez-le MFA pour une sécurité supplémentaire. Pour exiger le MFA moment où les API opérations sont appelées, ajoutez MFA des conditions à vos politiques. Pour plus d'informations, consultez la section Configuration de l'APIaccès MFA protégé dans le Guide de l'IAMutilisateur.
Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.
CloudTrail ne possède pas de clés de contexte spécifiques au service que vous pouvez utiliser dans l'Conditionélément des déclarations de politique.
Exemple : autoriser et refuser des actions pour un journal de suivi spécifié
L'exemple suivant illustre une politique qui permet aux utilisateurs dotés de cette politique de consulter l'état et la configuration d'un suivi, ainsi que de démarrer et d'arrêter la journalisation d'un suivi nommé My-First-Trail. Ce sentier a été créé dans la région USA Est (Ohio) (sa région d'origine) Compte AWS avec l'ID 123456789012.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
L'exemple suivant illustre une politique qui refuse explicitement CloudTrail les actions pour toute piste non nommée. My-First-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudtrail:*" ], "NotResource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
Exemples : créer et appliquer des politiques pour des actions sur des journaux de suivi spécifiques
Vous pouvez utiliser les autorisations et les politiques pour contrôler la capacité d'un utilisateur à effectuer des actions spécifiques sur les CloudTrail sentiers.
Par exemple, vous ne voulez pas que les utilisateurs du groupe de développeurs de votre entreprise démarrent ou arrêtent la journalisation sur un journal de suivi spécifique. Toutefois, vous souhaiterez peut-être leur accorder l'autorisation d'effectuer les actions DescribeTrails et GetTrailStatus sur le journal de suivi. Vous voulez que les utilisateurs du groupe de développeurs effectuent les actions StartLogging ou StopLogging sur les journaux de suivi qu'ils gèrent.
Vous pouvez créer deux déclarations de politique et les associer au groupe de développeurs dans lequel vous les créezIAM. Pour plus d'informations sur les groupes dansIAM, consultez la section IAMGroupes du guide de IAM l'utilisateur.
Dans la première politique, vous refusez les StopLogging actions StartLogging et pour le parcours ARN que vous spécifiez. Dans l'exemple suivant, le sentier ARN estarn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446057698000", "Effect": "Deny", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail" ] } ] }
Dans la deuxième politique, les GetTrailStatus actions DescribeTrails et sont autorisées sur toutes les CloudTrail ressources :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446072643000", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus" ], "Resource": [ "*" ] } ] }
Si un utilisateur du groupe de développeurs tente de démarrer ou d'arrêter la journalisation sur le journal d’activité que vous avez spécifié dans la première politique, cet utilisateur reçoit une exception de refus d'accès. Les utilisateurs du groupe de développeurs peuvent commencer et arrêter la journalisation des journaux de suivi qu'ils créent et gèrent.
Les exemples suivants montrent que le groupe de développeurs est configuré dans un AWS CLI profil nommédevgroup. Tout d'abord, un utilisateur de devgroup exécute la commande describe-trails.
$ aws --profile devgroup cloudtrail describe-trails
La commande s'est terminée avec succès avec la sortie suivante :
{ "trailList": [ { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", "IsMultiRegionTrail": false, "S3BucketName": "amzn-s3-demo-bucket", "HomeRegion": "us-east-2" } ] }
L'utilisateur exécute ensuite la commande get-trail-status sur le journal de suivi que vous avez spécifié dans la première politique.
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
La commande s'est terminée avec succès avec la sortie suivante :
{ "LatestDeliveryTime": 1449517556.256, "LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", "LatestNotificationAttemptSucceeded": "", "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", "IsLogging": true, "TimeLoggingStarted": "2015-12-07T19:36:27Z", "StartLoggingTime": 1449516987.685, "StopLoggingTime": 1449516977.332, "LatestNotificationAttemptTime": "", "TimeLoggingStopped": "2015-12-07T19:36:17Z" }
Ensuite, un utilisateur de devgroup exécute la commande stop-logging sur le même journal de suivi.
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
La commande renvoie une exception d'accès rejeté, telle que la suivante :
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
L'utilisateur exécute la commande start-logging sur le même suivi.
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
La commande renvoie une fois de plus une exception d'accès rejeté, telle que la suivante :
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications
Dans l'exemple de politique suivant, l'autorisation de créer un entrepôt de données d'événement avec CreateEventDataStore est refusée si au moins l'une des conditions suivantes n'est pas remplie :
-
L'entrepôt de données d'événement ne s'est pas vu appliquer la clé de balise
stage. -
La valeur de la balise stage n'est pas
alpha,beta,gamma, ouprod.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/stage": "true" } } }, { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/stage": [ "alpha", "beta", "gamma", "prod" ] } } } ] }
Dans l'exemple de politique suivant, l'autorisation de supprimer un entrepôt de données d'événement avec DeleteEventDataStore est refusée si l'entrepôt de données d'événement a une balise stage dont la valeur est prod. Une politique comme celle-ci peut aider à protéger un entrepôt de données d'événement contre la suppression accidentelle.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:DeleteEventDataStore", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
Utilisation de la CloudTrail console
Pour accéder à la AWS CloudTrail console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails CloudTrail des ressources de votre Compte AWS. Si vous créez une stratégie basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette stratégie.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement le AWS CLI ou le AWS API. Au lieu de cela, autorisez uniquement l'accès aux actions correspondant à l'APIopération qu'ils tentent d'effectuer.
Octroi d'autorisations pour CloudTrail l'administration
Pour permettre aux IAM rôles ou aux utilisateurs d'administrer une CloudTrail ressource, telle qu'un parcours, un magasin de données d'événements ou un canal, vous devez accorder des autorisations explicites pour effectuer les actions associées aux CloudTrail tâches. Dans la plupart des cas, vous pouvez utiliser une politique AWS gérée contenant des autorisations prédéfinies.
Note
Les autorisations que vous accordez aux utilisateurs pour effectuer des tâches d' CloudTrail administration ne sont pas les mêmes que celles CloudTrail requises pour envoyer des fichiers journaux dans des compartiments Amazon S3 ou envoyer des notifications aux SNS rubriques Amazon. Pour plus d'informations sur ces autorisations, consultez Politique relative aux compartiments Amazon S3 pour CloudTrail.
Si vous configurez l'intégration avec Amazon CloudWatch Logs, cela nécessite CloudTrail également un rôle que celui-ci peut assumer pour transmettre des événements à un groupe de CloudWatch journaux Amazon Logs. Vous devez créer le rôle qui CloudTrail utilise. Pour plus d’informations, consultez Octroi de l'autorisation d'afficher et de configurer CloudWatch les informations Amazon Logs sur la CloudTrail console et Envoi d'événements à CloudWatch Logs.
Les politiques AWS gérées suivantes sont disponibles pour CloudTrail :
-
AWSCloudTrail_FullAccess— Cette politique fournit un accès complet aux CloudTrail actions sur les CloudTrail ressources, telles que les sentiers, les magasins de données sur les événements et les canaux. Cette politique fournit les autorisations requises pour créer, mettre à jour et supprimer des CloudTrail traces, des banques de données d'événements et des chaînes.
Cette politique fournit également des autorisations pour gérer le compartiment Amazon S3, le groupe de CloudWatch journaux pour les journaux et une SNS rubrique Amazon pour un suivi. Cependant, la politique
AWSCloudTrail_FullAccessgérée n'autorise pas la suppression du compartiment Amazon S3, du groupe de CloudWatch journaux pour Logs ou d'une SNS rubrique Amazon. Pour plus d'informations sur les politiques gérées pour les autres AWS services, consultez le Guide de référence des politiques AWS gérées.Note
La AWSCloudTrail_FullAccesspolitique n'est pas destinée à être largement partagée entre vous Compte AWS. Les utilisateurs ayant ce rôle peuvent désactiver ou reconfigurer les fonctions d'audit les plus sensibles et les plus importantes dans leur Comptes AWS. Pour cette raison, vous ne devez appliquer cette politique qu'aux administrateurs de compte. Vous devez contrôler et surveiller étroitement l'utilisation de cette politique.
-
AWSCloudTrail_ReadOnlyAccess— Cette politique accorde des autorisations pour consulter la CloudTrail console, y compris les événements récents et l'historique des événements. Cette politique vous permet également de consulter les journaux de suivi, les entrepôts de données d'événement et les canaux existants. Les rôles et les utilisateurs soumis à cette politique peuvent télécharger l'historique des événements, mais ils ne peuvent pas créer ou mettre à jour des journaux de suivi, des entrepôts de données d'événement ou des canaux.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés IAM par le biais d'un fournisseur d'identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la section Création d'un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.
-
IAMutilisateurs :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Création d'un rôle pour un IAM utilisateur dans le Guide de IAM l'utilisateur.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la section Ajouter des autorisations à un utilisateur (console) dans le guide de IAM l'utilisateur.
-
Ressources supplémentaires
Pour en savoir plus sur l'utilisation IAM pour donner aux identités, telles que les utilisateurs et les rôles, l'accès aux ressources de votre compte, consultez la section Configuration IAM et gestion de l'accès aux AWS ressources dans le Guide de IAM l'utilisateur.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement le AWS CLI ou le AWS API. Au lieu de cela, autorisez uniquement l'accès aux actions correspondant à l'APIopération que vous essayez d'effectuer.
Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux IAM utilisateurs de consulter les politiques intégrées et gérées associées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du AWS CLI ou. AWS API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Octroi d'autorisations personnalisées aux CloudTrail utilisateurs
CloudTrail les politiques accordent des autorisations aux utilisateurs qui travaillent avec CloudTrail. Si vous devez accorder des autorisations différentes aux utilisateurs, vous pouvez associer une CloudTrail politique à un IAM groupe ou à un utilisateur. Vous pouvez modifier la politique de sorte à inclure ou exclure des autorisations spécifiques. Vous pouvez également créer votre propre politique personnalisée. Les politiques sont JSON des documents qui définissent les actions qu'un utilisateur est autorisé à effectuer et les ressources sur lesquelles l'utilisateur est autorisé à effectuer ces actions. Pour plus d'exemples, consultez Exemple : autoriser et refuser des actions pour un journal de suivi spécifié et Exemples : créer et appliquer des politiques pour des actions sur des journaux de suivi spécifiques.
Table des matières
Accès en lecture seule
L'exemple suivant montre une politique qui accorde un accès en lecture seule aux CloudTrail sentiers. Cela équivaut à la politique gérée AWSCloudTrail_ReadOnlyAccess. Elle accorde aux utilisateurs l'autorisation de consulter les informations des journaux de suivi, mais pas de créer ou de mettre à jour des journaux de suivi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:Get*", "cloudtrail:Describe*", "cloudtrail:List*", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
Dans les déclarations de politique, l'élément Effect spécifie si les actions sont autorisées ou refusées. L'élément Action répertorie les actions spécifiques que l'utilisateur est autorisé à effectuer. L'Resourceélément répertorie les AWS ressources sur lesquelles l'utilisateur est autorisé à effectuer ces actions. Pour les politiques qui contrôlent l'accès aux CloudTrail actions, l'Resourceélément est généralement défini sur * un caractère générique qui signifie « toutes les ressources ».
Les valeurs de l'Actionélément correspondent à celles prises APIs en charge par les services. Les actions sont cloudtrail: précédées de ce qui indique qu'elles font référence à CloudTrail des actions. Vous pouvez utiliser le caractère générique * dans l'élément Action, comme dans les exemples suivants :
-
"Action": ["cloudtrail:*Logging"]Cela permet toutes les CloudTrail actions qui se terminent par « Logging » (
StartLogging,StopLogging). -
"Action": ["cloudtrail:*"]Cela permet toutes les CloudTrail actions, mais pas les actions pour les autres AWS services.
-
"Action": ["*"]Cela permet toutes les AWS actions. Cette autorisation convient pour un utilisateur qui agit en tant qu'administrateur AWS pour votre compte.
La politique en lecture seule n'accorde pas l’autorisation à l'utilisateur pour les CreateTrail, UpdateTrail, StartLogging et StopLogging actions. Utilisateurs avec cette politique ne sont pas autorisés à créer des journaux de suivi, mettre à jour des journaux de suivi ou activer et désactiver la journalisation. Pour la liste des CloudTrail actions, consultez la AWS CloudTrail APIréférence.
Accès complet à
L'exemple suivant montre une politique qui accorde un accès complet à CloudTrail. Cela équivaut à la politique gérée AWSCloudTrail_FullAccess. Il accorde aux utilisateurs l'autorisation d'effectuer toutes les CloudTrail actions. Il permet également aux utilisateurs de consigner les événements liés aux données dans Amazon S3 et AWS Lambda de gérer les fichiers dans des compartiments Amazon S3, de gérer la manière dont CloudWatch Logs surveille les événements de CloudTrail journal et de gérer les SNS sujets Amazon dans le compte auquel l'utilisateur est associé.
Important
La AWSCloudTrail_FullAccesspolitique ou les autorisations équivalentes ne sont pas destinées à être largement partagées sur l'ensemble de votre AWS compte. Les utilisateurs dotés de ce rôle ou d'un accès équivalent ont la possibilité de désactiver ou de reconfigurer les fonctions d'audit les plus sensibles et les plus importantes de leurs AWS comptes. Pour cette raison, cette politique doit être appliquée uniquement aux administrateurs de compte, et l'utilisation de cette politique doit être étroitement contrôlée et surveillée.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:SetTopicAttributes", "sns:GetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy" ], "Resource": [ "arn:aws:s3:::aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudtrail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "dynamodb:ListGlobalTables", "dynamodb:ListTables" ], "Resource": "*" } ] }
Octroi de l'autorisation AWS Config d'afficher les informations sur la CloudTrail console
Vous pouvez consulter les informations relatives aux événements sur la CloudTrail console, y compris les ressources associées à cet événement. Pour ces ressources, vous pouvez choisir l' AWS Config icône pour afficher la chronologie de cette ressource dans la AWS Config console. Associez cette politique à vos utilisateurs pour leur accorder un accès en lecture seule AWS Config . La politique ne leur accorde pas l'autorisation de modifier les paramètres dans AWS Config.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:List*" ], "Resource": "*" }] }
Pour de plus amples informations, veuillez consulter Affichage des ressources référencées avec AWS Config.
Octroi de l'autorisation d'afficher et de configurer CloudWatch les informations Amazon Logs sur la CloudTrail console
Vous pouvez consulter et configurer l'envoi d'événements à CloudWatch Logs dans la CloudTrail console si vous disposez des autorisations suffisantes. Il s'agit d'autorisations qui peuvent aller au-delà de celles accordées aux CloudTrail administrateurs. Associez cette politique aux administrateurs qui configureront et géreront CloudTrail l'intégration avec CloudWatch Logs. La politique ne leur accorde pas d'autorisations directement dans CloudTrail ou dans les CloudWatch journaux, mais accorde plutôt les autorisations nécessaires pour créer et configurer le rôle qu'ils CloudTrail assumeront pour transmettre correctement les événements à votre groupe de CloudWatch journaux.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }] }
Pour de plus amples informations, veuillez consulter Surveillance des fichiers CloudTrail journaux avec Amazon CloudWatch Logs.
Informations supplémentaires
Pour en savoir plus sur l'utilisation IAM pour donner aux identités, telles que les utilisateurs et les rôles, l'accès aux ressources de votre compte, consultez les sections Mise en route et Gestion de l'accès aux AWS ressources dans le Guide de IAM l'utilisateur.
