Memulai dengan AWS CloudTrail tutorial

Jika Anda baru mengenal AWS CloudTrail, tutorial ini dapat membantu Anda mempelajari cara menggunakan fitur-fiturnya. Untuk menggunakan CloudTrail fitur, Anda harus memiliki izin yang memadai. Halaman ini menjelaskan kebijakan terkelola yang tersedia CloudTrail dan memberikan informasi tentang cara Anda dapat memberikan izin.

Contoh:

• Berikan izin untuk digunakan CloudTrail
• Lihat riwayat acara
• Buat jejak untuk mencatat peristiwa manajemen
• Buat penyimpanan data acara untuk peristiwa data S3
• Lihat dasbor CloudTrail Danau

Berikan izin untuk digunakan CloudTrail

Untuk membuat, memperbarui, dan mengelola CloudTrail sumber daya seperti jejak, penyimpanan data acara, dan saluran, Anda harus memberikan izin untuk digunakan. CloudTrail Bagian ini memberikan informasi tentang kebijakan terkelola yang tersedia untuk CloudTrail.

catatan

Izin yang Anda berikan kepada pengguna untuk melakukan tugas CloudTrail administrasi tidak sama dengan izin yang CloudTrail diperlukan untuk mengirimkan file log ke bucket Amazon S3 atau mengirim pemberitahuan ke topik Amazon. SNS Untuk informasi selengkapnya tentang izin tersebut, lihatKebijakan bucket Amazon S3 untuk CloudTrail.

Jika Anda mengonfigurasi integrasi dengan Amazon CloudWatch Logs, Anda CloudTrail juga memerlukan peran yang dapat diasumsikan untuk mengirimkan peristiwa ke grup CloudWatch log Amazon Logs. Anda harus membuat peran yang CloudTrail menggunakan. Untuk informasi selengkapnya, silakan lihat Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail dan Mengirim acara ke CloudWatch Log.

Kebijakan AWS terkelola berikut tersedia untuk CloudTrail:

• AWSCloudTrail_FullAccessKebijakan ini menyediakan akses penuh ke CloudTrail tindakan pada CloudTrail sumber daya, seperti jejak, penyimpanan data acara, dan saluran. Kebijakan ini menyediakan izin yang diperlukan untuk membuat, memperbarui, dan menghapus CloudTrail jejak, penyimpanan data peristiwa, dan saluran.

  Kebijakan ini juga menyediakan izin untuk mengelola bucket Amazon S3, grup log CloudWatch untuk Log, dan topik SNS Amazon untuk jejak. Namun, kebijakan AWSCloudTrail_FullAccess terkelola tidak memberikan izin untuk menghapus bucket Amazon S3, grup log CloudWatch untuk Log, atau topik AmazonSNS. Untuk informasi tentang kebijakan terkelola untuk AWS layanan lain, lihat Panduan Referensi Kebijakan AWS Terkelola.

  catatan

  AWSCloudTrail_FullAccessKebijakan ini tidak dimaksudkan untuk dibagikan secara luas di seluruh Anda Akun AWS. Pengguna dengan peran ini dapat mematikan atau mengkonfigurasi ulang fungsi audit yang paling sensitif dan penting di dalamnya. Akun AWS Untuk alasan ini, Anda hanya harus menerapkan kebijakan ini ke administrator akun. Anda harus mengontrol dan memantau penggunaan kebijakan ini dengan cermat.

• AWSCloudTrail_ReadOnlyAccess— Kebijakan ini memberikan izin untuk melihat CloudTrail konsol, termasuk peristiwa terbaru dan riwayat acara. Kebijakan ini juga memungkinkan Anda untuk melihat jejak yang ada, penyimpanan data acara, dan saluran. Peran dan pengguna dengan kebijakan ini dapat mengunduh riwayat acara, tetapi mereka tidak dapat membuat atau memperbarui jejak, penyimpanan data acara, atau saluran.

Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:

• Pengguna dan grup di AWS IAM Identity Center:

  Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .

• Pengguna yang dikelola IAM melalui penyedia identitas:

  Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.

• IAMpengguna:

  • Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran bagi IAM pengguna di Panduan IAM Pengguna.

  • (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.