Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis identitas untuk AWS CloudTrail
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi CloudTrail sumber daya. Pengguan dan peran tersebut juga tidak dapat melakukan tugas dengan menggunakan AWS Management Console, AWS Command Line Interface (AWS CLI), atau API AWS. Untuk memberikan izin kepada pengguna untuk melakukan tindakan pada sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM. Administrator kemudian dapat menambahkan kebijakan IAM ke peran, dan pengguna dapat menjalankan peran.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM.
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh CloudTrail, termasuk format ARN untuk setiap jenis sumber daya, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS CloudTrail dalam Referensi Otorisasi Layanan.
Topik
- Praktik terbaik kebijakan
- Contoh: Mengizinkan dan menolak tindakan untuk jejak tertentu
- Contoh: Membuat dan menerapkan kebijakan untuk tindakan pada jalur tertentu
- Contoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag
- Menggunakan konsol CloudTrail
- Izinkan para pengguna untuk melihat izin mereka sendiri
- Memberikan izin khusus untuk pengguna CloudTrail
Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus CloudTrail sumber daya di akun Anda. Tindakan ini dikenai biaya untuk Akun AWS Anda. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
-
Mulai menggunakan kebijakan yang dikelola AWS dan beralih ke izin dengan hak akses paling rendah – Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan kebijakan yang dikelola AWS yang memberikan izin untuk banyak kasus penggunaan umum. Kebijakan ini ada di Akun AWS Anda. Sebaiknya Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan AWS yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat kebijakan yang dikelola AWS atau kebijakan yang dikelola AWS untuk fungsi pekerjaan di Panduan Pengguna IAM.
-
Menerapkan izin dengan hak akses paling rendah – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukan ini dengan menentukan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, juga dikenal sebagai izin hak akses paling rendah. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk menerapkan izin, lihat Kebijakan dan izin di IAM di Panduan Pengguna IAM.
-
Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut – Anda dapat menambahkan kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Misalnya, Anda dapat menulis syarat kebijakan untuk menentukan bahwa semua pengajuan harus dikirim menggunakan SSL. Anda juga dapat menggunakan kondisi untuk memberi akses ke tindakan layanan jika digunakan melalui Layanan AWS yang spesifk, seperti AWS CloudFormation. Untuk informasi selengkapnya, lihat Elemen kebijakan JSON IAM: Syarat di Panduan Pengguna IAM.
-
Menggunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda guna memastikan izin yang aman dan berfungsi – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat validasi kebijakan Analizer Akses IAM di Panduan Pengguna IAM.
-
Wajibkan autentikasi multi-faktor (MFA) – Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Akun AWS Anda, aktifkan MFA untuk keamanan tambahan. Untuk mewajibkan MFA saat operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi akses API yang dilindungi MFA di Panduan Pengguna IAM.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.
CloudTrail tidak memiliki kunci konteks khusus layanan yang dapat Anda gunakan dalam Condition elemen pernyataan kebijakan.
Contoh: Mengizinkan dan menolak tindakan untuk jejak tertentu
Contoh berikut menunjukkan kebijakan yang memungkinkan pengguna dengan kebijakan untuk melihat status dan konfigurasi jejak serta memulai dan menghentikan pencatatan untuk jejak bernama My-First-Trail. Jejak ini dibuat di Wilayah Timur AS (Ohio) (Wilayah asalnya) Akun AWS dengan ID 123456789012.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
Contoh berikut menunjukkan kebijakan yang secara eksplisit menolak CloudTrail tindakan untuk jejak apa pun yang tidak bernama My-First-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudtrail:*" ], "NotResource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
Contoh: Membuat dan menerapkan kebijakan untuk tindakan pada jalur tertentu
Anda dapat menggunakan izin dan kebijakan untuk mengontrol kemampuan pengguna untuk melakukan tindakan tertentu pada CloudTrail jejak.
Misalnya, Anda tidak ingin pengguna grup pengembang perusahaan Anda memulai atau menghentikan pencatatan pada jejak tertentu. Namun, Anda mungkin ingin memberi mereka izin untuk melakukan DescribeTrails dan GetTrailStatus tindakan di jalan setapak. Anda ingin pengguna grup pengembang melakukan StartLogging atau StopLogging tindakan pada jalur yang mereka kelola.
Anda dapat membuat dua pernyataan kebijakan dan melampirkannya ke grup pengembang yang Anda buat di IAM. Untuk informasi selengkapnya tentang grup di IAM, lihat Grup IAM di Panduan Pengguna IAM.
Dalam kebijakan pertama, Anda menolak StartLogging dan StopLogging tindakan untuk jejak ARN yang Anda tentukan. Dalam contoh berikut, jejak ARN adalah. arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446057698000", "Effect": "Deny", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail" ] } ] }
Dalam kebijakan kedua, DescribeTrails dan GetTrailStatus tindakan diizinkan pada semua CloudTrail sumber daya:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446072643000", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus" ], "Resource": [ "*" ] } ] }
Jika pengguna grup pengembang mencoba memulai atau menghentikan pencatatan pada jejak yang Anda tentukan dalam kebijakan pertama, pengguna tersebut mendapatkan pengecualian yang ditolak akses. Pengguna grup pengembang dapat memulai dan berhenti masuk pada jalur yang mereka buat dan kelola.
Contoh berikut menunjukkan bahwa grup pengembang dikonfigurasi dalam AWS CLI profil bernamadevgroup. Pertama, pengguna devgroup menjalankan describe-trails perintah.
$ aws --profile devgroup cloudtrail describe-trails
Perintah berhasil diselesaikan dengan output berikut:
{ "trailList": [ { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", "IsMultiRegionTrail": false, "S3BucketName": "myS3bucket ", "HomeRegion": "us-east-2" } ] }
Pengguna kemudian menjalankan get-trail-status perintah pada jejak yang Anda tentukan dalam kebijakan pertama.
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
Perintah berhasil diselesaikan dengan output berikut:
{ "LatestDeliveryTime": 1449517556.256, "LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", "LatestNotificationAttemptSucceeded": "", "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", "IsLogging": true, "TimeLoggingStarted": "2015-12-07T19:36:27Z", "StartLoggingTime": 1449516987.685, "StopLoggingTime": 1449516977.332, "LatestNotificationAttemptTime": "", "TimeLoggingStopped": "2015-12-07T19:36:17Z" }
Selanjutnya, pengguna dalam devgroup grup menjalankan stop-logging perintah di jalur yang sama.
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
Perintah mengembalikan pengecualian akses ditolak, seperti berikut ini:
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
Pengguna menjalankan start-logging perintah di jalur yang sama.
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
Sekali lagi perintah mengembalikan akses ditolak pengecualian, seperti berikut ini:
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
Contoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag
Dalam contoh kebijakan berikut, izin untuk membuat penyimpanan data peristiwa dengan CreateEventDataStore ditolak jika setidaknya salah satu dari kondisi berikut tidak terpenuhi:
-
Penyimpanan data acara tidak memiliki kunci tag yang
stagediterapkan pada dirinya sendiri -
Nilai tag panggung tidak
alpha,,betagamma, atauprod.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/stage": "true" } } }, { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/stage": [ "alpha", "beta", "gamma", "prod" ] } } } ] }
Dalam contoh kebijakan berikut, izin untuk menghapus penyimpanan data peristiwa dengan ditolak DeleteEventDataStore adalah jika penyimpanan data peristiwa memiliki stage tag dengan nilaiprod. Kebijakan seperti ini dapat membantu melindungi penyimpanan data peristiwa dari penghapusan yang tidak disengaja.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:DeleteEventDataStore", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
Menggunakan konsol CloudTrail
Untuk mengakses konsol AWS CloudTrail tersebut, Anda harus memiliki rangkaian izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang CloudTrail sumber daya di AndaAkun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Anda tidak perlu memberikan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau API AWS. Sebaliknya, izinkan akses hanya ke tindakan yang cocok dengan operasi API yang coba dilakukan.
Pemberian izin untuk administrasi CloudTrail
Untuk mengizinkan peran IAM atau pengguna mengelola CloudTrail sumber daya, seperti jejak, penyimpanan data peristiwa, atau saluran, Anda harus memberikan izin eksplisit untuk melakukan tindakan yang terkait dengan tugas. CloudTrail Dalam kebanyakan situasi, Anda dapat menggunakan kebijakan AWS terkelola yang berisi izin yang telah ditentukan sebelumnya.
catatan
Izin yang Anda berikan kepada pengguna untuk melakukan tugas CloudTrail administrasi tidak sama dengan izin yang CloudTrail diperlukan untuk mengirimkan file log ke bucket Amazon S3 atau mengirim pemberitahuan ke topik Amazon SNS. Untuk informasi selengkapnya tentang izin tersebut, lihatKebijakan bucket Amazon S3 untuk CloudTrail.
Jika Anda mengonfigurasi integrasi dengan Amazon CloudWatch Logs, Anda CloudTrail juga memerlukan peran yang dapat diasumsikan untuk mengirimkan peristiwa ke grup CloudWatch log Amazon Logs. Anda harus membuat peran yang CloudTrail menggunakan. Lihat informasi yang lebih lengkap di Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail dan Mengirim acara ke CloudWatch Log.
Kebijakan AWS terkelola berikut tersedia untuk CloudTrail:
-
AWSCloudTrail_FullAccessKebijakan ini menyediakan akses penuh ke CloudTrail tindakan pada CloudTrail sumber daya, seperti jejak, penyimpanan data acara, dan saluran. Kebijakan ini menyediakan izin yang diperlukan untuk membuat, memperbarui, dan menghapus CloudTrail jejak, penyimpanan data peristiwa, dan saluran.
Kebijakan ini juga menyediakan izin untuk mengelola bucket Amazon S3, grup log CloudWatch untuk Log, dan topik Amazon SNS untuk jejak. Namun, kebijakan
AWSCloudTrail_FullAccessterkelola tidak memberikan izin untuk menghapus bucket Amazon S3, grup log CloudWatch untuk Log, atau topik Amazon SNS. Untuk informasi tentang kebijakan terkelola untuk AWS layanan lain, lihat Panduan Referensi Kebijakan AWS Terkelola.catatan
AWSCloudTrail_FullAccessKebijakan ini tidak dimaksudkan untuk dibagikan secara luas di seluruh AndaAkun AWS. Pengguna dengan peran ini dapat mematikan atau mengkonfigurasi ulang fungsi audit yang paling sensitif dan penting di dalamnya. Akun AWS Untuk alasan ini, Anda hanya harus menerapkan kebijakan ini ke administrator akun. Anda harus mengontrol dan memantau penggunaan kebijakan ini dengan cermat.
-
AWSCloudTrail_ReadOnlyAccess— Kebijakan ini memberikan izin untuk melihat CloudTrail konsol, termasuk peristiwa terbaru dan riwayat acara. Kebijakan ini juga memungkinkan Anda untuk melihat jejak yang ada, penyimpanan data acara, dan saluran. Peran dan pengguna dengan kebijakan ini dapat mengunduh riwayat acara, tetapi mereka tidak dapat membuat atau memperbarui jejak, penyimpanan data acara, atau saluran.
Untuk memberikan akses, tambahkan izin ke pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti petunjuk dalam Buat set izin dalam Panduan Pengguna AWS IAM Identity Center.
-
Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.
-
Pengguna IAM:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran untuk pengguna IAM dalam Panduan Pengguna IAM.
-
(Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.
-
Sumber daya tambahan
Untuk mempelajari lebih lanjut tentang menggunakan IAM untuk memberikan identitas, seperti pengguna dan peran, akses ke sumber daya di akun Anda, lihat Menyiapkan dengan IAM dan Manajemen akses untuk AWS sumber daya di Panduan Pengguna IAM.
Anda tidak perlu memperbolehkan izin konsol minimum bagi pengguna yang hanya melakukan panggilan ke AWS CLI atau AWS API. Alih-alih, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang Anda coba lakukan.
Izinkan para pengguna untuk melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan para pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan pada konsol atau menggunakan AWS CLI atau AWS API secara terprogram.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Memberikan izin khusus untuk pengguna CloudTrail
CloudTrail kebijakan memberikan izin kepada pengguna yang bekerja dengan CloudTrail. Jika Anda perlu memberikan izin yang berbeda kepada pengguna, Anda dapat melampirkan CloudTrail kebijakan ke grup IAM atau pengguna. Anda dapat mengedit kebijakan untuk menyertakan atau mengecualikan izin tertentu. Anda juga dapat membuat kebijakan khusus Anda sendiri. Kebijakan adalah dokumen JSON yang menentukan tindakan yang diizinkan untuk dilakukan pengguna dan sumber daya yang diizinkan pengguna untuk melakukan tindakan tersebut. Untuk contoh spesifik, lihat Contoh: Mengizinkan dan menolak tindakan untuk jejak tertentu danContoh: Membuat dan menerapkan kebijakan untuk tindakan pada jalur tertentu.
Daftar Isi
Akses hanya-baca
Contoh berikut menunjukkan kebijakan yang memberikan akses hanya-baca ke jejak. CloudTrail Ini setara dengan kebijakan yang dikelola AWSCloudTrail_ReadOnlyAccess. Ini memberi pengguna izin untuk melihat informasi jejak, tetapi tidak untuk membuat atau memperbarui jejak.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:Get*", "cloudtrail:Describe*", "cloudtrail:List*", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
Dalam pernyataan kebijakan, Effect elemen menentukan apakah tindakan diizinkan atau ditolak. ActionElemen mencantumkan tindakan spesifik yang diizinkan dilakukan pengguna. ResourceElemen mencantumkan AWS sumber daya yang diizinkan pengguna untuk melakukan tindakan tersebut. Untuk kebijakan yang mengontrol akses ke CloudTrail tindakan, Resource elemen biasanya disetel ke*, wildcard yang berarti “semua sumber daya.”
Nilai dalam Action elemen sesuai dengan API yang didukung layanan. Tindakan didahului oleh cloudtrail: untuk menunjukkan bahwa mereka merujuk CloudTrail pada tindakan. Anda dapat menggunakan karakter * wildcard dalam Action elemen, seperti dalam contoh berikut:
-
"Action": ["cloudtrail:*Logging"]Ini memungkinkan semua CloudTrail tindakan yang diakhiri dengan “Logging” (
StartLogging,StopLogging). -
"Action": ["cloudtrail:*"]Ini memungkinkan semua CloudTrail tindakan, tetapi bukan tindakan untuk AWS layanan lain.
-
"Action": ["*"]Ini memungkinkan semua AWS tindakan. Izin ini cocok untuk pengguna yang bertindak sebagai AWS administrator untuk akun Anda.
Kebijakan hanya-baca tidak memberikan izin pengguna untukCreateTrail,, UpdateTrailStartLogging, dan StopLogging tindakan. Pengguna dengan kebijakan ini tidak diizinkan untuk membuat jejak, memperbarui jejak, atau mengaktifkan dan menonaktifkan log. Untuk daftar CloudTrail tindakan, lihat Referensi AWS CloudTrail API.
Akses penuh
Contoh berikut menunjukkan kebijakan yang memberikan akses penuh ke CloudTrail. Ini setara dengan kebijakan yang dikelola AWSCloudTrail_FullAccess. Ini memberi pengguna izin untuk melakukan semua CloudTrail tindakan. Ini juga memungkinkan pengguna mencatat peristiwa data di Amazon S3 danAWS Lambda, mengelola file di bucket Amazon S3, mengelola CloudWatch cara Log CloudTrail memantau peristiwa log, dan mengelola topik Amazon SNS di akun yang dikaitkan dengan pengguna.
penting
AWSCloudTrail_FullAccessKebijakan atau izin yang setara tidak dimaksudkan untuk dibagikan secara luas di seluruh akun AndaAWS. Pengguna dengan peran ini atau akses yang setara memiliki kemampuan untuk menonaktifkan atau mengkonfigurasi ulang fungsi audit yang paling sensitif dan penting di akun merekaAWS. Untuk alasan ini, kebijakan ini harus diterapkan hanya untuk administrator akun, dan penggunaan kebijakan ini harus dikontrol dan dipantau secara ketat.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:SetTopicAttributes", "sns:GetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy" ], "Resource": [ "arn:aws:s3:::aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudtrail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "dynamodb:ListGlobalTables", "dynamodb:ListTables" ], "Resource": "*" } ] }
Memberikan izin untuk melihat AWS Config informasi di konsol CloudTrail
Anda dapat melihat informasi peristiwa di CloudTrail konsol, termasuk sumber daya yang terkait dengan peristiwa tersebut. Untuk sumber daya ini, Anda dapat memilih AWS Config ikon untuk melihat garis waktu sumber daya tersebut di AWS Config konsol. Lampirkan kebijakan ini ke pengguna Anda untuk memberi mereka akses hanya-bacaAWS Config. Kebijakan tidak memberi mereka izin untuk mengubah setelanAWS Config.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:List*" ], "Resource": "*" }] }
Untuk informasi selengkapnya, lihat Melihat sumber daya yang direferensikan dengan AWS Config.
Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail
Anda dapat melihat dan mengonfigurasi pengiriman peristiwa ke CloudWatch Log di CloudTrail konsol jika Anda memiliki izin yang memadai. Ini adalah izin yang mungkin di luar yang diberikan untuk CloudTrail administrator. Lampirkan kebijakan ini ke administrator yang akan mengonfigurasi dan mengelola CloudTrail integrasi dengan CloudWatch Log. Kebijakan ini tidak memberi mereka izin di dalam CloudTrail atau di CloudWatch Log secara langsung, tetapi memberikan izin yang diperlukan untuk membuat dan mengonfigurasi peran yang CloudTrail akan diambil agar berhasil mengirimkan peristiwa ke grup Log Anda CloudWatch .
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }] }
Untuk informasi selengkapnya, lihat Pemantauan CloudTrail Log Files dengan Amazon CloudWatch Log.
Informasi tambahan
Untuk mempelajari lebih lanjut tentang menggunakan IAM untuk memberikan identitas, seperti pengguna dan peran, akses ke sumber daya di akun Anda, lihat Memulai dan Mengelola akses untuk AWS sumber daya di Panduan Pengguna IAM.
