Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis identitas untuk AWS CloudTrail
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi CloudTrail sumber daya. Mereka juga tidak dapat melakukan tugas dengan menggunakan AWS Management Console, AWS Command Line Interface (AWS CLI), atau AWS API. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM. Administrator kemudian akan dapat menambahkan kebijakan IAM ke peran, dan pengguna dapat mengambil peran.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM.
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh CloudTrail, termasuk format ARN untuk setiap jenis sumber daya, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS CloudTrail dalam Referensi Otorisasi Layanan.
Topik
- Praktik terbaik kebijakan
- Contoh: Mengizinkan dan menolak tindakan untuk jejak tertentu
- Contoh: Membuat dan menerapkan kebijakan untuk tindakan pada jalur tertentu
- Contoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag
- Menggunakan konsol CloudTrail
- Izinkan para pengguna untuk melihat izin mereka sendiri
- Memberikan izin khusus untuk pengguna CloudTrail
Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus CloudTrail sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
-
Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan kebijakan AWS terkelola yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan terkelola AWS pelanggan yang spesifik untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat Kebijakan yang dikelola AWS atau Kebijakan yang dikelola AWS untuk fungsi tugas dalam Panduan Pengguna IAM.
-
Menerapkan izin dengan hak akses paling rendah – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai izin dengan hak akses paling rendah. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat Kebijakan dan izin dalam IAM dalam Panduan Pengguna IAM.
-
Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti AWS CloudFormation. Untuk informasi selengkapnya, lihat Elemen kebijakan JSON IAM: Kondisi dalam Panduan Pengguna IAM.
-
Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat Validasi kebijakan IAM Access Analyzer dalam Panduan Pengguna IAM.
-
Memerlukan otentikasi multi-faktor (MFA) - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi akses API yang dilindungi MFA dalam Panduan Pengguna IAM.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat Praktik terbaik keamanan dalam IAM dalam Panduan Pengguna IAM.
CloudTrail tidak memiliki kunci konteks khusus layanan yang dapat Anda gunakan dalam Condition elemen pernyataan kebijakan.
Contoh: Mengizinkan dan menolak tindakan untuk jejak tertentu
Contoh berikut menunjukkan kebijakan yang memungkinkan pengguna dengan kebijakan untuk melihat status dan konfigurasi jejak serta memulai dan menghentikan pencatatan untuk jejak bernama My-First-Trail. Jejak ini dibuat di Wilayah Timur AS (Ohio) (Wilayah asalnya) Akun AWS dengan ID 123456789012.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
Contoh berikut menunjukkan kebijakan yang secara eksplisit menolak CloudTrail tindakan untuk jejak apa pun yang tidak bernama My-First-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudtrail:*" ], "NotResource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
Contoh: Membuat dan menerapkan kebijakan untuk tindakan pada jalur tertentu
Anda dapat menggunakan izin dan kebijakan untuk mengontrol kemampuan pengguna untuk melakukan tindakan tertentu pada CloudTrail jejak.
Misalnya, Anda tidak ingin pengguna grup pengembang perusahaan Anda memulai atau menghentikan pencatatan pada jejak tertentu. Namun, Anda mungkin ingin memberi mereka izin untuk melakukan DescribeTrails dan GetTrailStatus tindakan di jalan setapak. Anda ingin pengguna grup pengembang melakukan StartLogging atau StopLogging tindakan pada jalur yang mereka kelola.
Anda dapat membuat dua pernyataan kebijakan dan melampirkannya ke grup pengembang yang Anda buat di IAM. Untuk informasi selengkapnya tentang grup di IAM, lihat Grup IAM di Panduan Pengguna IAM.
Dalam kebijakan pertama, Anda menolak StartLogging dan StopLogging tindakan untuk jejak ARN yang Anda tentukan. Dalam contoh berikut, jejak ARN adalah. arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446057698000", "Effect": "Deny", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail" ] } ] }
Dalam kebijakan kedua, DescribeTrails dan GetTrailStatus tindakan diizinkan pada semua CloudTrail sumber daya:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446072643000", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus" ], "Resource": [ "*" ] } ] }
Jika pengguna grup pengembang mencoba memulai atau menghentikan pencatatan pada jejak yang Anda tentukan dalam kebijakan pertama, pengguna tersebut mendapatkan pengecualian yang ditolak akses. Pengguna grup pengembang dapat memulai dan berhenti masuk pada jalur yang mereka buat dan kelola.
Contoh berikut menunjukkan bahwa grup pengembang dikonfigurasi dalam AWS CLI profil bernamadevgroup. Pertama, pengguna devgroup menjalankan describe-trails perintah.
$ aws --profile devgroup cloudtrail describe-trails
Perintah berhasil diselesaikan dengan output berikut:
{ "trailList": [ { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", "IsMultiRegionTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET", "HomeRegion": "us-east-2" } ] }
Pengguna kemudian menjalankan get-trail-status perintah pada jejak yang Anda tentukan dalam kebijakan pertama.
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
Perintah berhasil diselesaikan dengan output berikut:
{ "LatestDeliveryTime": 1449517556.256, "LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", "LatestNotificationAttemptSucceeded": "", "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", "IsLogging": true, "TimeLoggingStarted": "2015-12-07T19:36:27Z", "StartLoggingTime": 1449516987.685, "StopLoggingTime": 1449516977.332, "LatestNotificationAttemptTime": "", "TimeLoggingStopped": "2015-12-07T19:36:17Z" }
Selanjutnya, pengguna dalam devgroup grup menjalankan stop-logging perintah di jalur yang sama.
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
Perintah mengembalikan pengecualian akses ditolak, seperti berikut ini:
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
Pengguna menjalankan start-logging perintah di jalur yang sama.
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
Sekali lagi perintah mengembalikan akses ditolak pengecualian, seperti berikut ini:
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
Contoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag
Dalam contoh kebijakan berikut, izin untuk membuat penyimpanan data peristiwa dengan CreateEventDataStore ditolak jika setidaknya salah satu dari kondisi berikut tidak terpenuhi:
-
Penyimpanan data acara tidak memiliki kunci tag yang
stagediterapkan pada dirinya sendiri -
Nilai tag panggung tidak
alpha,,betagamma, atauprod.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/stage": "true" } } }, { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/stage": [ "alpha", "beta", "gamma", "prod" ] } } } ] }
Dalam contoh kebijakan berikut, izin untuk menghapus penyimpanan data peristiwa dengan ditolak DeleteEventDataStore adalah jika penyimpanan data peristiwa memiliki stage tag dengan nilaiprod. Kebijakan seperti ini dapat membantu melindungi penyimpanan data peristiwa dari penghapusan yang tidak disengaja.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:DeleteEventDataStore", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
Menggunakan konsol CloudTrail
Untuk mengakses AWS CloudTrail konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang CloudTrail sumber daya di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.
Pemberian izin untuk administrasi CloudTrail
Untuk mengizinkan peran IAM atau pengguna mengelola CloudTrail sumber daya, seperti jejak, penyimpanan data peristiwa, atau saluran, Anda harus memberikan izin eksplisit untuk melakukan tindakan yang terkait dengan tugas. CloudTrail Dalam kebanyakan situasi, Anda dapat menggunakan kebijakan AWS terkelola yang berisi izin yang telah ditentukan sebelumnya.
catatan
Izin yang Anda berikan kepada pengguna untuk melakukan tugas CloudTrail administrasi tidak sama dengan izin yang CloudTrail diperlukan untuk mengirimkan file log ke bucket Amazon S3 atau mengirim pemberitahuan ke topik Amazon SNS. Untuk informasi selengkapnya tentang izin tersebut, lihatKebijakan bucket Amazon S3 untuk CloudTrail.
Jika Anda mengonfigurasi integrasi dengan Amazon CloudWatch Logs, Anda CloudTrail juga memerlukan peran yang dapat diasumsikan untuk mengirimkan peristiwa ke grup CloudWatch log Amazon Logs. Anda harus membuat peran yang CloudTrail menggunakan. Untuk informasi selengkapnya, lihat Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail dan Mengirim acara ke CloudWatch Log.
Kebijakan AWS terkelola berikut tersedia untuk CloudTrail:
-
AWSCloudTrail_FullAccessKebijakan ini menyediakan akses penuh ke CloudTrail tindakan pada CloudTrail sumber daya, seperti jejak, penyimpanan data acara, dan saluran. Kebijakan ini menyediakan izin yang diperlukan untuk membuat, memperbarui, dan menghapus CloudTrail jejak, penyimpanan data peristiwa, dan saluran.
Kebijakan ini juga menyediakan izin untuk mengelola bucket Amazon S3, grup log CloudWatch untuk Log, dan topik Amazon SNS untuk jejak. Namun, kebijakan
AWSCloudTrail_FullAccessterkelola tidak memberikan izin untuk menghapus bucket Amazon S3, grup log CloudWatch untuk Log, atau topik Amazon SNS. Untuk informasi tentang kebijakan terkelola lainnya Layanan AWS, lihat Panduan Referensi Kebijakan AWS Terkelola.catatan
AWSCloudTrail_FullAccessKebijakan ini tidak dimaksudkan untuk dibagikan secara luas di seluruh Anda Akun AWS. Pengguna dengan peran ini dapat mematikan atau mengkonfigurasi ulang fungsi audit yang paling sensitif dan penting di dalamnya. Akun AWS Untuk alasan ini, Anda hanya harus menerapkan kebijakan ini ke administrator akun. Anda harus mengontrol dan memantau penggunaan kebijakan ini dengan cermat.
-
AWSCloudTrail_ReadOnlyAccess— Kebijakan ini memberikan izin untuk melihat CloudTrail konsol, termasuk peristiwa terbaru dan riwayat acara. Kebijakan ini juga memungkinkan Anda untuk melihat jejak yang ada, penyimpanan data acara, dan saluran. Peran dan pengguna dengan kebijakan ini dapat mengunduh riwayat acara, tetapi mereka tidak dapat membuat atau memperbarui jejak, penyimpanan data acara, atau saluran.
Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.
-
Pengguna IAM:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam Membuat peran untuk pengguna IAM dalam Panduan Pengguna IAM.
-
(Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti instruksi dalam Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.
-
Sumber daya tambahan
Untuk mempelajari lebih lanjut tentang menggunakan IAM untuk memberikan identitas, seperti pengguna dan peran, akses ke sumber daya di akun Anda, lihat Menyiapkan dengan IAM dan Manajemen akses untuk AWS sumber daya di Panduan Pengguna IAM.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.
Izinkan para pengguna untuk melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Memberikan izin khusus untuk pengguna CloudTrail
CloudTrail kebijakan memberikan izin kepada pengguna yang bekerja dengan CloudTrail. Jika Anda perlu memberikan izin yang berbeda kepada pengguna, Anda dapat melampirkan CloudTrail kebijakan ke grup IAM atau pengguna. Anda dapat mengedit kebijakan untuk menyertakan atau mengecualikan izin tertentu. Anda juga dapat membuat kebijakan khusus Anda sendiri. Kebijakan adalah dokumen JSON yang menentukan tindakan yang diizinkan untuk dilakukan pengguna dan sumber daya yang diizinkan pengguna untuk melakukan tindakan tersebut. Untuk contoh spesifik, lihat Contoh: Mengizinkan dan menolak tindakan untuk jejak tertentu danContoh: Membuat dan menerapkan kebijakan untuk tindakan pada jalur tertentu.
Daftar Isi
Akses hanya-baca
Contoh berikut menunjukkan kebijakan yang memberikan akses hanya-baca ke jejak. CloudTrail Ini setara dengan kebijakan yang dikelola AWSCloudTrail_ReadOnlyAccess. Ini memberi pengguna izin untuk melihat informasi jejak, tetapi tidak untuk membuat atau memperbarui jejak.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:Get*", "cloudtrail:Describe*", "cloudtrail:List*", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
Dalam pernyataan kebijakan, Effect elemen menentukan apakah tindakan diizinkan atau ditolak. ActionElemen mencantumkan tindakan spesifik yang diizinkan dilakukan pengguna. ResourceElemen mencantumkan AWS sumber daya yang diizinkan pengguna untuk melakukan tindakan tersebut. Untuk kebijakan yang mengontrol akses ke CloudTrail tindakan, Resource elemen biasanya disetel ke*, wildcard yang berarti “semua sumber daya.”
Nilai dalam Action elemen sesuai dengan API yang didukung layanan. Tindakan didahului oleh cloudtrail: untuk menunjukkan bahwa mereka merujuk CloudTrail pada tindakan. Anda dapat menggunakan karakter * wildcard dalam Action elemen, seperti dalam contoh berikut:
-
"Action": ["cloudtrail:*Logging"]Ini memungkinkan semua CloudTrail tindakan yang diakhiri dengan “Logging” (
StartLogging,StopLogging). -
"Action": ["cloudtrail:*"]Ini memungkinkan semua CloudTrail tindakan, tetapi bukan tindakan untuk AWS layanan lain.
-
"Action": ["*"]Ini memungkinkan semua AWS tindakan. Izin ini cocok untuk pengguna yang bertindak sebagai AWS administrator untuk akun Anda.
Kebijakan hanya-baca tidak memberikan izin pengguna untukCreateTrail,, UpdateTrailStartLogging, dan StopLogging tindakan. Pengguna dengan kebijakan ini tidak diizinkan untuk membuat jejak, memperbarui jejak, atau mengaktifkan dan menonaktifkan log. Untuk daftar CloudTrail tindakan, lihat Referensi AWS CloudTrail API.
Akses penuh
Contoh berikut menunjukkan kebijakan yang memberikan akses penuh ke CloudTrail. Ini setara dengan kebijakan yang dikelola AWSCloudTrail_FullAccess. Ini memberi pengguna izin untuk melakukan semua CloudTrail tindakan. Ini juga memungkinkan pengguna mencatat peristiwa data di Amazon S3 dan AWS Lambda, mengelola file di bucket Amazon S3, mengelola CloudWatch cara Log CloudTrail memantau peristiwa log, dan mengelola topik Amazon SNS di akun yang dikaitkan dengan pengguna.
penting
AWSCloudTrail_FullAccessKebijakan atau izin yang setara tidak dimaksudkan untuk dibagikan secara luas di seluruh akun Anda AWS . Pengguna dengan peran ini atau akses yang setara memiliki kemampuan untuk menonaktifkan atau mengkonfigurasi ulang fungsi audit yang paling sensitif dan penting di akun mereka AWS . Untuk alasan ini, kebijakan ini harus diterapkan hanya untuk administrator akun, dan penggunaan kebijakan ini harus dikontrol dan dipantau secara ketat.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:SetTopicAttributes", "sns:GetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy" ], "Resource": [ "arn:aws:s3:::aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudtrail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "dynamodb:ListGlobalTables", "dynamodb:ListTables" ], "Resource": "*" } ] }
Memberikan izin untuk melihat AWS Config informasi di konsol CloudTrail
Anda dapat melihat informasi peristiwa di CloudTrail konsol, termasuk sumber daya yang terkait dengan peristiwa tersebut. Untuk sumber daya ini, Anda dapat memilih AWS Config ikon untuk melihat garis waktu sumber daya tersebut di AWS Config konsol. Lampirkan kebijakan ini ke pengguna Anda untuk memberi mereka akses hanya-baca AWS Config . Kebijakan tidak memberi mereka izin untuk mengubah setelan AWS Config.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:List*" ], "Resource": "*" }] }
Untuk informasi selengkapnya, lihat Melihat sumber daya yang direferensikan dengan AWS Config.
Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail
Anda dapat melihat dan mengonfigurasi pengiriman peristiwa ke CloudWatch Log di CloudTrail konsol jika Anda memiliki izin yang memadai. Ini adalah izin yang mungkin di luar yang diberikan untuk CloudTrail administrator. Lampirkan kebijakan ini ke administrator yang akan mengonfigurasi dan mengelola CloudTrail integrasi dengan CloudWatch Log. Kebijakan ini tidak memberi mereka izin di dalam CloudTrail atau di CloudWatch Log secara langsung, tetapi memberikan izin yang diperlukan untuk membuat dan mengonfigurasi peran yang CloudTrail akan diambil agar berhasil mengirimkan peristiwa ke grup Log Anda CloudWatch .
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }] }
Untuk informasi selengkapnya, lihat Memantau File CloudTrail Log dengan CloudWatch Log Amazon.
Informasi tambahan
Untuk mempelajari lebih lanjut tentang menggunakan IAM untuk memberikan identitas, seperti pengguna dan peran, akses ke sumber daya di akun Anda, lihat Memulai dan Mengelola akses untuk AWS sumber daya di Panduan Pengguna IAM.
