Guida introduttiva ai AWS CloudTrail tutorial - AWS CloudTrail
Concedi le autorizzazioni di utilizzo CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Guida introduttiva ai AWS CloudTrail tutorial

Se non lo conosci AWS CloudTrail, questi tutorial possono aiutarti a imparare a usare le sue funzionalità. Per utilizzare CloudTrail le funzionalità, devi disporre delle autorizzazioni adeguate. Questa pagina descrive le politiche gestite disponibili CloudTrail e fornisce informazioni su come concedere le autorizzazioni.

Esempi:

Concedi le autorizzazioni di utilizzo CloudTrail

Per creare, aggiornare e gestire CloudTrail risorse come percorsi, archivi di dati di eventi e canali, devi concedere le autorizzazioni di utilizzo. CloudTrail Questa sezione fornisce informazioni sulle politiche gestite disponibili per CloudTrail.

Nota

Le autorizzazioni concesse agli utenti per eseguire attività di CloudTrail amministrazione non sono le stesse autorizzazioni CloudTrail necessarie per inviare file di log ai bucket Amazon S3 o inviare notifiche ad argomenti di Amazon SNS. Per ulteriori informazioni su queste autorizzazioni, consulta Policy sui bucket Amazon S3 per CloudTrail.

Se configuri l'integrazione con Amazon CloudWatch Logs, richiede CloudTrail anche un ruolo che può assumere per fornire eventi a un gruppo di log di Amazon CloudWatch Logs. È necessario creare il ruolo che CloudTrail utilizza. Per ulteriori informazioni, consulta Concessione dell'autorizzazione a visualizzare e configurare le informazioni di Amazon CloudWatch Logs sulla console CloudTrail e Invio di eventi ai CloudWatch registri.

Le seguenti politiche AWS gestite sono disponibili per CloudTrail:

  • AWSCloudTrail_FullAccess— Questa policy fornisce l'accesso completo alle CloudTrail azioni sulle CloudTrail risorse, come percorsi, archivi di dati sugli eventi e canali. Questa politica fornisce le autorizzazioni necessarie per creare, aggiornare ed eliminare CloudTrail percorsi, archivi dati di eventi e canali.

    Questa policy fornisce anche le autorizzazioni per gestire il bucket Amazon S3, il gruppo di log CloudWatch per Logs e un argomento Amazon SNS per un trail. Tuttavia, la policy AWSCloudTrail_FullAccess gestita non fornisce le autorizzazioni per eliminare il bucket Amazon S3, il gruppo di log CloudWatch per Logs o un argomento di Amazon SNS. Per informazioni sulle politiche gestite per altri AWS servizi, consulta la Managed Policy Reference Guide AWS .

    Nota

    Il AWSCloudTrail_FullAccessla politica non è pensata per essere condivisa ampiamente tra i tuoi Account AWS. Gli utenti con questo ruolo hanno la possibilità di disattivare o riconfigurare le funzioni di auditing più sensibili e importanti negli Account AWS. Per questo motivo, è necessario applicare questa policy solo agli amministratori degli account. È necessario controllare e monitorare attentamente l'uso di questa policy.

  • AWSCloudTrail_ReadOnlyAccess— Questa politica concede le autorizzazioni per visualizzare la CloudTrail console, inclusi gli eventi recenti e la cronologia degli eventi. Questa policy consente inoltre di visualizzare percorsi, datastore di eventi e canali esistenti. I ruoli e gli utenti con questa policy possono scaricare la cronologia degli eventi, ma non possono creare o aggiornare percorsi, datastore di eventi o canali.

Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:

  • Utenti e gruppi in: AWS IAM Identity Center

    Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .

  • Utenti gestiti in IAM tramite un provider di identità:

    Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.

  • Utenti IAM: