Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy basate sull'identità per AWS CloudTrail
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare CloudTrail risorse. Inoltre, non possono eseguire attività utilizzando AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS l'API. Per concedere agli utenti l'autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM. L'amministratore può quindi aggiungere le policy IAM ai ruoli e gli utenti possono assumere i ruoli.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta Creazione di policy IAM nella Guida per l'utente di IAM.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da CloudTrail, incluso il formato degli ARN per ciascun tipo di risorsa, consulta Actions, Resources and Condition Keys AWS CloudTrail nel Service Authorization Reference.
Argomenti
- Best practice per le policy
- Esempio: permettere e negare operazioni per un percorso specifico
- Esempi: creazione e applicazione di policy per le operazioni su percorsi specifici
- Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag
- Utilizzo della console di CloudTrail
- Consentire agli utenti di visualizzare le loro autorizzazioni
- Concessione di autorizzazioni personalizzate per gli utenti CloudTrail
Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare CloudTrail risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:
-
Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Policy gestite da AWSo Policy gestite da AWS per le funzioni dei processi nella Guida per l'utente IAM.
-
Applica le autorizzazioni con privilegio minimo: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente IAM.
-
Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso: per limitare l'accesso a operazioni e risorse puoi aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.
-
Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle policy per IAM Access Analyzer nella Guida per l'utente IAM.
-
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta Configurazione dell'accesso alle API protetto con MFA nella Guida per l'utente IAM.
Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l'utente di IAM.
CloudTrail non dispone di chiavi contestuali specifiche del servizio che è possibile utilizzare nell'elemento delle Condition dichiarazioni politiche.
Esempio: permettere e negare operazioni per un percorso specifico
L'esempio seguente mostra una policy che consente agli utenti con questa policy di visualizzare lo stato e la configurazione di un percorso e avviare e arrestare la registrazione di un percorso denominato My-First-Trail. Questo percorso è stato creato nella regione degli Stati Uniti orientali (Ohio) (la sua regione d'origine) Account AWS con l'ID 123456789012.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
L'esempio seguente mostra una politica che CloudTrail nega esplicitamente le azioni per qualsiasi percorso non denominato My-First-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudtrail:*" ], "NotResource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
Esempi: creazione e applicazione di policy per le operazioni su percorsi specifici
È possibile utilizzare autorizzazioni e politiche per controllare la capacità di un utente di eseguire azioni specifiche sui sentieri. CloudTrail
Ad esempio, non vuoi che gli utenti del gruppo di sviluppatori della tua azienda avviino o arrestino la registrazione su un determinato percorso. Tuttavia, potresti voler concedere loro l'autorizzazione a eseguire le azioni DescribeTrails e GetTrailStatus lungo il percorso. Vuoi che gli utenti del gruppo di sviluppatori possano eseguire l'operazione StartLogging o StopLogging sui trail che gestiscono.
Puoi creare due istruzioni di policy e quindi collegarle al gruppo di sviluppatori creato in IAM. Per ulteriori informazioni sui gruppi in IAM, consulta Gruppi IAM nella Guida per l'utente di IAM.
Nella prima policy neghi l'autorizzazione per le operazioni StartLogging e StopLogging per l'ARN del trail specificato. Nell'esempio seguente, l'ARN del trail è arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446057698000", "Effect": "Deny", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail" ] } ] }
Nella seconda policy, le GetTrailStatus azioni DescribeTrails e sono consentite su tutte le CloudTrail risorse:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446072643000", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus" ], "Resource": [ "*" ] } ] }
Se un utente del gruppo di sviluppatori cerca di avviare o arrestare la registrazione per il trail specificato nella prima policy, all'utente viene restituita un'eccezione di accesso negato. Gli utenti del gruppo di sviluppatori possono avviare e arrestare la registrazione per i trail che creano e gestiscono.
Gli esempi seguenti mostrano che il gruppo di sviluppatori configurato ha un AWS CLI profilo denominatodevgroup. In primo luogo, un utente di devgroup esegue il comando describe-trails.
$ aws --profile devgroup cloudtrail describe-trails
Se il comando viene completato correttamente, l'output è il seguente:
{ "trailList": [ { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", "IsMultiRegionTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET", "HomeRegion": "us-east-2" } ] }
L'utente esegue quindi il comando get-trail-status sul trail specificato nella prima policy.
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
Se il comando viene completato correttamente, l'output è il seguente:
{ "LatestDeliveryTime": 1449517556.256, "LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", "LatestNotificationAttemptSucceeded": "", "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", "IsLogging": true, "TimeLoggingStarted": "2015-12-07T19:36:27Z", "StartLoggingTime": 1449516987.685, "StopLoggingTime": 1449516977.332, "LatestNotificationAttemptTime": "", "TimeLoggingStopped": "2015-12-07T19:36:17Z" }
Quindi, un utente nel gruppo devgroup esegue il comando stop-logging sullo stesso percorso.
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
Il comando restituisce un'eccezione di accesso negato, come la seguente:
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
L'utente esegue il comando start-logging sullo stesso trail.
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
Anche in questo caso il comando restituisce un'eccezione di accesso negato, come la seguente:
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag
Nel seguente esempio di policy, l'autorizzazione per creare un datastore di eventi con CreateEventDataStore viene negata se almeno una delle seguenti condizioni non è soddisfatta:
-
Il datastore di eventi non ha una chiave di tag di
stageapplicata a se stesso -
Il valore del tag stage non è
alpha,beta,gammaoprod.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/stage": "true" } } }, { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/stage": [ "alpha", "beta", "gamma", "prod" ] } } } ] }
Nel seguente esempio di policy, l'autorizzazione per eliminare un datastore di eventi con DeleteEventDataStore viene negata se il datatore in questione ha il tag stage applicato con un valore di prod. Una policy simile può contribuire a proteggere un datastore di eventi dall'eliminazione accidentale.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:DeleteEventDataStore", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
Utilizzo della console di CloudTrail
Per accedere alla AWS CloudTrail console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle CloudTrail risorse del tuo. Account AWS Se crei una policy basata sull'identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, concedi l'accesso solo alle operazioni che corrispondono all'operazione API che stanno cercando di eseguire.
Concessione delle autorizzazioni per l'amministrazione CloudTrail
Per consentire ai ruoli o agli utenti IAM di amministrare una CloudTrail risorsa, come un percorso, un archivio dati di eventi o un canale, devi concedere autorizzazioni esplicite per eseguire le azioni associate alle attività. CloudTrail Nella maggior parte dei casi, puoi utilizzare una policy AWS gestita che contiene autorizzazioni predefinite.
Nota
Le autorizzazioni concesse agli utenti per eseguire attività di CloudTrail amministrazione non sono le stesse autorizzazioni CloudTrail necessarie per inviare file di log ai bucket Amazon S3 o inviare notifiche ad argomenti di Amazon SNS. Per ulteriori informazioni su queste autorizzazioni, consulta Policy sui bucket Amazon S3 per CloudTrail.
Se configuri l'integrazione con Amazon CloudWatch Logs, richiede CloudTrail anche un ruolo che può assumere per fornire eventi a un gruppo di log di Amazon CloudWatch Logs. È necessario creare il ruolo che CloudTrail utilizza. Per ulteriori informazioni, consulta Concessione dell'autorizzazione a visualizzare e configurare le informazioni di Amazon CloudWatch Logs sulla console CloudTrail e Invio di eventi ai CloudWatch registri.
Le seguenti politiche AWS gestite sono disponibili per CloudTrail:
-
AWSCloudTrail_FullAccess— Questa policy fornisce l'accesso completo alle CloudTrail azioni sulle CloudTrail risorse, come percorsi, archivi di dati sugli eventi e canali. Questa politica fornisce le autorizzazioni necessarie per creare, aggiornare ed eliminare CloudTrail percorsi, archivi dati di eventi e canali.
Questa policy fornisce anche le autorizzazioni per gestire il bucket Amazon S3, il gruppo di log CloudWatch per Logs e un argomento Amazon SNS per un trail. Tuttavia, la policy
AWSCloudTrail_FullAccessgestita non fornisce le autorizzazioni per eliminare il bucket Amazon S3, il gruppo di log CloudWatch per Logs o un argomento di Amazon SNS. Per informazioni sulle politiche gestite per altri Servizi AWS, consulta la Managed Policy Reference Guide AWS .Nota
La AWSCloudTrail_FullAccesspolicy non è pensata per essere condivisa su larga scala tra i tuoi Account AWS. Gli utenti con questo ruolo hanno la possibilità di disattivare o riconfigurare le funzioni di auditing più sensibili e importanti negli Account AWS. Per questo motivo, è necessario applicare questa policy solo agli amministratori degli account. È necessario controllare e monitorare attentamente l'uso di questa policy.
-
AWSCloudTrail_ReadOnlyAccess— Questo criterio concede le autorizzazioni per visualizzare la CloudTrail console, inclusi gli eventi recenti e la cronologia degli eventi. Questa policy consente inoltre di visualizzare percorsi, datastore di eventi e canali esistenti. I ruoli e gli utenti con questa policy possono scaricare la cronologia degli eventi, ma non possono creare o aggiornare percorsi, datastore di eventi o canali.
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.
-
Utenti IAM:
-
Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.
-
Risorse aggiuntive
Per saperne di più sull'utilizzo di IAM per fornire alle identità, come utenti e ruoli, l'accesso alle risorse del tuo account, consulta la sezione Configurazione con IAM and Access management for AWS resources in the IAM User Guide.
Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso l'API AWS CLI o la AWS stessa. Al contrario, puoi accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.
Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono cpllegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Concessione di autorizzazioni personalizzate per gli utenti CloudTrail
CloudTrail le politiche concedono le autorizzazioni agli utenti con cui collabora. CloudTrail Se devi concedere autorizzazioni diverse agli utenti, puoi allegare una CloudTrail policy a un gruppo IAM o a un utente. Puoi modificare la policy in modo da includere o escludere autorizzazioni specifiche. Puoi anche creare policy personalizzate. Le policy sono documenti JSON che definiscono le operazioni che un utente può eseguire e le risorse su cui l'utente può eseguire tali operazioni. Per esempi specifici, consulta Esempio: permettere e negare operazioni per un percorso specifico e Esempi: creazione e applicazione di policy per le operazioni su percorsi specifici.
Indice
- Accesso in sola lettura
- Accesso completo ad
- Concessione dell'autorizzazione alla visualizzazione delle AWS Config informazioni sulla console CloudTrail
- Concessione dell'autorizzazione a visualizzare e configurare le informazioni di Amazon CloudWatch Logs sulla console CloudTrail
- Informazioni aggiuntive
Accesso in sola lettura
L'esempio seguente mostra una politica che garantisce l'accesso in sola lettura ai percorsi. CloudTrail Questo è equivalente alla policy gestita AWSCloudTrail_ReadOnlyAccess. Questa policy consente di concedere agli utenti l'autorizzazione per visualizzare le informazioni contenute nei trail, ma non di creare o aggiornare i trail.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:Get*", "cloudtrail:Describe*", "cloudtrail:List*", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
Nelle istruzioni della policy, l'elemento Effect specifica se le operazioni sono consentite o negate. L'elemento Action elenca le operazioni specifiche che l'utente è autorizzato a eseguire. L'Resourceelemento elenca le AWS risorse su cui l'utente è autorizzato a eseguire tali azioni. Per le politiche che controllano l'accesso alle CloudTrail azioni, l'Resourceelemento è in genere impostato su*, un carattere jolly che significa «tutte le risorse».
I valori nell'elemento Action corrispondono alle API supportate dai servizi. Le azioni sono precedute da un che indica che si riferiscono cloudtrail: ad azioni. CloudTrail Puoi utilizzare il carattere jolly * nell'elemento Action, come negli esempi seguenti:
-
"Action": ["cloudtrail:*Logging"]Ciò consente tutte le CloudTrail azioni che terminano con «Logging» (
StartLogging,).StopLogging -
"Action": ["cloudtrail:*"]Ciò consente tutte le CloudTrail azioni, ma non le azioni per altri AWS servizi.
-
"Action": ["*"]Ciò consente tutte le AWS azioni. Questa autorizzazione è adatta per un utente che funge da amministratore AWS per il tuo account.
La policy di sola lettura non concede autorizzazioni utente per le operazioni CreateTrail, UpdateTrail, StartLogging e StopLogging. Gli utenti associati a questa policy non saranno autorizzati a creare trail, aggiornare trai o attivare e disattivare la registrazione. Per l'elenco delle CloudTrail azioni, consulta l'AWS CloudTrail API Reference.
Accesso completo ad
L'esempio seguente mostra una politica che garantisce l'accesso completo a CloudTrail. Questo è equivalente alla policy gestita AWSCloudTrail_FullAccess. Concede agli utenti il permesso di eseguire tutte le CloudTrail azioni. Consente inoltre agli utenti di registrare gli eventi relativi ai dati in Amazon S3 e AWS Lambda di gestire i file nei bucket Amazon S3, gestire il CloudWatch modo in cui Logs CloudTrail monitora gli eventi di registro e gestire gli argomenti di Amazon SNS nell'account a cui l'utente è associato.
Importante
La AWSCloudTrail_FullAccesspolicy o le autorizzazioni equivalenti non sono pensate per essere condivise ampiamente tra i tuoi account. AWS Gli utenti con questo ruolo o un accesso equivalente hanno la possibilità di disabilitare o riconfigurare le funzioni di controllo più sensibili e importanti nei propri account. AWS Per questo motivo, questa policy deve essere applicata solo agli amministratori dell'account e l'utilizzo di questa policy deve essere strettamente controllato e monitorato.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:SetTopicAttributes", "sns:GetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy" ], "Resource": [ "arn:aws:s3:::aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudtrail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "dynamodb:ListGlobalTables", "dynamodb:ListTables" ], "Resource": "*" } ] }
Concessione dell'autorizzazione alla visualizzazione delle AWS Config informazioni sulla console CloudTrail
È possibile visualizzare le informazioni sull'evento sulla CloudTrail console, incluse le risorse correlate a tale evento. Per queste risorse, puoi scegliere l' AWS Config icona per visualizzare la sequenza temporale di quella risorsa nella AWS Config console. Allega questa politica ai tuoi utenti per concedere loro l'accesso in sola lettura AWS Config . Tuttavia, la policy non concede l'autorizzazione per modificare le impostazioni in AWS Config.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:List*" ], "Resource": "*" }] }
Per ulteriori informazioni, consulta Visualizzazione di risorse a cui viene fatto riferimento tramite AWS Config.
Concessione dell'autorizzazione a visualizzare e configurare le informazioni di Amazon CloudWatch Logs sulla console CloudTrail
Puoi visualizzare e configurare la consegna degli eventi a CloudWatch Logs nella CloudTrail console se disponi di autorizzazioni sufficienti. Si tratta di autorizzazioni che possono essere superiori a quelle concesse agli amministratori. CloudTrail Allega questa policy agli amministratori che configureranno e gestiranno CloudTrail l'integrazione con Logs. CloudWatch La politica non concede loro le autorizzazioni nei CloudTrail o nei CloudWatch Logs direttamente, ma concede invece le autorizzazioni necessarie per creare e configurare il ruolo che CloudTrail assumerà per fornire correttamente gli eventi al tuo gruppo Logs. CloudWatch
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }] }
Per ulteriori informazioni, consulta Monitoraggio dei file di CloudTrail registro con Amazon CloudWatch Logs.
Informazioni aggiuntive
Per saperne di più sull'utilizzo di IAM per fornire alle identità, come utenti e ruoli, l'accesso alle risorse del tuo account, consulta Getting started e Access management for AWS resources nella IAM User Guide.
