Utilizzo di ruoli collegati ai servizi per AWS CloudTrail

AWS CloudTrail utilizza ruoli collegati al servizio AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo di ruolo IAM univoco collegato direttamente a CloudTrail. I ruoli collegati al servizio sono definiti automaticamente da CloudTrail e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per tuo conto.

Un ruolo collegato al servizio semplifica la configurazione di CloudTrail perché non è necessario aggiungere manualmente le autorizzazioni necessarie. CloudTrail definisce le autorizzazioni dei ruoli collegati al servizio e, salvo diversamente definito, solo CloudTrail può assumere i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano Sì nella colonna Ruolo associato ai servizi. Scegli un link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato al servizio per CloudTrail

CloudTrail utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudTrail: questo ruolo collegato al servizio viene utilizzato per supportare la caratteristica del percorso dell'organizzazione.

Ai fini dell'assunzione del ruolo, il ruolo collegato al servizio AWSServiceRoleForCloudTrail considera attendibili i seguenti servizi:

• cloudtrail.amazonaws.com

Questo ruolo è utilizzato per supportare la creazione e la gestione di percorsi dell'organizzazione in CloudTrail. Per ulteriori informazioni, consulta Creazione di un percorso per un'organizzazione.

La policy delle autorizzazioni del ruolo permette a CloudTrail di eseguire le seguenti operazioni sulle risorse specificate:

• Operazioni su tutte le risorse CloudTrail:

  • All

• Operazioni su tutte le risorse di Organizations:

  • organizations:DescribeAccount

  • organizations:DescribeOrganizations

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

• Azioni su tutte le risorse di Organizations per il servizio principale di CloudTrail:

  • organizations:ListDelegatedAdministrators

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato al servizio per CloudTrail

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un percorso dell'organizzazione nella AWS Management Console, nella AWS CLI o nell'API AWS, CloudTrail crea il ruolo collegato al servizio per conto dell'utente.

Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei un percorso dell'organizzazione, CloudTrail crea nuovamente il ruolo collegato al servizio per conto dell'utente.

Modifica di un ruolo collegato al servizio per CloudTrail

CloudTrail non permette di modificare il ruolo collegato al servizio AWSServiceRoleForCloudTrail. Dopo aver creato un ruolo collegato ai servizi, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato al servizio per CloudTrail

Non è necessario eliminare manualmente il ruolo AWSServiceRoleForCloudTrail. Se un account AWS viene rimosso da un'organizzazione Organizations, il ruolo AWSServiceRoleForCloudTrail viene rimosso automaticamente da tale account AWS. Non puoi distaccare o rimuovere policy dal ruolo collegato al servizio AWSServiceRoleForCloudTrail in un account di gestione dell'organizzazione senza rimuovere l'account dall'organizzazione.

Per eliminare manualmente il ruolo collegato al servizio, puoi utilizzare anche la console IAM, la AWS CLI o l'API AWS. Per farlo, devi prima effettuare manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi puoi eliminarlo manualmente.

Nota

Se il servizio CloudTrail utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per rimuovere una risorsa utilizzata dal ruolo AWSServiceRoleForCloudTrail, puoi eseguire una delle operazioni seguenti:

• Rimuovi l'account AWS dall'organizzazione in Organizations.

• Aggiornare il trail che non è più il trail di un'organizzazione.

• Eliminare il trail.

Per ulteriori informazioni, consulta Creazione di un percorso per un'organizzazione, Aggiornamento di un percorso e Eliminazione di un trail.

Per eliminare manualmente il ruolo collegato ai servizi utilizzando IAM

Utilizza la console IAM, la AWS CLI o l'API AWS per eliminare il ruolo collegato al servizio AWSServiceRoleForCloudTrail. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Regioni supportate per i ruoli collegati al servizio CloudTrail

CloudTrail supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui CloudTrail e Organizations sono entrambi disponibili. Per ulteriori informazioni, consulta Regioni ed endpoint di AWS.