Utilizzo di ruoli collegati ai servizi per AWS CloudTrail

AWS CloudTrail utilizza ruoli collegati al servizio AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo di ruolo IAM univoco collegato direttamente a CloudTrail. I ruoli collegati al servizio sono definiti automaticamente da CloudTrail e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri Servizi AWS per tuo conto.

Un ruolo collegato al servizio semplifica la configurazione di CloudTrail perché non è necessario aggiungere manualmente le autorizzazioni necessarie. CloudTrail definisce le autorizzazioni dei ruoli collegati al servizio e, salvo diversamente definito, solo CloudTrail può assumere i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano Sì nella colonna Ruolo associato ai servizi. Scegli un link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato al servizio per CloudTrail

CloudTrail utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudTrail: questo ruolo collegato al servizio viene utilizzato per supportare i percorsi e i datastore di eventi dell'organizzazione.

Ai fini dell'assunzione del ruolo, il ruolo collegato al servizio AWSServiceRoleForCloudTrail considera attendibili i seguenti servizi:

• cloudtrail.amazonaws.com

Questo ruolo viene utilizzato per supportare la creazione e la gestione di percorsi dell'organizzazione CloudTrail e datastore di eventi dell'organizzazione CloudTrail Lake in CloudTrail. Per ulteriori informazioni, consulta Creazione di un percorso per un'organizzazione.

La policy CloudTrailServiceRolePolicy collegata al ruolo consente a CloudTrail di completare le seguenti operazioni sulle risorse specificate:

• Operazioni su tutte le risorse CloudTrail:

  • All

• Operazione su tutte le risorse AWS Organizations:

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

• Operazioni su tutte le risorse Organizations per fare in modo che il principale del servizio CloudTrail elenchi gli amministratori delegati dell'organizzazione:

  • organizations:ListDelegatedAdministrators

• Operazioni per disabilitare la federazione di Lake in un datastore di eventi dell'organizzazione:

  • glue:DeleteTable

  • lakeformation:DeRegisterResource

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato al servizio per CloudTrail

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un percorso o un datastore di eventi dell'organizzazione o aggiungi un amministratore delegato nella console CloudTrail o utilizzando la AWS CLI o l'operazione API, CloudTrail crea il ruolo collegato al servizio per tuo conto, se non esiste già.

Se devi ricreare un ruolo collegato ai servizi che hai precedentemente eliminato, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando crei un percorso o un datastore di eventi dell'organizzazione o aggiungi un amministratore delegato, CloudTrail crea di nuovo il ruolo collegato al servizio per tuo conto.

Modifica di un ruolo collegato al servizio per CloudTrail

CloudTrail non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForCloudTrail. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato al servizio per CloudTrail

Non è necessario eliminare manualmente il ruolo AWSServiceRoleForCloudTrail. Se un Account AWS viene rimosso da un'organizzazione Organizations, il ruolo AWSServiceRoleForCloudTrail viene rimosso automaticamente da tale Account AWS. Non puoi distaccare o rimuovere policy dal ruolo collegato al servizio AWSServiceRoleForCloudTrail in un account di gestione dell'organizzazione senza rimuovere l'account dall'organizzazione.

Per eliminare manualmente il ruolo collegato al servizio, puoi utilizzare anche la console IAM, la AWS CLI o l'API AWS. Per farlo, devi prima effettuare manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi puoi eliminarlo manualmente.

Nota

Se il servizio CloudTrail utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per rimuovere una risorsa utilizzata da quel ruolo AWSServiceRoleForCloudTrail, è possibile eseguire una delle operazioni seguenti:

• Rimuovi l'Account AWS dall'organizzazione in Organizations.

• Aggiornare il trail che non è più il trail di un'organizzazione. Per ulteriori informazioni, consulta Aggiornamento di un percorso.

• Aggiorna il datastore di eventi in modo che non sia più un datastore di eventi dell'organizzazione. Per ulteriori informazioni, consulta Aggiornamento di un archivio di dati degli eventi.

• Eliminare il trail. Per ulteriori informazioni, consulta Eliminazione di un trail.

• Elimina il datastore di eventi. Per ulteriori informazioni, consulta Eliminazione di un archivio di dati degli eventi.

Eliminazione manuale del ruolo collegato al servizio con IAM

Utilizza la console IAM, la AWS CLI o l'API AWS per eliminare il ruolo collegato ai servizi AWSServiceRoleForCloudTrail. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Regioni supportate per i ruoli collegati al servizio CloudTrail

CloudTrail supporta l'utilizzo di ruoli collegati al servizio in tutte le Regioni AWS in cui sono disponibili sia CloudTrail che Organizations. Per ulteriori informazioni, consulta Endpoint Servizio AWS nella Riferimenti generali di AWS.