Autorizzazioni di ruolo collegate ai servizi per CloudTrail Creazione di un ruolo collegato al servizio per CloudTrail Modifica di un ruolo collegato al servizio per CloudTrail Eliminazione di un ruolo collegato al servizio per CloudTrail Regioni supportate per i ruoli collegati ai servizi CloudTrail

Utilizzo di ruoli collegati ai servizi per AWS CloudTrail

AWS CloudTrail utilizza AWS Identity and Access Management (IAM) ruoli collegati al servizio. Un ruolo collegato al servizio è un tipo unico di IAM ruolo a cui è collegato direttamente. CloudTrail I ruoli collegati al servizio sono predefiniti CloudTrail e includono tutte le autorizzazioni richieste dal servizio per chiamare altri utenti per conto dell'utente. Servizi AWS

Un ruolo collegato al servizio semplifica la configurazione CloudTrail perché non è necessario aggiungere manualmente le autorizzazioni necessarie. CloudTrail definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. CloudTrail Le autorizzazioni definite includono la politica di attendibilità e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, vedi AWS Servizi che funzionano con IAM e cerca i servizi con Sì nella colonna Ruolo collegato ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate ai servizi per CloudTrail

CloudTrail utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudTrail: questo ruolo collegato al servizio viene utilizzato per supportare gli itinerari organizzativi e gli archivi dati degli eventi organizzativi.

Il ruolo AWSServiceRoleForCloudTrail collegato al servizio prevede che i seguenti servizi assumano il ruolo:

cloudtrail.amazonaws.com

Questo ruolo viene utilizzato per supportare la creazione e la gestione di percorsi CloudTrail organizzativi e archivi di dati sugli eventi di CloudTrail Lake Organization. CloudTrail Per ulteriori informazioni, consulta Creazione di un percorso per un'organizzazione.

La CloudTrailServiceRolePolicypolitica allegata al ruolo consente di CloudTrail completare le seguenti azioni sulle risorse specificate:

Azioni su tutte le CloudTrail risorse:
- All
Azioni su tutte le AWS Organizations risorse:
- organizations:DescribeAccount
- organizations:DescribeOrganization
- organizations:ListAccounts
- organizations:ListAWSServiceAccessForOrganization
Azioni su tutte le risorse di Organizations per il responsabile del CloudTrail servizio per elencare gli amministratori delegati dell'organizzazione:
- organizations:ListDelegatedAdministrators
Operazioni per disabilitare la federazione di Data Lake in un datastore di eventi dell'organizzazione:
- glue:DeleteTable
- lakeformation:DeRegisterResource

È necessario configurare le autorizzazioni per consentire a un'IAMentità (ad esempio un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta la sezione Autorizzazioni relative ai ruoli collegati ai servizi nella Guida per l'utente. IAM

Creazione di un ruolo collegato al servizio per CloudTrail

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando si crea un percorso organizzativo o un data store per eventi organizzativi, si aggiunge un amministratore delegato nella CloudTrail console o si utilizza l'APIoperazione AWS CLI or, CloudTrail viene creato automaticamente il ruolo collegato al servizio, se non esiste già.

Se devi ricreare un ruolo collegato ai servizi che hai precedentemente eliminato, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando crei un organization trail o un organization event data store o aggiungi un amministratore delegato, CloudTrail crea nuovamente il ruolo collegato ai servizi.

Modifica di un ruolo collegato al servizio per CloudTrail

CloudTrail non consente di modificare il ruolo collegato al AWSServiceRoleForCloudTrail servizio. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. Tuttavia, è possibile modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'IAMutente.

Eliminazione di un ruolo collegato al servizio per CloudTrail

Non è necessario eliminare manualmente il ruolo. AWSServiceRoleForCloudTrail Se un Account AWS viene rimosso da un'organizzazione Organizations, il AWSServiceRoleForCloudTrail ruolo viene rimosso automaticamente da tale organizzazione Account AWS. Non puoi distaccare o rimuovere policy dal ruolo collegato al servizio AWSServiceRoleForCloudTrail in un account di gestione dell'organizzazione senza rimuovere l'account dall'organizzazione.

È inoltre possibile utilizzare la IAM console AWS CLI o la AWS API per eliminare manualmente il ruolo collegato al servizio. Per farlo, devi prima effettuare manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi puoi eliminarlo manualmente.

Nota

Se il CloudTrail servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per rimuovere una risorsa utilizzata da quel ruolo AWSServiceRoleForCloudTrail, è possibile eseguire una delle operazioni seguenti:

Rimuovi il Account AWS dall'organizzazione in Organizations.
Aggiornare il trail che non è più il trail di un'organizzazione. Per ulteriori informazioni, consulta Aggiornamento di un percorso con la CloudTrail console.
Aggiorna il datastore di eventi in modo che non sia più un datastore di eventi dell'organizzazione. Per ulteriori informazioni, consulta Aggiorna un data store di eventi con la console.
Eliminare il trail. Per ulteriori informazioni, consulta Eliminazione di un percorso con la console CloudTrail .
Elimina il datastore di eventi. Per ulteriori informazioni, consulta Eliminare un archivio dati di eventi con la console.

Per eliminare manualmente il ruolo collegato al servizio utilizzando IAM

Usa la IAM console AWS CLI, o il AWS API per eliminare il ruolo collegato al AWSServiceRoleForCloudTrail servizio. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM

Regioni supportate per i ruoli collegati ai servizi CloudTrail

CloudTrail supporta l'utilizzo di ruoli collegati ai servizi in tutte le aree in Regioni AWS cui sono disponibili sia CloudTrail Organizations che Organizations. Per ulteriori informazioni, consulta Endpoint Servizio AWS nella Riferimenti generali di AWS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Risoluzione dei problemi

AWS politiche gestite