AWS CloudTrail チュートリアルの開始方法 - AWS CloudTrail
を使用するアクセス許可を付与する CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudTrail チュートリアルの開始方法

を初めて使用する場合 AWS CloudTrail、これらのチュートリアルは、その機能の使用方法を学ぶのに役立ちます。 CloudTrail 機能を使用するには、適切なアクセス許可が必要です。このページでは、 で使用できる CloudTrail マネージドポリシーについて説明し、アクセス許可を付与する方法に関する情報を提供します。

例:

を使用するアクセス許可を付与する CloudTrail

証跡、イベントデータストア、チャネルなどの CloudTrail リソースを作成、更新、管理するには、 を使用するためのアクセス許可を付与する必要があります CloudTrail。このセクションでは、 で使用できる マネージドポリシーについて説明します CloudTrail。

注記

CloudTrail 管理タスクを実行するためにユーザーに付与するアクセス許可は、 がログファイルを Amazon S3 バケットに配信したり、Amazon SNSトピックに通知を送信したり CloudTrail するために必要なアクセス許可とは異なります。これらのアクセス許可の詳細については、「の Amazon S3 バケットポリシー CloudTrail」を参照してください。

Amazon CloudWatch Logs との統合を設定する場合、 には Amazon Logs CloudWatch ロググループにイベントを配信するために引き受けることができるロール CloudTrail も必要です。が CloudTrail 使用するロールを作成する必要があります。詳細については、「 CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可の付与」および「 CloudWatch ログへのイベントの送信」を参照してください。

では、次の AWS 管理ポリシーを使用できます CloudTrail。

  • AWSCloudTrail_FullAccess – このポリシーは、証跡、イベントデータストア、チャネルなどの CloudTrail リソースに対する CloudTrail アクションへのフルアクセスを提供します。このポリシーは、証跡、イベントデータストア、チャネルを作成、更新、削除 CloudTrailするために必要なアクセス許可を提供します。

    このポリシーは、Amazon S3 バケット、 CloudWatch ログのロググループ、および証跡の Amazon SNSトピックを管理するアクセス許可も提供します。ただし、 AWSCloudTrail_FullAccess管理ポリシーでは、Amazon S3 バケット、 CloudWatch ログのロググループ、または Amazon SNSトピックを削除するアクセス許可は提供されません。他の AWS サービスの マネージドポリシーの詳細については、AWS 「 マネージドポリシーリファレンスガイド」を参照してください。

    注記

    このAWSCloudTrail_FullAccessポリシーは、 間で広く共有されることを意図していません AWS アカウント。このロールを持つユーザーは、 AWS アカウントで最も機密かつ重要な監査機能を無効にしたり、再設定したりすることができます。このため、このポリシーはアカウント管理者にのみ適用する必要があります。このポリシーの使用を厳重に管理および監視する必要があります。

  • AWSCloudTrail_ReadOnlyAccess – このポリシーは、最近のイベントやイベント履歴など、 CloudTrail コンソールを表示するアクセス許可を付与します。また、このポリシーにより、既存の証跡、イベントデータストア、およびチャネルを表示することもできます。このポリシーが適用されているロールとユーザーはイベント履歴をダウンロードできますが、証跡、イベントデータストア、またはチャンネルを作成または更新することはできません。

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。