CloudTrail のユーザーアクセス権限のコントロール

AWS CloudTrailはAWS Identity and Access Management (IAM) と統合されているため、CloudTrail や CloudTrailAWS が必要とするその他のリソースへのアクセスを制御できます。これらのリソースの例としては、Amazon S3 バケットや Amazon Simple Notification Service (Amazon SNS) のトピックがあります。IAM を使用して、どのAWSユーザーが CloudTrail 証跡、イベントデータストア、またはチャンネルを作成、構成、または削除し、ロギングを開始および停止し、ログ情報を含むバケットにアクセスできるかを制御することができます。詳細については、「AWS CloudTrail 向けの Identity and Access Management」を参照してください。

次のトピックは、アクセス許可、ポリシー、および CloudTrail セキュリティの理解にも役立ちます。

• CloudTrail 管理のためのアクセス許可の付与

• Amazon S3 バケットの命名要件

• CloudTrail の Amazon S3 バケットポリシー

• CloudTrail Lake クエリ結果の Amazon S3 バケットポリシー

• AWS Command Line Interface による組織の証跡の作成 の組織の証跡に対するバケットポリシーの例。

• CloudTrail の Amazon SNS トピックポリシー

• AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS)

• 証跡イベントのコピーに必要な許可

• 委任された管理者を割り当てるために必要な許可

• CloudTrail コンソールで作成されたデフォルトの KMS キーポリシー

• CloudTrail コンソールで AWS Config 情報を表示するアクセス許可を付与する

• AWS アカウント間での CloudTrail ログファイルを共有する

• 組織の証跡を作成するために必要なアクセス許可

• 既存の IAM ロールを使用して Amazon CloudWatch Logs に組織の証跡のモニタリングを追加