CloudTrail の証跡へのユーザーアクセス権限の制御

AWS CloudTrailはAWS Identity and Access Management (IAM) と統合されているため、CloudTrail や CloudTrailAWS が必要とするその他のリソースへのアクセスを制御できます。これらのリソースの例としては、Amazon S3 バケットや Amazon Simple Notification Service (Amazon SNS) のトピックがあります。IAM を使用すると、どの AWS ユーザーが CloudTrail の証跡の作成、設定、または削除を行えるか、ログ記録の開始と停止を行えるか、ログ情報を含むバケットへのアクセスが可能かを制御できます。詳細については、「AWS CloudTrail 向けの Identity and Access Management」を参照してください。

次のトピックは、アクセス許可、ポリシー、および CloudTrail セキュリティの理解にも役立ちます。

• CloudTrail 管理のためのアクセス許可の付与

• Amazon S3 バケットの命名規則

• の Amazon S3 バケットポリシー CloudTrail

• 以下の組織向けにトレイルを作成する方法 AWS Command Line Interface の組織の証跡に対するバケットポリシーの例。

• の Amazon SNS トピックポリシー CloudTrail

• CloudTrail AWS KMS キーによるログファイルの暗号化 (SSE-KMS)

• 証跡イベントのコピーに必要な許可

• 委任された管理者を割り当てるために必要な許可

• CloudTrail コンソールで作成されたデフォルトの KMS キーポリシー

• CloudTrail コンソールでAWS Config情報を表示するアクセス許可の付与

• AWS アカウント間での CloudTrail ログファイルを共有する

• 組織の証跡を作成するために必要なアクセス許可

• 既存の IAM ロールを使用して Amazon CloudWatch Logs に組織の証跡のモニタリングを追加