AWS の AWS CloudTrail 管理ポリシー
ユーザー、グループ、ロールに許可を追加するには、自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な許可のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。AWS マネージドポリシーを使用することで、すぐに使用を開始できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、AWS アカウント で利用できます。AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWS のサービスは、AWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS マネージドポリシーに許可が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは、AWS マネージドポリシーから許可を削除しないため、ポリシーの更新によって既存の許可が破棄されることはありません。
さらに、AWS は、複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーでは、すべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は、新たなオペレーションとリソース用に、読み取り専用の許可を追加します。職務機能ポリシーのリストと説明については、「IAM ユーザーガイド」の「ジョブ機能の AWS マネージドポリシー」を参照してください。
AWS マネージドポリシー: AWSCloudTrail_ReadOnlyAccess
AWSCloudTrail_ReadOnlyAccess ポリシーがロールに関連付けられているユーザー ID は、CloudTrail で読み取り専用アクション (証跡、 CloudTrail Lake イベントデータストア、Lake クエリに対する Get*、List*、Describe* アクションなど) を実行できます。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
cloudtrail– ユーザーアイデンティティが、 CloudTrail コンソール、AWS SDK、および AWS CLI で読み取り専用の API オペレーションを実行することを許可します。これには、GetEventDataStoresなどのGet*オペレーション、ListTrailsなどのList*オペレーション、DescribeTrailsなどのDescribe*オペレーションが含まれます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:Get*", "cloudtrail:Describe*", "cloudtrail:List*", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
CloudTrail の AWS マネージドポリシーへの更新
CloudTrail の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、CloudTrail の「ドキュメント履歴」ページで RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AWSCloudTrail_ReadOnlyAccess - 既存のポリシーを更新する |
CloudTrail は、 |
2022 年 6 月 6 日 |
|
CloudTrail が変更の追跡を開始しました |
CloudTrail が AWS マネージドポリシーの変更の追跡を開始しました。 |
2022 年 6 月 6 日 |
