Introdução aos AWS CloudTrail tutoriais

Se você é novato AWS CloudTrail, esses tutoriais podem ajudá-lo a aprender como usar seus recursos. Para usar os CloudTrail recursos, você precisa ter permissões adequadas. Esta página descreve as políticas gerenciadas disponíveis CloudTrail e fornece informações sobre como você pode conceder permissões.

Exemplos:

• Conceda permissões de uso CloudTrail
• Exibir histórico de eventos
• Crie uma trilha para registrar eventos de gerenciamento
• Crie um armazenamento de dados de eventos para eventos de dados do S3
• Veja os painéis CloudTrail do Lake

Conceda permissões de uso CloudTrail

Para criar, atualizar e gerenciar CloudTrail recursos como trilhas, armazenamentos de dados de eventos e canais, você precisa conceder permissões de uso CloudTrail. Esta seção fornece informações sobre as políticas gerenciadas disponíveis para CloudTrail.

nota

As permissões que você concede aos usuários para realizar tarefas CloudTrail administrativas não são as mesmas que CloudTrail exigem a entrega de arquivos de log para buckets do Amazon S3 ou o envio de notificações para tópicos da Amazon. SNS Para obter mais informações sobre essas permissões, consulte Política de bucket do Amazon S3 para CloudTrail.

Se você configurar a integração com o Amazon CloudWatch Logs, CloudTrail também requer uma função que ele possa assumir para entregar eventos a um grupo de CloudWatch logs do Amazon Logs. Você deve criar a função que CloudTrail usa. Para ter mais informações, consulte Conceder permissão para visualizar e configurar as informações do Amazon CloudWatch Logs no console CloudTrail e Enviando eventos para o CloudWatch Logs.

As seguintes políticas AWS gerenciadas estão disponíveis para CloudTrail:

• AWSCloudTrail_FullAccess— Essa política fornece acesso total às CloudTrail ações sobre CloudTrail recursos, como trilhas, armazenamentos de dados de eventos e canais. Essa política fornece as permissões necessárias para criar, atualizar e excluir CloudTrail trilhas, armazenamentos de dados de eventos e canais.

  Essa política também fornece permissões para gerenciar o bucket do Amazon S3, o grupo de CloudWatch registros para Logs e um SNS tópico da Amazon para uma trilha. No entanto, a política AWSCloudTrail_FullAccess gerenciada não fornece permissões para excluir o bucket do Amazon S3, o grupo de CloudWatch logs para Logs ou um tópico da AmazonSNS. Para obter informações sobre políticas gerenciadas para outros AWS serviços, consulte o Guia de referência de políticas AWS gerenciadas.

  nota

  A AWSCloudTrail_FullAccessa política não se destina a ser compartilhada amplamente entre seus Conta da AWS. Os usuários com esse perfil podem desativar ou reconfigurar as funções de auditoria mais confidenciais e importantes em suas Contas da AWS. Por esse motivo, você só deve aplicar essa política aos administradores da conta. Você deve controlar e monitorar de perto o uso desta política.

• AWSCloudTrail_ReadOnlyAccess— Essa política concede permissões para visualizar o CloudTrail console, incluindo eventos recentes e histórico de eventos. Essa política também permite visualizar trilhas, armazenamentos de dados de eventos e canais existentes. Os perfis e usuários com essa política podem baixar o histórico de eventos, mas não podem criar ou atualizar trilhas, armazenamentos de dados de eventos ou canais.

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

• Usuários e grupos em AWS IAM Identity Center:

  Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .

• Usuários gerenciados IAM por meio de um provedor de identidade:

  Crie um perfil para a federação de identidades. Siga as instruções em Criação de uma função para um provedor de identidade terceirizado (federação) no Guia IAM do usuário.

• IAMusuários:

  • Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de uma função para um IAM usuário no Guia IAM do usuário.

  • (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adicionar permissões a um usuário (console) no Guia do IAM usuário.