AWS 的托管策略 AWS CloudTrail - AWS CloudTrail

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 的托管策略 AWS CloudTrail

要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建IAM客户托管策略以仅向您的团队提供他们所需的权限需要时间和专业知识。要快速入门,您可以使用 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅《IAM用户指南》中的AWS 托管策略

AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 管理型策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 管理型策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。

此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM用户指南》中的工作职能AWS 托管策略

AWS 托管策略:AWSCloudTrail_ReadOnlyAccess

AWSCloudTrail_ReadOnlyAccess策略附加到其角色的用户身份可以在跟踪 CloudTrail、Lake 事件数据存储或 CloudTrail Lake 查询中执行只读Describe*操作,例如、、和操作。Get* List*

AWS 托管策略:AWSServiceRoleForCloudTrail

CloudTrailServiceRolePolicy政策 AWS CloudTrail 允许代表您对组织跟踪和组织事件数据存储执行操作。该策略包括描述和列出组织中的组织账户和委托管理员所需的 AWS Organizations 权限。 AWS Organizations

此策略还包括在组织事件数据存储上禁用 Lake Fed eration 所需的 AWS Lake Formation 权限 AWS Glue 和权限。

此政策附加到允许代表您执行操作 CloudTrail 的AWSServiceRoleForCloudTrail服务相关角色。您无法将此策略附加到您的用户、组或角色。

CloudTrail AWS 托管策略的更新

查看有关 AWS 托管策略更新的详细信息 CloudTrail。要获得有关此页面变更的自动提醒,请订RSS阅该 CloudTrail 文档历史记录页面上的订阅源。

更改 描述 日期

CloudTrailServiceRolePolicy – 对现有策略的更新

更新了策略,以允许在禁用联合身份验证时对组织事件数据存储执行以下操作:

  • glue:DeleteTable

  • lakeformation:DeregisterResource

2023 年 11 月 26 日

AWSCloudTrail_ReadOnlyAccess – 更新到现有策略

CloudTrail 将AWSCloudTrailReadOnlyAccess策略的名称更改为AWSCloudTrail_ReadOnlyAccess。此外,策略中的权限范围已缩小为 CloudTrail 操作。它不再包含 Amazon S3 或 AWS Lambda 操作权限。 AWS KMS

2022 年 6 月 6 日

CloudTrail 已开始跟踪更改

CloudTrail 开始跟踪其 AWS 托管策略的更改。

2022 年 6 月 6 日