本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
要向用户、组和角色添加权限,与自己编写策略相比,使用 AWS 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用 AWS 托管式策略。这些策略涵盖常见使用案例,可在您的 AWS 账户 中使用。有关 AWS 托管策略的更多信息,请参阅《IAM 用户指南》中的AWS 托管策略。
AWS 服务负责维护和更新 AWS 管理型策略。您无法更改 AWS 管理型策略中的权限。服务偶尔会向 AWS 管理型策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 管理型策略。服务不会从 AWS 管理型策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,AWS 还支持跨多种服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 管理型策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的 AWS 托管策略。
AWS 托管策略:AWSCloudTrail_ReadOnlyAccess
具有附加到其角色的 AWSCloudTrail_ReadOnlyAccess 策略的用户身份可以在 CloudTrail 中执行只读操作,例如针对跟踪执行的 Get*、List* 和 Describe* 操作,以及 CloudTrail Lake 事件数据存储或 Lake 查询。
AWS 托管式策略:AWSServiceRoleForCloudTrail
CloudTrailServiceRolePolicy 策略允许 AWS CloudTrail 代表您对组织跟踪和组织事件数据存储执行操作。该策略包括描述和列出 AWS Organizations 组织中的组织账户和委托管理员所需的 AWS Organizations 权限。
此外,该策略还包括在组织事件数据存储上禁用 Lake 联合身份验证所需的 AWS Glue 和 AWS Lake Formation 权限。
此附加到 AWSServiceRoleForCloudTrail 服务相关角色的策略允许 CloudTrail 代表您执行操作。您无法将此策略附加到您的用户、组或角色。
CloudTrail 对 AWS 托管式策略的更新
查看有关适用于 CloudTrail 的 AWS 托管式策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 CloudTrail 文档历史记录 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
CloudTrailServiceRolePolicy – 对现有策略的更新 |
更新了策略,以允许在禁用联合身份验证时对组织事件数据存储执行以下操作:
|
2023 年 11 月 26 日 |
|
AWSCloudTrail_ReadOnlyAccess – 更新到现有策略 |
CloudTrail 将 |
2022 年 6 月 6 日 |
|
CloudWatch 开始跟踪更改 |
CloudTrail 已开始为其 AWS 托管式策略跟踪更改。 |
2022 年 6 月 6 日 |
