AWS CloudTrail 的 AWS 受管政策

若要新增許可給使用者、群組和角色，使用 AWS 受管政策比自己撰寫政策更容易。建立 IAM 客戶受管政策需要時間和專業知識，而受管政策可為您的團隊提供其所需的許可。若要快速開始使用，您可以使用 AWS 受管政策。這些政策涵蓋常見的使用案例，並可在您的 AWS 帳戶 中使用。如需有關 AWS 受管政策的詳細資訊，請參閱《IAM 使用者指南》中的 AWS 受管政策。

AWS 服務會維護和更新 AWS 受管政策。您無法更改 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時，服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可，因此政策更新不會破壞您現有的許可。

此外，AWS 支援跨越多項服務之任務職能的受管政策。例如，ReadOnlyAccess 這項 AWS 受管政策提供針對所有 AWS 服務和資源的唯讀存取權限。當服務啟動新功能時，AWS 會為新的操作和資源新增唯讀許可。如需任務職能政策的清單和說明，請參閱 IAM 使用者指南中有關任務職能的 AWS 受管政策。

AWS 受管政策：AWSCloudTrail_ReadOnlyAccess

如果使用者身分的角色已連接至 AWSCloudTrail_ReadOnlyAccess 政策，使用者可以在 CloudTrail 中執行唯讀操作，例如對線索、CloudTrail Lake 事件資料存放區或 Lake 查詢執行 Get*、List* 和 Describe* 操作。

AWS 受管政策：AWSServiceRoleForCloudTrail

CloudTrailServiceRolePolicy 政策允許 AWS CloudTrail 代表您在組織追蹤和組織事件資料存放區中執行動作。此政策包含必要的 AWS Organizations 許可，可描述並列出 AWS Organizations 組織中的組織帳戶和委派管理員。

此政策還額外包含必要的 AWS Glue 和 AWS Lake Formation 許可，可在組織事件資料存放區上停用 Lake 聯合。

此政策會連接到 AWSServiceRoleForCloudTrail 服務連結角色，而此角色可讓 CloudTrail 代表您執行動作。您無法將此政策連接至使用者、群組或角色。

CloudTrail 的 AWS 受管政策更新

查看 AWS 受管政策更新的詳細資訊。如要在此頁面內容有所異動時收到自動提醒，請訂閱 CloudTrail 文件歷史紀錄 頁面的 RSS 摘要。

變更	描述	日期
CloudTrailServiceRolePolicy – 更新現有政策	已更新政策，允許在停用聯合時於組織事件資料存放區中執行以下動作： glue:DeleteTable lakeformation:DeregisterResource	2023 年 11 月 26 日
AWSCloudTrail_ReadOnlyAccess – 更新現有政策	CloudTrail 已將 AWSCloudTrailReadOnlyAccess 政策名稱變更為 AWSCloudTrail_ReadOnlyAccess。此外，政策的許可範圍已縮減至 CloudTrail 操作，不再包括 Amazon S3、AWS KMS 或 AWS Lambda 操作的許可。	2022 年 6 月 6 日
CloudTrail 開始記錄異動情形	CloudTrail 開始記錄 AWS 受管政策的異動情形。	2022 年 6 月 6 日