本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS CloudTrail 的身分型政策範例
根據預設,使用者和角色不具備建立或修改 CloudTrail 資源的權限。他們也無法使用 AWS Management Console、AWS Command Line Interface (AWS CLI) 或 AWS API 執行任務。若要授與使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。然後,管理員可以將 IAM 政策新增至角色,使用者便能擔任這些角色。
若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《IAM 使用者指南》中的建立 IAM 政策。
如需有關由定義的動作和資源類型的詳細資訊 CloudTrail,包括每個資源類型的 ARN 格式,請參閱服務授權參考AWS CloudTrail中的動作、資源和條件索引鍵。
主題
政策最佳實務
以身分識別為基礎的政策會決定某人是否可以建立、存取或刪除您帳戶中的 CloudTrail 資源。這些動作可能會讓您的 AWS 帳戶 產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
-
開始使用 AWS 受管政策並朝向最低權限許可的目標邁進:如需開始授予許可給使用者和工作負載,請使用 AWS 受管政策,這些政策會授予許可給許多常用案例。它們可在您的 AWS 帳戶 中使用。我們建議您定義特定於使用案例的 AWS 客戶管理政策,以便進一步減少許可。如需更多資訊,請參閱 IAM 使用者指南中的 AWS 受管政策或任務職能的 AWS 受管政策。
-
套用最低許可許可 – 設定 IAM 政策的許可時,請僅授予執行任務所需的權限。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。如需使用 IAM 套用許可的更多相關資訊,請參閱 IAM 使用者指南中的 IAM 中的政策和許可。
-
使用 IAM 政策中的條件進一步限制存取權 – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。您也可以使用條件來授予對服務動作的存取權,前提是透過特定 AWS 服務 (例如 AWS CloudFormation)使用條件。如需更多資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素:條件。
-
使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作 – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您編寫安全且實用的政策。如需更多資訊,請參閱 IAM 使用者指南中的 IAM Access Analyzer 政策驗證。
-
需要多重要素驗證 (MFA):如果存在需要 AWS 帳戶中 IAM 使用者或根使用者的情況,請開啟 MFA 提供額外的安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需更多資訊,請參閱 IAM 使用者指南中的設定 MFA 保護的 API 存取。
有關 IAM 中最佳實務的更多相關資訊,請參閱 IAM 使用者指南中的 IAM 最佳安全實務。
CloudTrail 沒有您可以在政策陳述式Condition元素中使用的服務特定內容索引鍵。
範例:允許和拒絕對於特定追蹤的動作
以下範例示範的政策允許使用此政策的使用者檢視追蹤的狀態和組態,以及開始和停止記錄名為 My-First-Trail 的追蹤。此追蹤建立在美國東部 (俄亥俄) 區域 (它的主區域) 中 ID 為 123456789012 的 AWS 帳戶 中。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
下列範例示範一項原則,明確拒絕任何未命名為 My- First Trail 之追蹤的 CloudTrail 動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudtrail:*" ], "NotResource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
範例:在特定追蹤建立和套用政策的動作
您可以使用權限和策略來控制使用者對 CloudTrail 追蹤執行特定動作的能力。
例如,您不希望公司開發人員群組的使用者開始或停止記錄特定追蹤。不過,您可能想要授予他們對追蹤執行 DescribeTrails 和 GetTrailStatus 動作的許可。您要開發人員群組使用者在他們管理的追蹤上執行 StartLogging 或 StopLogging 動作。
您可以建立兩個政策陳述式,然後將其連接至您建立於 IAM 中的開發人員群組。如需 IAM 中群組的詳細資訊,請參閱《IAM 使用者指南》中的 IAM 群組。
在第一個政策中,您拒絕對所指定的追蹤 ARN 執行 StartLogging 和 StopLogging 動作。在下列範例中,追蹤 ARN 是 arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446057698000", "Effect": "Deny", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail" ] } ] }
在第二個策略中,允許對所有 CloudTrail 資源GetTrailStatus執行DescribeTrails和動作:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446072643000", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus" ], "Resource": [ "*" ] } ] }
如果開發人員群組使用者嘗試開始或停止您在第一個政策中指定的追蹤記錄日誌,該使用者會收到拒絕存取的例外狀況。開發人員群組使用者可以對他們所建立及管理的追蹤予以開始與停止記錄日誌。
下列範例顯示已在名為 devgroup 的 AWS CLI 設定檔中設定的開發人員群組。首先,devgroup 的使用者執行 describe-trails 命令。
$ aws --profile devgroup cloudtrail describe-trails
命令成功完成並產生以下輸出:
{ "trailList": [ { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", "IsMultiRegionTrail": false, "S3BucketName": "myS3bucket ", "HomeRegion": "us-east-2" } ] }
使用者接著會對您在第一個政策中指定的追蹤執行 get-trail-status 命令。
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
命令成功完成並產生以下輸出:
{ "LatestDeliveryTime": 1449517556.256, "LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", "LatestNotificationAttemptSucceeded": "", "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", "IsLogging": true, "TimeLoggingStarted": "2015-12-07T19:36:27Z", "StartLoggingTime": 1449516987.685, "StopLoggingTime": 1449516977.332, "LatestNotificationAttemptTime": "", "TimeLoggingStopped": "2015-12-07T19:36:17Z" }
接下來,devgroup 群組中的使用者對同一個追蹤執行 stop-logging 命令。
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
命令會傳回拒絕存取的例外狀況,例如下列內容:
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
使用者會對相同的追蹤執行 start-logging 命令。
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
命令再次傳回拒絕存取的例外狀況,例如下列內容:
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限
在以下政策範例中,如果下方條件中至少有一項不符合,使用 CreateEventDataStore 建立事件資料存放區的許可便會被拒絕:
-
事件資料存放區沒有套用至自身之
stage的標籤索引鍵 -
階段標籤的值不是
alpha、beta、gamma或prod。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/stage": "true" } } }, { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/stage": [ "alpha", "beta", "gamma", "prod" ] } } } ] }
在以下政策範例中,如果事件資料存放區有值為 prod 的 stage 標籤,則使用 DeleteEventDataStore 刪除事件資料存放區的許可會被拒絕。類似的政策可以協助保護事件資料存放區免遭意外刪除。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:DeleteEventDataStore", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
使用 CloudTrail 主控台
若要存取 AWS CloudTrail 主控台,您必須擁有最低的一組許可。這些權限必須允許您列出和檢視有關AWS 帳戶. CloudTrail 如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 ( 使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許其最基本主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
授與CloudTrail 管理權限
若要允許 IAM 角色或使用者管理 CloudTrail 資源 (例如追蹤、事件資料存放區或通道),您必須授與明確許可,才能執行與 CloudTrail 工作相關聯的動作。在大多數的情況下,您可以使用包含預先定義許可的 AWS 受管政策。
注意
您授予使用者執行 CloudTrail 管理任務的許可與將日誌檔傳送到 Amazon S3 儲存貯體或傳送通知至 Amazon SNS 主題所 CloudTrail 需的許可不同。如需這些許可的詳細資訊,請參閱 Amazon S3 存儲桶政策 CloudTrail。
如果您設定與 Amazon CloudWatch 日誌的整合, CloudTrail 還需要一個角色,該角色可將事件傳遞到 Amazon CloudWatch 日誌日誌群組。您必須建立使 CloudTrail 用的角色。如需詳細資訊,請參閱 授與在主控台上檢視和設定 Amazon CloudWatch 日誌資 CloudTrail 訊的權限 及 傳送事件到 CloudWatch Logs。
下列AWS受管理的策略適用於 CloudTrail:
-
AWSCloudTrail_FullAccess— 此原則提供對 CloudTrail 資源 CloudTrail 動作 (例如追蹤、事件資料存放區和通道) 的完整存取權。此原則提供建立、更新和刪除 CloudTrail 追蹤、事件資料存放區和通道所需的權限。
此政策還提供管理 Amazon S3 儲存貯體、 CloudWatch 日誌的日誌群組和追蹤的 Amazon SNS 主題的許可。不過,受
AWSCloudTrail_FullAccess管政策並未提供刪除 Amazon S3 儲存貯體、 CloudWatch 日誌的日誌群組或 Amazon SNS 主題的許可。如需有關其他 AWS 服務受管政策的資訊,請參閱《AWS 受管政策參考指南》。注意
AWSCloudTrail_FullAccess 政策不適合在 AWS 帳戶 帳戶之間廣泛共用。使用此角色的使用者可以在自己的 AWS 帳戶 中關閉或重新設定最敏感和重要的稽核功能。因此,您必須僅向帳戶管理員套用此政策。您必須嚴密控制並監視此政策的使用狀況。
-
AWSCloudTrail_ReadOnlyAccess— 此原則授與檢視 CloudTrail 主控台的權限,包括最近的事件和事件歷程記錄。此政策還允許您檢視現有的追蹤、事件資料存放區和通道。使用此政策的角色和使用者可以下載事件歷史記錄,但無法建立或更新追蹤、事件資料存放區或通道。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
AWS IAM Identity Center 中的使用者和群組:
建立權限合集。請遵循 AWS IAM Identity Center 使用者指南 的 建立權限合集 中的指示。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。請遵循 IAM 使用者指南 的 為第三方身分提供者 (聯合) 建立角色 中的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請遵循 IAM 使用者指南 的 為 IAM 使用者建立角色 中的指示。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南 的 新增權限至使用者 (主控台) 中的指示。
-
其他資源
若要進一步了解如何使用 IAM 提供身分識別,例如使用者和角色、存取帳戶中的資源,請參閱《IAM 使用者指南》中的使用 IAM 開始設定和 AWS 資源的存取管理。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許其最基本主控台許可。反之,只需允許存取符合您嘗試執行之 API 操作的動作就可以了。
允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台上,或是使用 AWS CLI 或 AWS API 透過編寫程式的方式完成此動作的許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
授與使用者的自訂 CloudTrail 權限
CloudTrail 策略會將權限授與合作的使用者 CloudTrail。如果您需要授與不同的權限給使用者,可以將 CloudTrail 政策附加到 IAM 群組或使用者。您可以編輯政策,藉以包含或排除特定許可。您也可以建立自己的自訂政策。政策是 JSON 文件,可定義允許使用者執行的動作,以及使用者得以執行這些動作的資源。如需具體範例,請參閱 範例:允許和拒絕對於特定追蹤的動作 和 範例:在特定追蹤建立和套用政策的動作。
唯讀存取
下列範例顯示授與 CloudTrail 追蹤唯讀存取權的原則。這相當於受管政策 AWSCloudTrail_ReadOnlyAccess。政策會將查看追蹤資訊的許可授予使用者,但未授予建立或更新追蹤的許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:Get*", "cloudtrail:Describe*", "cloudtrail:List*", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
在政策陳述式中,Effect 元素指定允許或拒絕動作。Action 元素列出允許使用者執行的特定動作。Resource 元素列出使用者得以執行特定動作的 AWS 資源。對於控制 CloudTrail 動作存取權的原則,Resource元素通常會設定為*,萬用字元表示「所有資源」。
Action 元素中的值對應至服務所支援的 API。這些動作的前面會加上 cloudtrail:,意指其參照 CloudTrail 動作。您可以在 Action 元素中使用 * 萬用字元,如下列範例所示:
-
"Action": ["cloudtrail:*Logging"]這允許所有以「Logging」(
StartLogging,StopLogging) 結尾的 CloudTrail 動作。 -
"Action": ["cloudtrail:*"]這允許所有 CloudTrail 操作,但不允許其他AWS服務的操作。
-
"Action": ["*"]這允許所有 AWS 動作。此許可適用於身為您帳戶之 AWS 管理員的使用者。
唯讀政策不會將 CreateTrail、UpdateTrail、StartLogging 和 StopLogging 動作的許可授予使用者。不允許具有此政策的使用者建立追蹤、更新追蹤,或是開啟或關閉記錄日誌。有關 CloudTrail 操作列表,請參閱 AWS CloudTrailAPI 參考。
完整 存取
下列範例顯示授與完整存取權的策略 CloudTrail。這相當於受管政策 AWSCloudTrail_FullAccess。它授予用戶執行所有 CloudTrail 操作的權限。它也可讓使用者在 Amazon S3 記錄資料事件AWS Lambda,以及管理 Amazon S3 儲存貯體中的檔案、管理 CloudWatch 日 CloudTrail 誌監控日誌事件的方式,以及管理使用者關聯帳戶中的 Amazon SNS 主題。
重要
AWSCloudTrail_FullAccess 政策或級別相同的許可不適合在 AWS 帳戶之間廣泛共用。使用此角色或相似存取權限的使用者能夠在自己的 AWS 帳戶停用或重新設定最敏感和重要的稽核功能。因此,此政策應僅套用於帳戶管理員,並且在嚴密的控制和監控下使用此政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:SetTopicAttributes", "sns:GetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy" ], "Resource": [ "arn:aws:s3:::aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudtrail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "dynamodb:ListGlobalTables", "dynamodb:ListTables" ], "Resource": "*" } ] }
授與檢視 CloudTrail 主控台AWS Config資訊的權限
您可以在 CloudTrail 主控台上檢視事件資訊,包括與該事件相關的資源。對於這些資源,您可以選擇 AWS Config 圖示,以在 AWS Config 主控台中檢視該資源的時間表。將此政策連接至使用者,藉以將唯讀 AWS Config 存取權限授予他們。該政策不會將於 AWS Config 中變更設定的許可授予他們。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:List*" ], "Resource": "*" }] }
如需詳細資訊,請參閱 檢視參照的資源 AWS Config。
授與在主控台上檢視和設定 Amazon CloudWatch 日誌資 CloudTrail 訊的權限
如果您有足夠的權限,您可以在 CloudTrail 主控台中檢視和設定事件傳遞至 CloudWatch 記錄檔。這些權限可能超出 CloudTrail 管理員可以授與的範圍。將此原則附加至將設定及管理與 CloudWatch 記錄 CloudTrail整合的系統管理員。此原則不會直接授與他們記錄檔 CloudTrail 或 CloudWatch 記錄檔中的權限,而是授與建立和設定角色所需的權限, CloudTrail將假設成功將事件傳遞至您的 CloudWatch 記錄群組。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }] }
如需詳細資訊,請參閱 使用 Amazon CloudWatch Logs 監控 CloudTrail 日誌檔案。
其他資訊
若要進一步了解如何使用 IAM 提供身分,例如使用者和角色、存取帳戶中的資源,請參閱《IAM 使用者指南》中的入門和 AWS 資源的存取管理。
