本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
以身分識別為基礎的原則範例 AWS CloudTrail
依預設,使用者和角色沒有建立或修改 CloudTrail資源的權限。他們也無法執行任務使用 AWS Management Console, AWS Command Line Interface (AWS CLI),或 AWS API。若要授與使用者對所需資源執行動作的權限,IAM管理員可以建立IAM策略。然後,系統管理員可以將IAM原則新增至角色,使用者可以擔任這些角色。
若要瞭解如何使用這些範例原則文件來建立以IAM身分識別為基礎的JSON策略,請參閱使用指南中的IAM建立IAM策略。
如需有關由定義的動作和資源類型的詳細資訊 CloudTrail,包括每個ARNs資源類型的格式,請參閱的動作、資源和條件索引鍵 AWS CloudTrail在「服務授權參考」中。
主題
政策最佳實務
以身分識別為基礎的政策會決定某人是否可以建立、存取或刪除您帳戶中的 CloudTrail 資源。這些動作可能會為您帶來成本 AWS 帳戶。 建立或編輯以身分識別為基礎的原則時,請遵循下列準則和建議:
-
開始使用 AWS 受管原則並朝著最低權限權限移轉 — 若要開始授與使用者和工作負載的權限,請使用 AWS 授與許多常見使用案例權限的受管理策略。他們是可用的 AWS 帳戶。 我們建議您透過定義來進一步減少使用權限 AWS 針對您的使用案例特定的客戶管理政策。如需詳細資訊,請參閱 AWS 受管理的策略或 AWS 《使用者指南》中針對工作職能的IAM管理策略。
-
套用最低權限權限 — 當您使用原則設定權限時,IAM只授與執行工作所需的權限。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。如需有關使用套用權限IAM的詳細資訊,請參閱《使用指南》IAM中的IAM《策略與權限》。
-
使用IAM策略中的條件進一步限制存取 — 您可以在策略中新增條件,以限制對動作和資源的存取。例如,您可以撰寫政策條件,以指定必須使用傳送所有要求SSL。如果服務動作是透過特定使用條件,您也可以使用條件來授與對服務動作的存取權 AWS 服務,例如, AWS CloudFormation。 如需詳細資訊,請參閱《IAM使用指南》中的IAMJSON策略元素:條件。
-
使用 IAM Access Analyzer 驗證您的原IAM則,以確保安全和功能性的權限 — IAM Access Analyzer 會驗證新的和現有的原則,以便原則遵循IAM原則語言 (JSON) 和IAM最佳做法。IAMAccess Analyzer 提供超過 100 項原則檢查和可行的建議,協助您撰寫安全且功能正常的原則。如需詳細資訊,請參閱IAM使IAM用指南中的存取分析器原則驗證。
-
需要多重要素驗證 (MFA) — 如果您的案例需要使IAM用者或 root 使用者 AWS 帳戶,開啟MFA以獲得額外的安全性。若要在呼叫API作業MFA時需要,請在原則中新增MFA條件。如需詳細資訊,請參閱《IAM使用指南》中的 < 設定MFA受保護的API存取 >。
如需中最佳作法的詳細資訊IAM,請參閱《IAM使用指南》IAM中的「安全性最佳作法」。
CloudTrail 沒有您可以在政策陳述式Condition元素中使用的服務特定內容索引鍵。
範例:允許和拒絕對於特定追蹤的動作
下列範例示範一項原則,可讓具有該原則的使用者檢視追蹤的狀態和組態,以及開始和停止記錄名為之追蹤的記錄 My-First-Trail。 此路徑建立於美國東部 (俄亥俄) 區域 (其所在地區) AWS 帳戶 帶有身份證 123456789012.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
下列範例示範一個原則,明確拒絕任何未命名之追蹤的 CloudTrail 動作 My-First-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudtrail:*" ], "NotResource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ] }
範例:在特定追蹤建立和套用政策的動作
您可以使用權限和策略來控制使用者對 CloudTrail 追蹤執行特定動作的能力。
例如,您不希望公司開發人員群組的使用者開始或停止記錄特定追蹤。不過,您可能想要授予他們對追蹤執行 DescribeTrails 和 GetTrailStatus 動作的許可。您要開發人員群組使用者在他們管理的追蹤上執行 StartLogging 或 StopLogging 動作。
您可以建立兩個原則陳述式,並將它們附加到您在其中建立的開發人員群組IAM。若要取得有關中的群組的更多資訊IAM,請參閱《IAM使用指南》中的〈IAM群
在第一個策略中,您拒絕指定的軌跡ARN的StartLogging和StopLogging處理行動。在下列範例中,系統線ARN為arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446057698000", "Effect": "Deny", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail" ] } ] }
在第二個策略中,允許對所有 CloudTrail 資源GetTrailStatus執行DescribeTrails和動作:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446072643000", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus" ], "Resource": [ "*" ] } ] }
如果開發人員群組使用者嘗試開始或停止您在第一個政策中指定的追蹤記錄日誌,該使用者會收到拒絕存取的例外狀況。開發人員群組使用者可以對他們所建立及管理的追蹤予以開始與停止記錄日誌。
以下示例顯示配置的開發人員組 AWS CLI 設定檔已命名devgroup。首先,devgroup 的使用者執行 describe-trails 命令。
$ aws --profile devgroup cloudtrail describe-trails
命令成功完成並產生以下輸出:
{ "trailList": [ { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", "IsMultiRegionTrail": false, "S3BucketName": "amzn-s3-demo-bucket", "HomeRegion": "us-east-2" } ] }
使用者接著會對您在第一個政策中指定的追蹤執行 get-trail-status 命令。
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
命令成功完成並產生以下輸出:
{ "LatestDeliveryTime": 1449517556.256, "LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", "LatestNotificationAttemptSucceeded": "", "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", "IsLogging": true, "TimeLoggingStarted": "2015-12-07T19:36:27Z", "StartLoggingTime": 1449516987.685, "StopLoggingTime": 1449516977.332, "LatestNotificationAttemptTime": "", "TimeLoggingStopped": "2015-12-07T19:36:17Z" }
接下來,devgroup 群組中的使用者對同一個追蹤執行 stop-logging 命令。
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
命令會傳回拒絕存取的例外狀況,例如下列內容:
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
使用者會對相同的追蹤執行 start-logging 命令。
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
命令再次傳回拒絕存取的例外狀況,例如下列內容:
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限
在以下政策範例中,如果下方條件中至少有一項不符合,使用 CreateEventDataStore 建立事件資料存放區的許可便會被拒絕:
-
事件資料存放區沒有套用至自身之
stage的標籤索引鍵 -
階段標籤的值不是
alpha、beta、gamma或prod。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/stage": "true" } } }, { "Effect": "Deny", "Action": "cloudtrail:CreateEventDataStore", "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/stage": [ "alpha", "beta", "gamma", "prod" ] } } } ] }
在以下政策範例中,如果事件資料存放區有值為 prod 的 stage 標籤,則使用 DeleteEventDataStore 刪除事件資料存放區的許可會被拒絕。類似的政策可以協助保護事件資料存放區免遭意外刪除。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:DeleteEventDataStore", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }
使用 CloudTrail 主控台
若要存取 AWS CloudTrail 控制台中,您必須具有最低限度的權限集。這些權限必須允許您列出和查看有關 CloudTrail 資源的詳細信息 AWS 帳戶。 如果您建立的以身分識別為基礎的原則比所需的最低權限更嚴格,則控制台將無法如預期用於具有該原則的實體 (使用者或角色) 運作。
您不需要針對只撥打電話的使用者允許最低主控台權限 AWS CLI 或 AWS API。相反地,只允許存取符合他們嘗試執行之API作業的動作。
授與CloudTrail 管理權限
若要允許IAM角色或使用者管理 CloudTrail 資源 (例如追蹤、事件資料存放區或通道),您必須授與明確的權限,才能執行與 CloudTrail 工作相關聯的動作。在大多數情況下,您可以使用 AWS 包含預先定義權限的受管理策略。
注意
您授予使用者執行 CloudTrail 管理任務的許可與將日誌檔傳送到 Amazon S3 儲存貯體或傳送通知給 Amazon SNS 主題所 CloudTrail 需的許可不同。如需這些許可的詳細資訊,請參閱 Amazon S3 存儲桶政策 CloudTrail。
如果您設定與 Amazon CloudWatch 日誌的整合, CloudTrail 還需要一個角色,該角色可將事件傳遞到 Amazon CloudWatch 日誌日誌群組。您必須建立使 CloudTrail 用的角色。如需詳細資訊,請參閱 授與在主控台上檢視和設定 Amazon CloudWatch 日誌資 CloudTrail 訊的權限 和 將事件傳送至 CloudWatch 記錄檔。
如下所示 AWS 受管理的策略適用於 CloudTrail:
-
AWSCloudTrail_FullAccess— 此原則提供對 CloudTrail 資源 CloudTrail 動作 (例如追蹤、事件資料存放區和通道) 的完整存取權。此原則提供建立、更新和刪除 CloudTrail 追蹤、事件資料存放區和通道所需的權限。
此政策還提供管理 Amazon S3 儲存貯體、日誌的 CloudWatch 日誌群組以及追蹤的 Amazon SNS 主題的許可。不過,受
AWSCloudTrail_FullAccess管政策並未提供刪除 Amazon S3 儲存貯體、日誌的 CloudWatch 日誌群組或 Amazon SNS 主題的許可。如需其他人的受管理原則的相關資 AWS 服務,請參閱 AWS 受管理策略參考指南。注意
AWSCloudTrail_FullAccess策略不打算在您的間廣泛共享 AWS 帳戶使用此角色的使用者可以在自己的 中關閉或重新設定最敏感和重要的稽核功能。 AWS 帳戶。 因此,您只能將此策略套用至帳戶管理員。您必須嚴密控制並監視此政策的使用狀況。
-
AWSCloudTrail_ReadOnlyAccess— 此原則授與檢視 CloudTrail 主控台的權限,包括最近的事件和事件歷程記錄。此政策還允許您檢視現有的追蹤、事件資料存放區和通道。使用此政策的角色和使用者可以下載事件歷史記錄,但無法建立或更新追蹤、事件資料存放區或通道。
若要提供存取權,請新增權限至您的使用者、群組或角色:
-
中的使用者和群組 AWS IAM Identity Center:
建立權限合集。遵循中建立權限集中的指示 AWS IAM Identity Center 使用者指南。
-
IAM透過身分識別提供者管理的使用者:
建立聯合身分的角色。請遵循《使用指南》中的〈為第三方身分識別提供IAM者 (同盟) 建立角色〉中的指示進行。
-
IAM使用者:
-
建立您的使用者可擔任的角色。請按照《用戶指南》中的「為IAM用戶創建角色」中的IAM說明進行操作。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。遵循《使用者指南》中的「向使用者 (主控台) 新增權限」IAM 中的指示進行。
-
其他資源
若要進一步了解如IAM何使用提供身分識別 (例如使用者和角色、帳戶中資源的存取權),請參閱的設定IAM和存取管理 AWS《IAM使用者指南》中的資源。
您不需要針對只撥打電話的使用者允許最低主控台權限 AWS CLI 或 AWS API。相反地,只允許存取與您嘗試執行之API作業相符的動作。
允許使用者檢視他們自己的許可
此範例顯示如何建立原則,讓使IAM用者檢視附加至其使用者身分識別的內嵌和受管理原則。此原則包含在主控台上完成此動作的權限,或以程式設計方式使用 AWS CLI 或 AWS API.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
授與使用者的自訂 CloudTrail 權限
CloudTrail 策略會將權限授與合作的使用者 CloudTrail。如果您需要授與不同的權限給使用者,您可以將 CloudTrail 原則附加到IAM群組或使用者。您可以編輯政策,藉以包含或排除特定許可。您也可以建立自己的自訂政策。策略是定義允許使用者執行的動作以及允許使用者執行這些動作的資源的JSON文件。如需具體範例,請參閱 範例:允許和拒絕對於特定追蹤的動作 和 範例:在特定追蹤建立和套用政策的動作。
內容
唯讀存取
下列範例顯示授與 CloudTrail 追蹤唯讀存取權的原則。這等同於受管理的策略 AWSCloudTrail_ReadOnlyAccess。 它授予使用者查看追蹤資訊的權限,但無法建立或更新追蹤。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:Get*", "cloudtrail:Describe*", "cloudtrail:List*", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }
在政策陳述式中,Effect 元素指定允許或拒絕動作。Action 元素列出允許使用者執行的特定動作。元Resource素會列出 AWS 允許使用者執行這些動作的資源。對於控制 CloudTrail 動作存取權的原則,Resource元素通常會設定為*,萬用字元表示「所有資源」。
Action元素中的值對應於服務支援的值。APIs動作前面會加上,cloudtrail:以指出它們參照 CloudTrail 動作。您可以在 Action 元素中使用 * 萬用字元,如下列範例所示:
-
"Action": ["cloudtrail:*Logging"]這允許所有以「Logging」(
StartLogging,StopLogging) 結尾的 CloudTrail 動作。 -
"Action": ["cloudtrail:*"]這允許所有 CloudTrail 操作,但不允許其他操作 AWS 服務。
-
"Action": ["*"]這允許所有 AWS 動作。此權限適用於作為 AWS 您帳戶的管理員。
唯讀政策不會將 CreateTrail、UpdateTrail、StartLogging 和 StopLogging 動作的許可授予使用者。不允許具有此政策的使用者建立追蹤、更新追蹤,或是開啟或關閉記錄日誌。如需動 CloudTrail 作清單,請參閱 AWS CloudTrail API參考。
完整 存取
下列範例顯示授與完整存取權的策略 CloudTrail。這等同於受管理的策略 AWSCloudTrail_FullAccess。 它授予用戶執行所有 CloudTrail 操作的權限。它也可以讓使用者在 Amazon S3 和記錄資料事件 AWS Lambda、管理 Amazon S3 儲存貯體中的檔案、管理 CloudWatch 日誌監控日 CloudTrail 誌事件的方式,以及在使用者關聯的帳戶中管理 Amazon SNS 主題。
重要
AWSCloudTrail_FullAccess策略或同等權限不打算在您的間廣泛共享 AWS 帳戶。具有此角色或同等存取權的使用者可以停用或重新設定其中最敏感和最重要的稽核功能 AWS 帳戶。因此,此政策應僅套用於帳戶管理員,並且在嚴密的控制和監控下使用此政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:SetTopicAttributes", "sns:GetTopicAttributes" ], "Resource": [ "arn:aws:sns:*:*:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-logging-bucket1*" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*" ] }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudtrail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:CreateAlias", "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "dynamodb:ListGlobalTables", "dynamodb:ListTables" ], "Resource": "*" } ] }
授予檢視權限 AWS Config CloudTrail 主控台上的資訊
您可以在 CloudTrail 主控台上檢視事件資訊,包括與該事件相關的資源。對於這些資源,您可以選擇 AWS Config 圖示,以檢視該資源的時間表 AWS Config 控制台。將此原則附加至您的使用者,以便授予他們唯讀 AWS Config 訪問。該策略未授予他們更改設置的權限 AWS Config.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:List*" ], "Resource": "*" }] }
如需詳細資訊,請參閱使用 AWS Config檢視所參考的資源。
授與在主控台上檢視和設定 Amazon CloudWatch 日誌資 CloudTrail 訊的權限
如果您有足夠的權限,您可以在 CloudTrail 主控台中檢視和設定事件傳遞至 CloudWatch 記錄檔。這些權限可能超出授予 CloudTrail系統管理員的權限。將此原則附加至將設定及管理與 CloudWatch 記錄 CloudTrail整合的系統管理員。此原則不會直接授與他們記錄檔 CloudTrail 或 CloudWatch 記錄檔中的權限,而是授與建立和設定角色所需的權限, CloudTrail將假設成功將事件傳遞至您的 CloudWatch 記錄群組。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }] }
如需詳細資訊,請參閱使用 Amazon CloudWatch 日 CloudTrail 誌監控日誌檔。
其他資訊
若要進一步了解如IAM何使用提供身分識別 (例如使用者和角色、帳戶中資源的存取權),請參閱入門和存取管理 AWS《IAM使用者指南》中的資源。
