本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon CloudTrail 与接口 VPC 终端节点一起使用
如果您使用亚马逊虚拟私有云(Amazon VPC)托管 Amazon 资源,则可以在您的 VPC 和之间建立私有连接 Amazon CloudTrail。您可以使用此连接实现 CloudTrail 与您的 VPC 上的资源的通信而不用访问公共 Internet。
Amazon VPC 是一项 Amazon 服务,可用于在您定义的虚拟网络中启动 Amazon 资源。借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。使用 VPC 终端节点,VPC 和 Amazon 服务之间的路由由 Amazon 网络处理,您可以使用 IAM 策略来控制对服务资源的访问。
要将您的 VPC 连接到 CloudTrail,您需要为定义接口 VPC 终端节点 CloudTrail。接口终端节点是一个带有私有 IP 地址的 elastic network 接口,该地址用作发往受支持 Amazon 服务的流量的入口点。该端点 CloudTrail 无需互联网网关、网络地址转换 (NAT) 实例或 VPN 连接即可提供可靠、可扩展的连接。有关更多信息,请参阅 Amazon VPC 用户指南中的什么是 Amazon VPC。
Interface VPC 终端节点由 Amazon PrivateLink一种 Amazon 技术提供支持,该技术使用带有私有 IP 地址的弹性网络接口实现 Amazon 服务之间的私密通信。有关更多信息,请参阅 Amazon PrivateLink
以下部分适用于亚马逊 VPC 的用户。有关更多信息,请参阅 Amazon VPC 用户指南 中的 Amazon VPC 入门。
区域
Amazon CloudTrail 全部 Amazon Web Services 区域 支持 VPC 终端节点和 VPC 终端节点策略。 CloudTrail
为创建 VPC 终端节点 CloudTrail
要开始在您的 VPC 中使用 CloudTrail ,请为创建一个接口 VPC 终端节点 CloudTrail。有关更多信息,请参阅 Amazon VPC 用户指南中的 Amazon Web Services 服务 使用接口 VPC 终端节点访问和。
您无需更改的设置 CloudTrail。 CloudTrail Amazon Web Services 服务 使用公共终端节点或私有接口 VPC 终端节点调用其他终端节点,以正在使用哪个终端节点为准。
为创建 VPC 终端节点策略 CloudTrail
VPC 终端节点策略是一种 IAM 资源,您可以将其附加到接口 VPC 终端节点。默认终端节点策略允许您 CloudTrail APIs 通过接口 VPC 终端节点进行完全访问。要控制 CloudTrail 从您的 VPC 授予的访问权限,请将自定义终端节点策略附加到接口 VPC 终端节点。
端点策略指定以下信息:
-
可执行操作的主体(Amazon Web Services 账户、IAM 用户和 IAM 角色)。
-
可执行的操作。
-
可对其执行操作的资源。
有关 VPC 终端节点策略的更多信息,包括如何更新策略,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问。
以下是的自定义 VPC 终端节点策略的示例 CloudTrail。
策略示例:
示例:允许所有 CloudTrail 操作
以下示例 VPC 终端节点策略向所有委托人授予对所有资源的所有 CloudTrail 操作的访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Action": "cloudtrail:*", "Effect": "Allow", "Resource": "*", "Principal": "*" } ] }
示例:允许特定 CloudTrail 操作
以下示例 VPC 终端节点策略向所有委托人授予对所有资源执行cloudtrail:ListTrails和cloudtrail:ListEventDataStores操作的访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Action": ["cloudtrail:ListTrails", "cloudtrail:ListEventDataStores"], "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
示例:拒绝所有 CloudTrail 操作
以下示例 VPC 终端节点策略拒绝所有委托人访问所有资源上的所有 CloudTrail 操作。
{ "Version": "2012-10-17", "Statement": [ { "Action": "cloudtrail:*", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }
示例:拒绝特定 CloudTrail 操作
以下示例 VPC 终端节点策略拒绝所有委托人对所有资源cloudtrail:CreateEventDataStore执行cloudtrail:CreateTrail和操作。
{ "Version": "2012-10-17", "Statement": [ { "Action": ["cloudtrail:CreateTrail", "cloudtrail:CreateEventDataStore"], "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }
示例:允许来自特定 VPC 的所有 CloudTrail 操作
以下示例 VPC 终端节点策略授予所有委托人对所有资源执行所有 CloudTrail 操作的访问权限,但前提是请求者使用指定的 VPC 发出请求。vpc-id替换为您的 VPC ID。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*", "Principal": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-id" } } } ] }
示例:允许来自特定 VPC 终端节点的所有 CloudTrail 操作
以下示例 VPC 终端节点策略授予所有委托人对所有资源执行所有 CloudTrail 操作的访问权限,但前提是请求者使用指定的 VPC 终端节点发出请求。vpc-endpoint-id替换为您的 VPC 终端节点 ID。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudtrail:", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpce": "vpc-endpoint-id" } } } ] }
共享子网
与任何其他 CloudTrail VPC 终端节点一样,VPC 终端节点只能由共享子网中的所有者账户创建。但是,参与者账户可以在与参与者账户共享的子网中使用 CloudTrail VPC 终端节点。有关 VPC 共享的更多信息,请参阅《Amazon VPC 用户指南》中的与其他账户共享 VPC。