控制 CloudTrail 的用户权限
AWS CloudTrail 与 AWS Identity and Access Management (IAM) 集成,这将允许您控制对 CloudTrail 和 CloudTrail 所需的其他 AWS 资源(包括 Amazon S3 存储桶和 Amazon Simple Notification Service (Amazon SNS) 主题)的访问。您可使用 AWS Identity and Access Management 控制哪些 AWS 用户可创建、配置或删除 AWS CloudTrail 跟踪、启动和停止日志记录以及访问包含日志信息的存储桶。
如果您使用 CloudTrail 作为账户中的根用户,则可执行与跟踪关联的所有任务,包括创建跟踪、读取日志等。如果您组织中的其他人员需要使用 CloudTrail,您可为这些人员创建 IAM 用户并为其提供单独的名称和密码。在执行此操作时,您还必须为用户提供使用 CloudTrail 的权限以及用户需要访问的任何其他 AWS 服务(如 Amazon S3)的权限。(默认情况下,IAM 用户没有权限且无法在 AWS 中执行任何操作。)
重要
我们认为最佳做法是,在不使用根账户证书的情况下在 AWS 中执行日常工作。相反,我们建议您创建具有适当权限的 IAM 管理员组,为您组织中需要执行管理任务的人员(包括您自己)创建 IAM 用户,并将这些用户添加到管理员组。有关更多信息,请参阅 IAM 用户指南 指南中的 IAM 最佳实践。
以下主题可能还有助于您了解许可、策略和 CloudTrail 安全性: