AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

授予 CloudTrail 管理权限

要允许用户管理 CloudTrail 跟踪,您必须向 IAM 用户授予显式权限以使其能够执行与 CloudTrail 关联的操作。在大多数情况下,您可以使用包含预定义权限的 AWS 托管策略来执行此操作。

注意

您向用户授予的执行 CloudTrail 管理任务的权限不同于 CloudTrail 本身将日志文件传输到 Amazon S3 存储桶或将通知发送到 Amazon SNS 主题所需的权限。有关这些权限的更多信息,请参阅 获取并查看您的 CloudTrail 日志文件。此外,CloudTrail 需要一个角色,可通过代入此角色来将事件传输到 Amazon CloudWatch Logs 日志组。有关更多信息,请参阅向 CloudTrail 用户授予自定义权限

一种典型方法是创建具有适当权限的 IAM 组,然后将单个 IAM 用户添加到该组。例如,您可以为应具有 CloudTrail 操作的完全访问权的用户创建 IAM 组,并为应能够查看跟踪信息而不是创建或更改跟踪的用户创建单独的组。

创建 IAM 组和用户以进行 CloudTrail 访问

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam

  2. 在控制面板的导航窗格中,选择 Groups,然后选择 Create New Group

  3. 键入名称,然后选择 Next Step

  4. Attach Policy 页面上,找到并选择适用于 CloudTrail 的下列策略之一:

    • AWSCloudTrailFullAccess。此策略使该组中的用户可以完全访问 CloudTrail 操作。这些用户有权管理 Amazon S3 存储桶、CloudWatch Logs 的日志组和某个跟踪的 Amazon SNS 主题。

    • AWSCloudTrailReadOnlyAccess。此策略可让组中的用户查看 CloudTrail 控制台,包括近期事件和事件历史记录。这些用户还可以查看现有跟踪及其存储桶。用户可以下载事件历史记录文件,但无法创建或更新跟踪。

    注意

    您还可创建用于授予单个操作的权限的自定义策略。有关更多信息,请参阅向 CloudTrail 用户授予自定义权限

  5. 选择 Next Step

  6. 查看您即将创建的组的信息。

    注意

    您可以编辑组名,但需要再次选择策略。

  7. 选择 Create Group。已创建的组将显示在组列表中。

  8. 选择您创建的组名,选择 Group Actions,然后选择 Add Users to Group

  9. Add Users to Group 页面上,选择现有的 IAM 用户,然后选择 Add Users。如果还没有 IAM 用户,请选择 Create New Users,输入用户名,然后选择 Create

  10. 如果创建了新用户,请在导航窗格中选择 Users,然后针对每个用户完成以下操作:

    1. 选择用户。

    2. 如果用户将使用控制台管理 CloudTrail,则在 Security Credentials 选项卡中选择 Manage Password,然后为用户创建密码。

    3. 如果用户将使用 CLI 或 API 管理 CloudTrail,并且如果您尚未创建访问密钥,则在 Security Credentials 选项卡中选择 Manage Access Keys,然后创建访问密钥。将密钥存储在安全位置。

    4. 为每个用户提供证书(访问密钥或密码)。

其他资源

要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅 IAM 用户指南 中的使用控制台创建管理员组权限与策略

本页内容: