AWS CloudTrail 基于身份的策略示例 - AWS CloudTrail
策略最佳实践例如:允许和拒绝针对指定跟踪的操作示例:为针对特定跟踪的操作创建和应用策略使用控制台允许用户查看他们自己的权限授予 CloudTrail 用户的自定义权限
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS CloudTrail 基于身份的策略示例

默认情况下,IAM 用户和角色无权创建或修改 CloudTrail 资源。他们也无法使用 AWS 管理控制台、AWS CLI 或 AWS API 执行任务。IAM 管理员必须创建 IAM 策略,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户、组或角色。

要了解如何使用这些示例 JSON 策略文档创建 IAM 身份策略,请参阅。在“JSON”选项卡上创建策略中的IAM 用户指南

策略最佳实践

基于身份的策略非常强大。它们确定某个人是否可以创建、访问或删除您账户中的 CloudTrail 资源。这些操作可能会在您的 AWS 账户中产生费用。创建或编辑基于身份的策略时,请遵循以下准则和建议:

  • 入门 AWS 托管策略— 要快速开始使用 CloudTrail,请使用 AWS 托管策略为您的员工提供所需的权限。已在您的账户中提供这些策略,并由 AWS 进行维护和更新。有关更多信息,请参阅 。通过 AWS 托管策略开始使用权限中的IAM 用户指南

  • 授予最低权限 – 创建自定义策略时,仅授予执行任务所需的许可。最开始只授予最低权限,然后根据需要授予其他权限。这样做比起一开始就授予过于宽松的权限而后再尝试收紧权限来说更为安全。有关更多信息,请参阅 。授予最低权限中的IAM 用户指南

  • 为敏感操作启用 MFA – 为了提高安全性,要求 IAM 用户使用多重验证 (MFA) 访问敏感资源或 API 操作。有关更多信息,请参阅 。在 AWS 中使用多重验证 (MFA)中的IAM 用户指南

  • 使用策略条件来增强安全性 – 在切实可行的范围内,定义基于身份的策略在哪些情况下允许访问资源。例如,您可编写条件来指定请求必须来自允许的 IP 地址范围。您也可以编写条件,以便仅允许指定日期或时间范围内的请求,或者要求使用 SSL 或 MFA。有关更多信息,请参阅 。IAM JSON 策略元素:Condition中的IAM 用户指南

CloudTrail 没有可以在Condition元素的政策声明。

例如:允许和拒绝针对指定跟踪的操作

以下示例演示了一个策略,该策略允许具有此策略的用户查看跟踪的状态和配置,并为名为 my-First-Trail 的跟踪启动和停止日志记录。此跟踪是在 AWS 账户中的美国东部(俄亥俄)区域(其母区域)创建的 AWS 账户中的 ID 为123456789012

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "cloudtrail:StartLogging",
              "cloudtrail:StopLogging",
              "cloudtrail:GetTrail",
              "cloudtrail:GetTrailStatus",
              "cloudtrail:GetEventSelectors"
          ],
          "Resource": [
              "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail"
          ]
      }
  ]
}

以下示例演示了一个策略,该策略显式拒绝对任何未命名的跟踪执行 CloudTrail 操作我的第一步道

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Deny",
          "Action": [
              "cloudtrail:*"
          ],
          "NotResource": [
              "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail"
          ]
      }
  ]
}

示例:为针对特定跟踪的操作创建和应用策略

您可以使用权限和策略控制用户对 CloudTrail 跟踪执行特定操作的能力。

例如,您不想贵公司的开发人员组中的用户开始或停止对特定跟踪的日志记录,但想对他们授予权限以对该跟踪执行 DescribeTrailsGetTrailStatus 操作。您希望开发人员组的用户能够对自己管理的跟踪执行 StartLoggingStopLogging 操作。

您可以创建两条策略语句,然后将它们挂载到 IAM 中创建的开发人员组。有关 IAM 中的组的更多信息,请参阅。IAM 组中的IAM 用户指南

在第一条策略中,您拒绝对您指定的跟踪 ARN 执行 StartLoggingStopLogging 操作。在下面的示例中,跟踪 ARN 为 arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1446057698000",
            "Effect": "Deny",
            "Action": [
                "cloudtrail:StartLogging",
                "cloudtrail:StopLogging"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail"
            ]
        }
    ]
}

在第二条策略中,DescribeTrailsGetTrailStatus允许对所有 CloudTrail 资源执行操作: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1446072643000",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrail",
                "cloudtrail:GetTrailStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

如果开发人员组中的用户尝试针对您在第一条策略中指定的跟踪启动或停止日志记录,该用户会收到拒绝访问异常。该开发人员组中的用户可针对自己创建和管理的跟踪启动和停止日志记录。

以下 CLI 示例显示已在名为的 AWS CLI 配置文件中配置开发人员组。devgroup。首先,devgroup 的用户运行 describe-trails 命令。 

$ aws --profile devgroup cloudtrail describe-trails

该命令成功完成:

{
    "trailList": [
        {
            "IncludeGlobalServiceEvents": true, 
            "Name": "Default", 
            "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", 
            "IsMultiRegionTrail": false, 
            "S3BucketName": "myS3bucket ", 
            "HomeRegion": "us-east-2"
        }
    ]
}

然后,该用户针对您在第一条策略中指定的跟踪运行 get-trail-status 命令。 

$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail

该命令成功完成:

{
    "LatestDeliveryTime": 1449517556.256, 
    "LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", 
    "LatestNotificationAttemptSucceeded": "", 
    "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-12-07T19:36:27Z", 
    "StartLoggingTime": 1449516987.685, 
    "StopLoggingTime": 1449516977.332, 
    "LatestNotificationAttemptTime": "", 
    "TimeLoggingStopped": "2015-12-07T19:36:17Z"
}

接下来,一位 devgroup 用户针对同一个跟踪运行 stop-logging 命令。 

$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail

该命令返回拒绝访问异常:

A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown

该用户针对同一个跟踪运行 start-logging 命令。 

$ aws --profile devgroup cloudtrail start-logging --name Example-Trail

该命令返回拒绝访问异常:

A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown

授予使用 CloudTrail 控制台的权限

授予 CloudTrail 管理权限

要允许用户管理 CloudTrail 跟踪,您必须向 IAM 用户授予显式权限以使其能够执行与 CloudTrail 相关的操作。在大多数情况下,您可以使用包含预定义权限的 AWS 托管策略来执行此操作。

注意

您向用户授予的执行 CloudTrail 管理任务的权限不同于 CloudTrail 本身为将日志文件传送到 Amazon S3 存储桶或将通知发送到 Amazon SNS 主题所需的权限。有关这些权限的更多信息,请参阅适用于 CloudTrail 的 Amazon S3 存储桶策略

如果您配置与 Amazon CloudWatch Logs 的集成,则 CloudTrail 还需要一个角色,可通过代入此角色来将事件传送到 Amazon CloudWatch Logs 组。这将需要额外的权限以创建角色以及角色本身。有关更多信息,请参阅 授予在 CloudTrail 控制台中查看和配置 Amazon CloudWatch Logs 信息的权限将事件发送到 CloudWatch Logs

一种典型方法是创建具有适当权限的 IAM 组,然后将单个 IAM 用户添加到该组。例如,您可以为应具有 CloudTrail 操作的完全访问权的用户创建 IAM 组,并为应能够查看跟踪信息而不是创建或更改跟踪的用户创建单独的组。

创建 IAM 组和用户以进行 CloudTrail 访问

  1. 通过打开 IAM 控制台https://console.aws.amazon.com/iam

  2. 在控制面板的导航窗格中,选择 Groups,然后选择 Create New Group

  3. 键入名称,然后选择 Next Step

  4. 在存储库的附加策略页面上,找到并选择适用于 CloudTrail 的下列策略之一:

    • AWS 云跟踪 _ 完全访问。此策略使该组中的用户可以完全访问 CloudTrail 操作。这些用户有权管理(但不得删除)Amazon S3 存储桶、CloudWatch Logs 组和某个跟踪的 Amazon SNS 主题。

      注意

      这些区域有:AWS 云跟踪 _ 完全访问策略不打算跨您的 AWS 账户广泛共享。拥有此角色的用户能够禁用或重新配置他们的 AWS 账户中最敏感且最重要的审计函数。因此,此策略应仅应用于账户管理员,并且此策略的使用应受到密切控制和监控。

    • AWSCloudTrailReadOnlyAccess。此策略可让组中的用户查看 CloudTrail 控制台,包括近期事件和事件历史记录。这些用户还可以查看现有跟踪及其存储桶。用户可以下载事件历史记录文件,但无法创建或更新跟踪。

    注意

    您还可创建用于授予单个操作的权限的自定义策略。有关更多信息,请参阅授予 CloudTrail 用户的自定义权限

  5. 选择下一步

  6. 查看您即将创建的组的信息。

    注意

    您可以编辑组名,但需要再次选择策略。

  7. 选择创建组。已创建的组将显示在组列表中。

  8. 选择创建的组名称,然后选择组操作,然后选择将用户添加到组

  9. 在存储库的将用户添加到组页面上,选择现有的 IAM 用户,然后选择添加用户。如果您还没有 IAM 用户,请选择创建新用户,输入用户名,然后选择Create

  10. 如果创建了新用户,请在导航窗格中选择 Users,然后针对每个用户完成以下操作:

    1. 选择用户。

    2. 如果用户将使用控制台管理 CloudTrail,则在安全凭证选项卡上,选择管理密码,然后为用户创建密码。

    3. 如果用户将使用 CLI 或 API 管理 CloudTrail,并且如果您尚未创建访问密钥,则在安全凭证选项卡上,选择管理访问密钥,然后创建访问密钥。将密钥存储在安全位置。

    4. 为每个用户提供证书(访问密钥或密码)。

其他资源

要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅使用控制台创建管理员组权限与策略中的IAM 用户指南

对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其提供最低控制台权限。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。

允许用户查看他们自己的权限

该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管策略。该策略包括在控制台上或以编程方式使用 AWS CLI 或 AWS API 完成该操作所需的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

授予 CloudTrail 用户的自定义权限

CloudTrail 策略向使用 CloudTrail 的用户授予权限。如果您需要向用户授予不同权限,可将 CloudTrail 策略附加到 IAM 组或用户。您可以编辑策略,使之包括或排除特定权限。您还可以创建自己的自定义策略。策略是一些 JSON 文档,它们定义了允许用户执行的操作以及允许用户对哪些资源执行这些操作。有关特定示例,请参阅 例如:允许和拒绝针对指定跟踪的操作示例:为针对特定跟踪的操作创建和应用策略

只读访问权限

以下示例演示了一个策略,该策略授予对 CloudTrail 跟踪的只读访问权。该示例等同于托管策略 AWSCloudTrailReadOnlyAccess。它对用户授予查看跟踪信息的权限,而不是创建或更新跟踪的权限。此策略还授予了读取 Amazon S3 存储桶中的对象的权限,而不是创建或删除这些对象的权限。 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudtrail:DescribeTrails",
        "cloudtrail:GetTrail",
        "cloudtrail:GetTrailStatus",
        "cloudtrail:LookupEvents",
        "cloudtrail:ListPublicKeys",
        "cloudtrail:ListTags",
        "s3:ListAllMyBuckets",
        "kms:ListAliases",
        "lambda:ListFunctions"
      ],
      "Resource": "*"
    }
  ]
}

在这些策略语句中,Effect 元素指定是允许还是拒绝操作。Action 元素列出了允许用户执行的特定操作。这些区域有:Resource元素列出允许用户对其执行这些操作的 AWS 资源。对于控制对 CloudTrail 操作的访问权限的策略,Resource元素通常设置为*,表示 “所有资源” 的通配符。

Action 元素中的值对应于服务支持的 API。这些操作前面是cloudtrail:以表示其指的是 CloudTrail 操作。您可以在 Action 元素中使用 * 通配符,如以下示例所示:

  • "Action": ["cloudtrail:*Logging"]

    这允许以 “Logging” 结尾的所有 CloudTrail 操作 (StartLoggingStopLogging)。

  • "Action": ["cloudtrail:*"]

    这允许所有 CloudTrail 操作,但不允许其他 AWS 服务的操作。

  • "Action": ["*"]

    该示例允许所有 AWS 操作。此权限适合授予充当您账户的 AWS 管理员的用户。

只读策略不对用户授予执行 CreateTrailUpdateTrailStartLoggingStopLogging 操作的权限。具有此策略的用户不能够创建跟踪、更新跟踪或启用和关闭日志记录。有关 CloudTrail 操作的列表,请参阅AWS CloudTrail API 参考

完全访问权限

以下示例展示了一个授予对 CloudTrail 的完全访问权限的策略。该示例等同于托管策略AWS 云跟踪 _ 完全访问。它授予用户执行所有 CloudTrail 操作的权限。它还允许用户记录 Amazon S3 和 AWS Lambda 中的数据事件、管理 Amazon S3 存储桶中的文件、管理 CloudWatch Logs 监控 CloudTrail 日志事件的方式,以及管理与用户关联的账户中的 Amazon SNS 主题。

重要

这些区域有:AWS 云跟踪 _ 完全访问策略或等同的权限不打算跨您的 AWS 账户广泛共享。拥有此角色或等同访问权限的用户能够禁用或重新配置他们的 AWS 账户中最敏感且最重要的审计函数。因此,此策略应仅应用于账户管理员,并且此策略的使用应受到密切控制和监控。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sns:AddPermission",
                "sns:CreateTopic",
                "sns:SetTopicAttributes",
                "sns:GetTopicAttributes"
            ],
            "Resource": [
                "arn:aws:sns:*:*:aws-cloudtrail-logs*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy"
            ],
            "Resource": [
                "arn:aws:s3:::aws-cloudtrail-logs*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "cloudtrail:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:GetRolePolicy",
                "iam:GetUser"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudtrail.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateKey",
                "kms:CreateAlias",
                "kms:ListKeys",
                "kms:ListAliases"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:ListFunctions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:ListGlobalTables",
                "dynamodb:ListTables"
            ],
            "Resource": "*"
        }
    ]
}

授予在 CloudTrail 控制台中查看 AWS Config 信息的权限

您可以在 CloudTrail 控制台中查看事件信息,包括与该事件相关的资源。对于这些资源,您可以选择 AWS Config 图标在 AWS Config 控制台中查看资源的时间表。将此策略挂载到您的用户,以对其授予只读 AWS Config 访问权限。该策略不对他们授予在 AWS Config 中更改设置的权限。 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "config:Get*",
            "config:Describe*",
            "config:List*"
        ],
        "Resource": "*"
    }]
}

有关更多信息,请参阅查看 AWS Config 引用的资源

授予在 CloudTrail 控制台中查看和配置 Amazon CloudWatch Logs 信息的权限

如果您具有足够的权限,则可以在 CloudTrail 控制台查看和配置将事件传送到 CloudWatch 日志。这些权限可能超出了为 CloudTrail 管理员授予的权限。可将此策略附加到将配置和管理与 CloudTrail Watch 日志集成的管理员。该策略不会在 CloudTrail 或 CCloudWatch Logs 中直接授予他们权限,而是授予创建和配置 CloudTrail 将代入的角色所需的权限,以成功地将事件传送到您的 CloudWatch Logs 组。 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "iam:CreateRole",
            "iam:PutRolePolicy",
            "iam:AttachRolePolicy",
            "iam:ListRoles",
            "iam:GetRolePolicy",
            "iam:GetUser"
        ],
        "Resource": "*"
    }]
}

有关更多信息,请参阅使用 Amazon CloudTrail Logs Logs Logs 监控 CloudLogs 日志文件

附加信息

要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅创建您的第一个 IAM 用户和管理员组访问控制中的IAM 用户指南