AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

故障排除 AWS CloudTrail 身份和访问

使用以下信息可帮助您诊断和修复在使用 CloudTrail 和 IAM 时可能遇到的常见问题。

我无权在 CloudTrail 中执行操作

如果 AWS 管理控制台 告诉您,您无权执行某个操作,则必须联系您的管理员寻求帮助。您的管理员是指为您提供用户名和密码的那个人。

在如下情况下,会发生下面的示例错误:当 mateojackson IAM 用户尝试使用控制台查看有关跟踪的详细信息,但并没有将适当的 CloudTrail 托管策略(AWSCloudTrailFullAccessAWSCloudTrailReadOnlyAccess)或等效权限应用到其账户。

User: arn:aws-cn:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource: My-Trail

在这种情况下,Mateo 请求他的管理员更新其策略,以允许他在控制台中访问跟踪信息和状态。

如果您使用一个具有 AWSCloudTrailFullAccess 托管策略或其等效权限的 IAM 用户或角色登录,并且您无法配置 AWS Config 或 Amazon CloudWatch Logs 与跟踪的集成,则您可能缺少与这些服务集成所需的权限。有关更多信息,请参阅 授予在 CloudTrail 控制台中查看 AWS Config 信息的权限授予在 Amazon CloudWatch Logs 控制台中查看和配置 CloudTrail 信息的权限

我是管理员并希望允许其他人访问 CloudTrail

要允许其他人访问 CloudTrail,您必须为需要访问权限的人员或应用程序创建 IAM 实体(用户、组或角色)。他们(它们)将使用该实体的凭证访问 AWS。然后,您必须将策略附加到实体,以便在 CloudTrail 中为这些实体授予正确的权限。有关如何执行此操作的示例,请参阅向 CloudTrail 用户授予自定义权限授予 CloudTrail 管理权限

我想要允许我的 AWS 账户之外的用户访问我的 CloudTrail 资源

您可以创建一个角色和并在多个 AWS 账户之间共享 CloudTrail 信息。有关更多信息,请参阅 在 AWS 账户之间共享 CloudTrail 日志文件

You can create a role that users in other accounts or people outside of your organization can use to access your resources. You can specify who is trusted to assume the role. For services that support resource-based policies or access control lists (ACLs), you can use those policies to grant people access to your resources.

To learn more, consult the following: