本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对 Amazon CloudTrail 身份和访问进行故障排除
使用以下信息来帮助您诊断和修复在使用 CloudTrail 和 IAM 时可能遇到的常见问题。
主题
我无权在以下位置执行操作 CloudTrail
如果您收到错误提示,表明您无权执行某个操作,则您必须更新策略以允许执行该操作。
当 mateojackson IAM 用户尝试使用控制台查看有关虚构 my-example-widgetcloudtrail: 权限时,会发生以下示例错误。GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetWidgeton resource:my-example-widget
在此情况下,必须更新 mateojackson 用户的策略,以允许使用 cloudtrail: 操作访问 GetWidgetmy-example-widget
如果您需要帮助,请联系您的 Amazon 管理员。您的管理员是提供登录凭证的人。
如果 Amazon Web Services Management Console 告诉您,您无权执行某个操作,则必须联系您的管理员寻求帮助。管理员是向您提供登录凭证的人。
当 mateojackson IAM 用户尝试使用控制台查看有关跟踪的详细信息,但其账户没有相应的 CloudTrail 托管策略(AWSCloudTrail_FullAccess或 AWSCloudTrail_ReadOnlyAccess)或等效权限时,就会出现以下示例错误。
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource:My-Trail
在这种情况下,Mateo 请求他的管理员更新其策略,以允许他在控制台中访问跟踪信息和状态。
如果您使用具有AWSCloudTrail_FullAccess托管策略或其等效权限的 IAM 用户或角色登录,并且无法配置跟踪Amazon Config或 Amazon CloudWatch Logs 集成,则可能缺少与这些服务集成所需的权限。有关更多信息,请参阅 授予在 CloudTrail 控制台上查看Amazon Config信息的权限和 授予在 CloudTrail 控制台上查看和配置 Amazon CloudWatch 日志信息的权限。
我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 iam:PassRole 操作,则必须更新策略以允许您将角色传递给 CloudTrail。
有些 Amazon Web Services 允许将现有角色传递到该服务,而不是创建新服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 marymajor 的 IAM 用户尝试使用控制台在 CloudTrail 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
在这种情况下,必须更新 Mary 的策略以允许她执行 iam:PassRole 操作。
如果您需要帮助,请联系 Amazon 管理员。您的管理员是提供登录凭证的人。
我想允许我以外的人Amazon Web Services 账户访问我的 CloudTrail 资源
您可以创建一个角色并在多个角色之间共享 CloudTrail 信息Amazon Web Services 账户。有关更多信息,请参阅 在 Amazon 账户之间共享 CloudTrail 日志文件。
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表(ACL)的服务,您可以使用这些策略向人员授予对您的资源的访问权。
要了解更多信息,请参阅以下内容:
-
要了解是否 CloudTrail 支持这些功能,请参阅Amazon CloudTrail 如何与 IAM 协同工作。
-
要了解如何为您拥有的 Amazon Web Services 账户 中的资源提供访问权限,请参阅《IAM 用户指南》中的为您拥有的另一个 Amazon Web Services 账户 中的 IAM 用户提供访问权限。
-
要了解如何为第三方 Amazon Web Services 账户提供您的资源的访问权限,请参阅《IAM 用户指南》中的为第三方拥有的 Amazon Web Services 账户提供访问权限。
-
要了解如何通过联合身份验证提供访问权限,请参阅《IAM 用户指南》中的为经过外部身份验证的用户(联合身份验证)提供访问权限。
-
要了解使用角色和基于资源的策略进行跨账户存取之间的差别,请参阅 IAM 用户指南中的 IAM 角色与基于资源的策略有何不同。
我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 iam:PassRole 操作,则必须更新策略以允许您将角色传递给 CloudTrail。
有些 Amazon Web Services 允许将现有角色传递到该服务,而不是创建新服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 marymajor 的 IAM 用户尝试使用控制台在 CloudTrail 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
在这种情况下,必须更新 Mary 的策略以允许她执行 iam:PassRole 操作。
如果您需要帮助,请联系 Amazon 管理员。您的管理员是提供登录凭证的人。
在尝试创建组织跟踪或事件数据存储时,我遇到了 NoManagementAccountSLRExistsException 异常
如果管理账户没有服务相关角色,就会引发 NoManagementAccountSLRExistsException 异常。使用 Amazon Organizations Amazon CLI 或 API 操作添加委托管理员时,即便服务相关角色不存在,也不会创建该角色。
当您使用组织的管理账户添加委派管理员或在 CloudTrail 控制台中创建组织跟踪或事件数据存储时,或者使用Amazon CLI或 CloudTrail API, CloudTrail 会自动为您的管理账户创建服务相关角色(如果尚不存在)。
如果您尚未添加委托管理员,请使用 CloudTrail 控制台Amazon CLI或 CloudTrail API 添加委派管理员。有关添加委派管理员的更多信息,请参阅添加 CloudTrail 委派管理员和 RegisterOrganizationDelegatedAdmin(API)。
如果您已经添加了委托管理员,请使用管理账户在 CloudTrail 控制台中创建组织跟踪或事件数据存储,或者使用Amazon CLI或 CloudTrail API。有关创建组织跟踪的更多信息,请参阅在控制台中为您的组织创建跟踪使用为组织创建跟踪 Amazon Command Line Interface、和 CreateTrail(API)。