将服务相关角色用于 Amazon CloudTrail - Amazon CloudTrail
CloudTrail 的服务相关角色权限为 CloudTrail 创建服务相关角色编辑 CloudTrail 的服务相关角色为 CloudTrail 删除服务相关角色CloudTrail 服务相关角色支持的区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将服务相关角色用于 Amazon CloudTrail

Amazon CloudTrail 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 CloudTrail 直接相关。服务相关角色由 CloudTrail 预定义,并包含该服务代表您调用其他 Amazon Web Services 所需的一切权限。

服务相关角色可让您更轻松地设置 CloudTrail,因为您不必手动添加必要的权限。CloudTrail 定义其服务相关角色的权限,除非另外定义,否则只有 CloudTrail 可以代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其它 IAM 实体。

有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的 Amazon 服务并查找 Service-Linked Role(服务相关角色)列中显示为 Yes(是)的服务。选择,可转到查看该服务的服务相关角色文档的链接。

CloudTrail 的服务相关角色权限

CloudTrail 使用名为 AWSServiceRoleForCloudTrail 的服务相关角色 – 此服务相关角色用于支持组织跟踪和组织事件数据存储。

AWSServiceRoleForCloudTrail 服务相关角色信任以下服务以代入该角色:

  • cloudtrail.amazonaws.com

此角色用于支持在 CloudTrail 中创建和管理 CloudTrail 组织跟踪记录和 CloudTrail Lake 组织事件数据存储。有关更多信息,请参阅为组织创建跟踪

附加到角色的 CloudTrailServiceRolePolicy 策略允许 CloudTrail 对指定资源完成以下操作:

  • 针对所有 CloudTrail 资源的操作:

    • All

  • 所有 Amazon Organizations 资源上的操作:

    • organizations:DescribeAccount

    • organizations:DescribeOrganization

    • organizations:ListAccounts

    • organizations:ListAWSServiceAccessForOrganization

  • 针对 CloudTrail 服务主体的所有 Organizations 资源的操作,用于列出组织的委托管理员:

    • organizations:ListDelegatedAdministrators

  • 在组织事件数据存储上禁用 Lake 联合身份验证的操作:

    • glue:DeleteTable

    • lakeformation:DeRegisterResource

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为 CloudTrail 创建服务相关角色

您无需手动创建服务相关角色。当您使用 CloudTrail 控制台、Amazon CLI 或 API 操作创建组织跟踪或组织事件数据存储时,或添加委托管理员时,即使尚不存在服务相关角色,CloudTrail 也会为您创建一个。

如果删除此服务相关角色,然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您创建组织跟踪或组织事件数据存储时,或添加委托管理员时,CloudTrail 会再次为您创建服务相关角色。

编辑 CloudTrail 的服务相关角色

CloudTrail 不允许您编辑 AWSServiceRoleForCloudTrail 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

为 CloudTrail 删除服务相关角色

您不需要手动删除 AWSServiceRoleForCloudTrail 角色。如果从 Organizations 组织中删除某个 Amazon Web Services 账户,则会自动从该 Amazon Web Services 账户 中移除 AWSServiceRoleForCloudTrail 角色。如果不从组织中移除账户,则无法将策略从组织管理账户中的 AWSServiceRoleForCloudTrail 服务相关角色中分离或移除。

您还可以使用 IAM 控制台、Amazon CLI 或 Amazon API 来手动删除服务相关角色。为此,您必须先手动清除服务相关角色的资源,然后才能手动删除它。

注意

如果在您试图删除资源时 CloudTrail 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

要删除 AWSServiceRoleForCloudTrail 角色正在使用的某个资源,您可以执行下列操作之一:

  • 在 Organizations 中,从组织中移除 Amazon Web Services 账户。

  • 更新跟踪以使其不再是组织跟踪。有关更多信息,请参阅更新跟踪

  • 更新事件数据存储,使其不再为组织事件数据存储。有关更多信息,请参阅更新事件数据存储

  • 删除跟踪。有关更多信息,请参阅删除跟踪

  • 删除事件数据存储。有关更多信息,请参阅删除事件数据存储

要使用 IAM 手动删除服务相关角色

使用 IAM 控制台,即 Amazon CLI 或 Amazon API 来删除 AWSServiceRoleForCloudTrail 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

CloudTrail 服务相关角色支持的区域

CloudTrail 支持在同时提供 CloudTrail 和 Organizations 的所有 Amazon Web Services 区域 中使用服务相关角色。有关更多信息,请参阅 Amazon Web Services 一般参考 中的 Amazon Web Service 端点