Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Rollen für die Erstellung und Verwaltung von CloudTrail Organisationstrails und Datenspeichern von Organisationsereignissen in CloudTrail Lake CloudTrail
AWS CloudTrail verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. CloudTrail Mit Diensten verknüpfte Rollen sind vordefiniert CloudTrail und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle CloudTrail erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. CloudTrail definiert die Berechtigungen ihrer dienstbezogenen Rollen und CloudTrail kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre CloudTrail Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren. Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Berechtigungen für dienstverknüpfte Rollen für CloudTrail
CloudTrail verwendet die dienstverknüpfte Rolle mit dem Namen AWSServiceRoleForCloudTrail— Diese dienstverknüpfte Rolle wird für die Unterstützung von Organisationspfaden und Datenspeichern für Organisationsereignisse verwendet.
Die AWSService RoleForCloudTrail serviceverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
-
cloudtrail.amazonaws.com
Die genannte Rollenberechtigungsrichtlinie CloudTrailServiceRolePolicy ermöglicht es CloudTrail , die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
-
Aktionen für alle CloudTrail Ressourcen:
-
All
-
-
Maßnahmen für alle AWS Organizations Ressourcen:
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization
-
-
Aktionen für alle Organisationsressourcen für den CloudTrail Dienstprinzipal, um die delegierten Administratoren für die Organisation aufzulisten:
-
organizations:ListDelegatedAdministrators
-
-
Aktionen zur Deaktivierung des Lake-Verbunds im Ereignisdatenspeicher einer Organisation:
-
glue:DeleteTable -
lakeformation:DeRegisterResource
-
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Weitere Informationen zu der zugehörigen verwalteten Richtlinie finden Sie AWSService RoleForCloudTrail unterAWS verwaltete Richtlinien für AWS CloudTrail.
Erstellen einer serviceverknüpften Rolle für CloudTrail
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen Organisationspfad- oder Organisationsereignisdatenspeicher erstellen oder einen delegierten Administrator in der CloudTrail Konsole, in der AWS Management Console, der AWS CLI oder der AWS API hinzufügen, CloudTrail wird die dienstbezogene Rolle für Sie erstellt.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Datenspeicher für Organisationspfade oder Organisationsereignisse erstellen oder einen delegierten Administrator in der CloudTrail Konsole hinzufügen, CloudTrail erstellt die dienstbezogene Rolle erneut für Sie.
Bearbeiten einer serviceverknüpften Rolle für CloudTrail
CloudTrail ermöglicht es Ihnen nicht, die mit dem AWSService RoleForCloudTrail Dienst verknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für CloudTrail
Sie müssen die AWSService RoleForCloudTrail Rolle nicht manuell löschen. Wenn eine aus einer Organisation einer Organizations entfernt AWS-Konto wird, wird die AWSServiceRoleForCloudTrail Rolle automatisch aus dieser Organisation entfernt AWS-Konto. Sie können Richtlinien nicht von der serviceverknüpften Rolle AWSServiceRoleForCloudTrail in einem Organisationsverwaltungskonto trennen oder entfernen, ohne das Konto aus der Organisation zu entfernen.
Sie können die mit dem Service verknüpfte Rolle auch mithilfe der IAM-Konsole, der AWS CLI oder der AWS API manuell löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.
Anmerkung
Wenn der CloudTrail Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um eine Ressource, die von der Rolle AWSServiceRoleForCloudTrail verwendet wird, zu entfernen, können Sie einen der folgenden Schritte ausführen:
-
Entfernen Sie den AWS-Konto aus der Organisation in Organizations.
-
Aktualisieren Sie den Trail so, dass er nicht mehr ein Organisationstrail ist. Weitere Informationen finden Sie unter Aktualisieren eines Trails mit der CloudTrail Konsole.
-
Aktualisieren Sie den Ereignisdatenspeicher, sodass er kein Ereignisdatenspeicher einer Organisation mehr ist. Weitere Informationen finden Sie unter Aktualisieren Sie einen Ereignisdatenspeicher mit der Konsole.
-
Löschen Sie den Trail. Weitere Informationen finden Sie unter Einen Trail mit der CloudTrail Konsole löschen.
-
Löschen Sie den Ereignisdatenspeicher. Weitere Informationen finden Sie unter Löschen Sie einen Ereignisdatenspeicher mit der Konsole.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSServiceRoleForCloudTrail serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
