Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Résolution des problèmes AWS CloudTrail d'identité et d'accès
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec CloudTrail IAM.
Je ne suis pas autorisé à effectuer une action dans CloudTrail
Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.
L’exemple d’erreur suivant se produit quand l’utilisateur IAM mateojackson tente d’utiliser la console pour afficher des informations détaillées sur une ressource my-example-widgetcloudtrail: fictives.GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetWidgeton resource:my-example-widget
Dans ce cas, la politique qui s’applique à l’utilisateur mateojackson doit être mise à jour pour autoriser l’accès à la ressource my-example-widgetcloudtrail:.GetWidget
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations de connexion.
L'exemple d'erreur suivant se produit lorsque l'utilisateur mateojackson IAM essaie d'utiliser la console pour afficher les détails d'un parcours mais ne dispose pas de la politique CloudTrail gérée appropriée (AWSCloudTrail_FullAccessou AWSCloudTrail_ReadOnlyAccess) ou des autorisations équivalentes appliquées à son compte.
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource:My-Trail
Dans ce cas, Mateo demande son administrateur de mettre à jour ses politiques pour lui autoriser d'accéder aux informations et au statut du journal de suivi dans la console.
Si vous vous connectez avec un utilisateur ou un rôle IAM doté de la politique AWSCloudTrail_FullAccessgérée ou d'autorisations équivalentes, et que vous ne parvenez pas à configurer AWS Config ou à intégrer Amazon CloudWatch Logs à un journal, il se peut que vous ne disposiez pas des autorisations requises pour l'intégration à ces services. Pour plus d’informations, consultez Octroi de l'autorisation AWS Config d'afficher les informations sur la CloudTrail console et Octroi de l'autorisation d'afficher et de configurer CloudWatch les informations Amazon Logs sur la CloudTrail console.
Je ne suis pas autorisé à effectuer iam:PassRole
Si vous recevez une erreur selon laquelle vous n’êtes pas autorisé à exécuter iam:PassRole l’action, vos stratégies doivent être mises à jour afin de vous permettre de transmettre un rôle à CloudTrail.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, un utilisateur doit disposer des autorisations nécessaires pour transmettre le rôle au service.
L’exemple d’erreur suivant se produit lorsqu’un utilisateur IAM nommé marymajor essaie d’utiliser la console pour exécuter une action dans CloudTrail. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction de service. Mary ne dispose pas des autorisations nécessaires pour transférer le rôle au service.
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action iam:PassRole.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes CloudTrail ressources
Vous pouvez créer un rôle et partager CloudTrail des informations entre plusieurs Comptes AWS. Pour de plus amples informations, veuillez consulter Partage de fichiers CloudTrail journaux entre AWS comptes.
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
-
Pour savoir si ces fonctionnalités sont prises CloudTrail en charge, consultezComment AWS CloudTrail fonctionne avec IAM.
-
Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez dans le Guide de l'utilisateur IAM.
-
Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section Fournir un accès à des ressources Comptes AWS détenues par des tiers dans le guide de l'utilisateur IAM.
-
Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité) dans le Guide de l’utilisateur IAM.
-
Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez Accès intercompte aux ressources dans IAM dans le Guide de l’utilisateur IAM.
Je ne suis pas autorisé à effectuer iam:PassRole
Si vous recevez une erreur selon laquelle vous n’êtes pas autorisé à exécuter iam:PassRole l’action, vos stratégies doivent être mises à jour afin de vous permettre de transmettre un rôle à CloudTrail.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, un utilisateur doit disposer des autorisations nécessaires pour transmettre le rôle au service.
L’exemple d’erreur suivant se produit lorsqu’un utilisateur IAM nommé marymajor essaie d’utiliser la console pour exécuter une action dans CloudTrail. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction de service. Mary ne dispose pas des autorisations nécessaires pour transférer le rôle au service.
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action iam:PassRole.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
Je reçois une exception NoManagementAccountSLRExistsException lorsque j'essaie de créer un journal d'organisation ou un entrepôt de données d'événement
L'exception NoManagementAccountSLRExistsException est levée lorsque le compte de gestion n'a pas de rôle lié à un service.
Lorsque vous ajoutez un administrateur délégué à l'aide de la AWS Organizations CLI ou de l'API, les rôles CloudTrail liés aux services ne sont pas créés automatiquement s'ils n'existent pas. Les rôles liés au service ne sont créés que lorsque vous passez un appel directement au service depuis le compte de gestion. CloudTrail Par exemple, lorsque vous ajoutez un administrateur délégué ou que vous créez un journal d'organisation ou un magasin de données d'événements à l'aide de la CloudTrail console AWS CLI ou de l' CloudTrail API, le rôle AWSServiceRoleForCloudTrail lié au service est créé.
Lorsque vous ajoutez un administrateur délégué à l'aide de l'opération AWS CloudTrail ; CLI ou API, il CloudTrail crée à la fois les rôles liés au service AWSServiceRoleForCloudTrail et les rôles AWSServiceRoleForCloudTrailEventContext liés au service.
Lorsque vous utilisez le compte de gestion de votre organisation pour ajouter un administrateur délégué ou créer un historique d'organisation ou un magasin de données d'événements dans la CloudTrail console, ou à l'aide de l' CloudTrailAPI AWS CLI or, vous créez CloudTrail automatiquement le rôle AWSServiceRoleForCloudTrail lié au service pour votre compte de gestion s'il n'existe pas déjà. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés aux services pour CloudTrail.
Si vous n'avez pas ajouté d'administrateur délégué, utilisez la CloudTrail console AWS CLI ou CloudTrail l'API pour ajouter l'administrateur délégué. Pour plus d'informations sur l'ajout d'un administrateur délégué, consultez Ajouter un administrateur CloudTrail délégué et RegisterOrganizationDelegatedAdmin(API).
Si vous avez déjà ajouté l'administrateur délégué, utilisez le compte de gestion pour créer le journal de l'organisation ou le magasin de données sur les événements dans la CloudTrail console, ou à l'aide de l' CloudTrail API AWS CLI or. Pour plus d'informations sur la création d'un journal d'organisationCréation d’un journal de suivi pour votre organisation dans la console, consultez les Création d'un parcours pour une organisation à l'aide du AWS CLI sections, et CreateTrail(API).
