Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Contoh kebijakan berbasis identitas untuk AWS CloudTrail
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau mengubah sumber daya CloudTrail. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh CloudTrail, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html) dalam *Referensi Otorisasi Layanan*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Contoh: Mengizinkan dan menolak tindakan untuk jejak tertentu](#security_iam_id-based-policy-examples-allow-deny-for-specific-trail)
+ [Contoh: Membuat dan menerapkan kebijakan untuk tindakan pada jalur tertentu](#grant-custom-permissions-for-cloudtrail-users-resource-level)
+ [Contoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag](#security_iam_id-based-policy-examples-eds-tags)
+ [Menggunakan CloudTrail konsol](#security_iam_id-based-policy-examples-console)
+ [Izinkan para pengguna untuk melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Memberikan izin khusus untuk pengguna CloudTrail](#grant-custom-permissions-for-cloudtrail-users)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus CloudTrail sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
CloudTrail tidak memiliki kunci konteks khusus layanan yang dapat Anda gunakan dalam `Condition` elemen pernyataan kebijakan.
## Contoh: Mengizinkan dan menolak tindakan untuk jejak tertentu
Contoh berikut menunjukkan kebijakan yang memungkinkan pengguna dengan kebijakan untuk melihat status dan konfigurasi jejak serta memulai dan menghentikan pencatatan untuk jejak bernama{{My-First-Trail}}. Jejak ini dibuat di Wilayah Timur AS (Ohio) (Wilayah asalnya) Akun AWS dengan ID{{123456789012}}.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudtrail:StartLogging",
"cloudtrail:StopLogging",
"cloudtrail:GetTrail",
"cloudtrail:GetTrailStatus",
"cloudtrail:GetEventSelectors"
],
"Resource": [
"arn:aws:cloudtrail:{{us-east-2}}:{{123456789012}}:trail/{{My-First-Trail}}"
]
}
]
}
```
------
Contoh berikut menunjukkan kebijakan yang secara eksplisit menolak CloudTrail tindakan untuk jejak apa pun yang tidak disebutkan namanya. {{My-First-Trail}}
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloudtrail:*"
],
"NotResource": [
"arn:aws:cloudtrail:us-east-2:123456789012:trail/{{My-First-Trail}}"
]
}
]
}
```
------
## Contoh: Membuat dan menerapkan kebijakan untuk tindakan pada jalur tertentu
Anda dapat menggunakan izin dan kebijakan untuk mengontrol kemampuan pengguna untuk melakukan tindakan tertentu pada CloudTrail jejak.
Misalnya, Anda tidak ingin pengguna grup pengembang perusahaan Anda memulai atau menghentikan pencatatan pada jejak tertentu. Namun, Anda mungkin ingin memberi mereka izin untuk melakukan `DescribeTrails` dan `GetTrailStatus` tindakan di jalan setapak. Anda ingin pengguna grup pengembang melakukan `StartLogging` atau `StopLogging` tindakan pada jalur yang mereka kelola.
Anda dapat membuat dua pernyataan kebijakan dan melampirkannya ke grup pengembang yang Anda buat di IAM. Untuk informasi selengkapnya tentang grup di IAM, lihat [Grup IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) di Panduan Pengguna *IAM*.
Dalam kebijakan pertama, Anda menolak `StartLogging` dan `StopLogging` tindakan untuk jejak ARN yang Anda tentukan. Dalam contoh berikut, jejak ARN adalah. `arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1446057698000",
"Effect": "Deny",
"Action": [
"cloudtrail:StartLogging",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail"
]
}
]
}
```
------
Dalam kebijakan kedua, `DescribeTrails` dan `GetTrailStatus` tindakan diizinkan pada semua CloudTrail sumber daya:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1446072643000",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrail",
"cloudtrail:GetTrailStatus"
],
"Resource": [
"*"
]
}
]
}
```
------
Jika pengguna grup pengembang mencoba memulai atau menghentikan pencatatan pada jejak yang Anda tentukan dalam kebijakan pertama, pengguna tersebut mendapatkan pengecualian yang ditolak akses. Pengguna grup pengembang dapat memulai dan berhenti masuk pada jalur yang mereka buat dan kelola.
Contoh berikut menunjukkan bahwa grup pengembang dikonfigurasi dalam AWS CLI profil bernama`devgroup`. Pertama, pengguna `devgroup` menjalankan `describe-trails` perintah.
```
$ aws --profile devgroup cloudtrail describe-trails
```
Perintah berhasil diselesaikan dengan output berikut:
```
{
"trailList": [
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail",
"IsMultiRegionTrail": false,
"S3BucketName": "amzn-s3-demo-bucket",
"HomeRegion": "us-east-2"
}
]
}
```
Pengguna kemudian menjalankan `get-trail-status` perintah pada jejak yang Anda tentukan dalam kebijakan pertama.
```
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
```
Perintah berhasil diselesaikan dengan output berikut:
```
{
"LatestDeliveryTime": 1449517556.256,
"LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z",
"LatestNotificationAttemptSucceeded": "",
"LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-12-07T19:36:27Z",
"StartLoggingTime": 1449516987.685,
"StopLoggingTime": 1449516977.332,
"LatestNotificationAttemptTime": "",
"TimeLoggingStopped": "2015-12-07T19:36:17Z"
}
```
Selanjutnya, pengguna dalam `devgroup` grup menjalankan `stop-logging` perintah di jalur yang sama.
```
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
```
Perintah mengembalikan pengecualian akses ditolak, seperti berikut ini:
```
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
```
Pengguna menjalankan `start-logging` perintah di jalur yang sama.
```
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
```
Sekali lagi perintah mengembalikan akses ditolak pengecualian, seperti berikut ini:
```
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
```
## Contoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag
Dalam contoh kebijakan berikut, izin untuk membuat penyimpanan data peristiwa dengan `CreateEventDataStore` ditolak jika setidaknya salah satu dari kondisi berikut tidak terpenuhi:
+ Penyimpanan data acara tidak memiliki kunci tag yang `stage` diterapkan pada dirinya sendiri
+ Nilai tag panggung tidak`alpha`,, `beta``gamma`, atau`prod`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloudtrail:CreateEventDataStore",
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/stage": "true"
}
}
},
{
"Effect": "Deny",
"Action": "cloudtrail:CreateEventDataStore",
"Resource": "*",
"Condition": {
"ForAnyValue:StringNotEquals": {
"aws:RequestTag/stage": [
"alpha",
"beta",
"gamma",
"prod"
]
}
}
}
]
}
```
------
Dalam contoh kebijakan berikut, izin untuk menghapus penyimpanan data peristiwa dengan ditolak `DeleteEventDataStore` adalah jika penyimpanan data peristiwa memiliki `stage` tag dengan nilai`prod`. Kebijakan seperti ini dapat membantu melindungi penyimpanan data peristiwa dari penghapusan yang tidak disengaja.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloudtrail:DeleteEventDataStore",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
}
```
------
## Menggunakan CloudTrail konsol
Untuk mengakses AWS CloudTrail konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang CloudTrail sumber daya di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.
### Pemberian izin untuk administrasi CloudTrail
Untuk mengizinkan peran IAM atau pengguna mengelola CloudTrail sumber daya, seperti jejak, penyimpanan data peristiwa, atau saluran, Anda harus memberikan izin eksplisit untuk melakukan tindakan yang terkait dengan tugas. CloudTrail Dalam kebanyakan situasi, Anda dapat menggunakan kebijakan AWS terkelola yang berisi izin yang telah ditentukan sebelumnya.
**catatan**
Izin yang Anda berikan kepada pengguna untuk melakukan tugas CloudTrail administrasi tidak sama dengan izin yang CloudTrail diperlukan untuk mengirimkan file log ke bucket Amazon S3 atau mengirim pemberitahuan ke topik Amazon SNS. Untuk informasi selengkapnya tentang izin tersebut, lihat[Kebijakan bucket Amazon S3 untuk CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Jika Anda mengonfigurasi integrasi dengan Amazon CloudWatch Logs, Anda CloudTrail juga memerlukan peran yang dapat diasumsikan untuk mengirimkan peristiwa ke grup CloudWatch log Amazon Logs. Anda harus membuat peran yang CloudTrail menggunakan. Untuk informasi selengkapnya, lihat [Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail](#grant-cloudwatch-permissions-for-cloudtrail-users) dan [Mengirim acara ke CloudWatch Log](send-cloudtrail-events-to-cloudwatch-logs.md).
Kebijakan AWS terkelola berikut tersedia untuk CloudTrail:
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)Kebijakan ini menyediakan akses penuh ke CloudTrail tindakan pada CloudTrail sumber daya, seperti jejak, penyimpanan data acara, dan saluran. Kebijakan ini menyediakan izin yang diperlukan untuk membuat, memperbarui, dan menghapus CloudTrail jejak, penyimpanan data peristiwa, dan saluran.
Kebijakan ini juga menyediakan izin untuk mengelola bucket Amazon S3, grup log CloudWatch untuk Log, dan topik Amazon SNS untuk jejak. Namun, kebijakan `AWSCloudTrail_FullAccess` terkelola tidak memberikan izin untuk menghapus bucket Amazon S3, grup log CloudWatch untuk Log, atau topik Amazon SNS. Untuk informasi tentang kebijakan terkelola lainnya Layanan AWS, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
**catatan**
**AWSCloudTrail\_FullAccess**Kebijakan ini tidak dimaksudkan untuk dibagikan secara luas di seluruh Anda Akun AWS. Pengguna dengan peran ini dapat mematikan atau mengkonfigurasi ulang fungsi audit yang paling sensitif dan penting di dalamnya. Akun AWS Untuk alasan ini, Anda hanya harus menerapkan kebijakan ini ke administrator akun. Anda harus mengontrol dan memantau penggunaan kebijakan ini dengan cermat.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)— Kebijakan ini memberikan izin untuk melihat CloudTrail konsol, termasuk peristiwa terbaru dan riwayat acara. Kebijakan ini juga memungkinkan Anda untuk melihat jejak yang ada, penyimpanan data acara, dan saluran. Peran dan pengguna dengan kebijakan ini dapat [mengunduh riwayat acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events), tetapi mereka tidak dapat membuat atau memperbarui jejak, penyimpanan data acara, atau saluran.
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
#### Sumber daya tambahan
Untuk mempelajari lebih lanjut tentang menggunakan IAM untuk memberikan identitas, seperti pengguna dan peran, akses ke sumber daya di akun Anda, lihat [Menyiapkan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html) dan [Manajemen akses untuk AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) di Panduan Pengguna *IAM*.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.
## Izinkan para pengguna untuk melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Memberikan izin khusus untuk pengguna CloudTrail
CloudTrail kebijakan memberikan izin kepada pengguna yang bekerja dengan CloudTrail. Jika Anda perlu memberikan izin yang berbeda kepada pengguna, Anda dapat melampirkan CloudTrail kebijakan ke grup IAM atau pengguna. Anda dapat mengedit kebijakan untuk menyertakan atau mengecualikan izin tertentu. Anda juga dapat membuat kebijakan khusus Anda sendiri. Kebijakan adalah dokumen JSON yang menentukan tindakan yang diizinkan untuk dilakukan pengguna dan sumber daya yang diizinkan pengguna untuk melakukan tindakan tersebut. Untuk contoh spesifik, lihat [Contoh: Mengizinkan dan menolak tindakan untuk jejak tertentu](#security_iam_id-based-policy-examples-allow-deny-for-specific-trail) dan[Contoh: Membuat dan menerapkan kebijakan untuk tindakan pada jalur tertentu](#grant-custom-permissions-for-cloudtrail-users-resource-level).
**Contents**
+ [Akses hanya-baca](#grant-custom-permissions-for-cloudtrail-users-read-only)
+ [Akses penuh](#grant-custom-permissions-for-cloudtrail-users-full-access)
+ [Memberikan izin untuk melihat AWS Config informasi di konsol CloudTrail](#grant-aws-config-permissions-for-cloudtrail-users)
+ [Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail](#grant-cloudwatch-permissions-for-cloudtrail-users)
+ [Informasi tambahan](#cloudtrail-notifications-more-info-2)
### Akses hanya-baca
Contoh berikut menunjukkan kebijakan yang memberikan akses hanya-baca ke jejak. CloudTrail Ini setara dengan kebijakan yang dikelola **AWSCloudTrail\_ReadOnlyAccess**. Ini memberi pengguna izin untuk melihat informasi jejak, tetapi tidak untuk membuat atau memperbarui jejak.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudtrail:Get*",
"cloudtrail:Describe*",
"cloudtrail:List*",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}
```
------
Dalam pernyataan kebijakan, `Effect` elemen menentukan apakah tindakan diizinkan atau ditolak. `Action`Elemen mencantumkan tindakan spesifik yang diizinkan dilakukan pengguna. `Resource`Elemen mencantumkan AWS sumber daya yang diizinkan pengguna untuk melakukan tindakan tersebut. Untuk kebijakan yang mengontrol akses ke CloudTrail tindakan, `Resource` elemen biasanya disetel ke`*`, wildcard yang berarti “semua sumber daya.”
Nilai-nilai dalam `Action` elemen sesuai dengan dukungan layanan. APIs Tindakan didahului oleh `cloudtrail:` untuk menunjukkan bahwa mereka merujuk CloudTrail pada tindakan. Anda dapat menggunakan karakter `*` wildcard dalam `Action` elemen, seperti dalam contoh berikut:
+ `"Action": ["cloudtrail:*Logging"]`
Ini memungkinkan semua CloudTrail tindakan yang diakhiri dengan “Logging” (`StartLogging`,`StopLogging`).
+ `"Action": ["cloudtrail:*"]`
Ini memungkinkan semua CloudTrail tindakan, tetapi bukan tindakan untuk AWS layanan lain.
+ `"Action": ["*"]`
Ini memungkinkan semua AWS tindakan. Izin ini cocok untuk pengguna yang bertindak sebagai AWS administrator untuk akun Anda.
Kebijakan hanya-baca tidak memberikan izin pengguna untuk`CreateTrail`,, `UpdateTrail``StartLogging`, dan `StopLogging` tindakan. Pengguna dengan kebijakan ini tidak diizinkan untuk membuat jejak, memperbarui jejak, atau mengaktifkan dan menonaktifkan log. Untuk daftar CloudTrail tindakan, lihat [Referensi AWS CloudTrail API](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/).
### Akses penuh
Contoh berikut menunjukkan kebijakan yang memberikan akses penuh ke CloudTrail. Ini setara dengan kebijakan yang dikelola **AWSCloudTrail\_FullAccess**. Ini memberi pengguna izin untuk melakukan semua CloudTrail tindakan. Ini juga memungkinkan pengguna mencatat peristiwa data di Amazon S3 dan AWS Lambda, mengelola file di bucket Amazon S3, mengelola CloudWatch cara Log CloudTrail memantau peristiwa log, dan mengelola topik Amazon SNS di akun yang dikaitkan dengan pengguna.
**penting**
**AWSCloudTrail\_FullAccess**Kebijakan atau izin yang setara tidak dimaksudkan untuk dibagikan secara luas di seluruh akun Anda AWS . Pengguna dengan peran ini atau akses yang setara memiliki kemampuan untuk menonaktifkan atau mengkonfigurasi ulang fungsi audit yang paling sensitif dan penting di akun mereka AWS . Untuk alasan ini, kebijakan ini harus diterapkan hanya untuk administrator akun, dan penggunaan kebijakan ini harus dikontrol dan dipantau secara ketat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:AddPermission",
"sns:CreateTopic",
"sns:SetTopicAttributes",
"sns:GetTopicAttributes"
],
"Resource": [
"arn:aws:sns:*:*:aws-cloudtrail-logs*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketPolicy"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-logging-bucket1*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloudtrail:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "cloudtrail.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:CreateKey",
"kms:CreateAlias",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"lambda:ListFunctions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"dynamodb:ListGlobalTables",
"dynamodb:ListTables"
],
"Resource": "*"
}
]
}
```
------
### Memberikan izin untuk melihat AWS Config informasi di konsol CloudTrail
Anda dapat melihat informasi peristiwa di CloudTrail konsol, termasuk sumber daya yang terkait dengan peristiwa tersebut. Untuk sumber daya ini, Anda dapat memilih AWS Config ikon untuk melihat garis waktu sumber daya tersebut di AWS Config konsol. Lampirkan kebijakan ini ke pengguna Anda untuk memberi mereka akses hanya-baca AWS Config . Kebijakan tidak memberi mereka izin untuk mengubah setelan AWS Config.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:List*"
],
"Resource": "*"
}]
}
```
------
Untuk informasi selengkapnya, lihat [Melihat sumber daya yang direferensikan dengan AWS Config](view-cloudtrail-events-console.md#viewing-resources-config).
### Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail
Anda dapat melihat dan mengonfigurasi pengiriman peristiwa ke CloudWatch Log di CloudTrail konsol jika Anda memiliki izin yang memadai. Ini adalah izin yang mungkin di luar yang diberikan untuk CloudTrail administrator. Lampirkan kebijakan ini ke administrator yang akan mengonfigurasi dan mengelola CloudTrail integrasi dengan CloudWatch Log. Kebijakan ini tidak memberi mereka izin di dalam CloudTrail atau di CloudWatch Log secara langsung, tetapi memberikan izin yang diperlukan untuk membuat dan mengonfigurasi peran yang CloudTrail akan diambil agar berhasil mengirimkan peristiwa ke grup Log Anda CloudWatch .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
}]
}
```
------
Untuk informasi selengkapnya, lihat [Memantau File CloudTrail Log dengan CloudWatch Log Amazon](monitor-cloudtrail-log-files-with-cloudwatch-logs.md).
### Informasi tambahan
Untuk mempelajari lebih lanjut tentang menggunakan IAM untuk memberikan identitas, seperti pengguna dan peran, akses ke sumber daya di akun Anda, lihat [Memulai](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html) dan [Mengelola akses untuk AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) di Panduan Pengguna *IAM*.