AWS の マネージドポリシーAWS CloudTrail - AWS CloudTrail
AWSCloudTrail_FullAccessAWSCloudTrail_ReadOnlyAccessAWS マネージドポリシー: AWSServiceRoleForCloudTrailAWS マネージドポリシー: CloudTrailEventContextポリシーの更新

AWS の マネージドポリシーAWS CloudTrail

ユーザー、グループ、ロールにアクセス許可を追加するには自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。AWS マネージドポリシーを使用することで、すぐに使用を開始できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、AWS アカウント で利用できます。AWS マネージドポリシーの詳細については、「IAMユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS のサービスはAWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスはAWS マネージドポリシーから権限を削除しないため、ポリシーの更新によって既存の権限が破棄されることはありません。

さらに、AWS は複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーではすべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能ポリシーの一覧と説明については「IAM ユーザーガイド」の「AWS ジョブ機能のマネージドポリシー」を参照してください。

AWS マネージドポリシー: AWSCloudTrail_FullAccess

ロールにアタッチされた AWSCloudTrail_FullAccess ポリシーを持つユーザー ID は、CloudTrail で完全な管理アクセス権を持ちます。

ポリシーの詳細の JSON 一覧については、「AWS マネージドポリシーリファレンスガイド」の「AWSCloudTrail_FullAccess」を参照してください。

AWS マネージドポリシー: AWSCloudTrail_ReadOnlyAccess

AWSCloudTrail_ReadOnlyAccess ポリシーがロールに関連付けられているユーザー ID は、CloudTrail で読み取り専用アクション (証跡、 CloudTrail Lake イベントデータストア、Lake クエリに対する Get*List*Describe* アクションなど) を実行できます。

ポリシーの詳細の JSON 一覧については、「AWS マネージドポリシーリファレンスガイド」の「AWSCloudTrail_ReadOnlyAccess」を参照してください。

AWS マネージドポリシー: AWSServiceRoleForCloudTrail

CloudTrailServiceRolePolicy ポリシーは、ユーザーに代わって組織の証跡やイベントデータストアでのアクションを実行する許可を AWS CloudTrail に対し付与します。このポリシーには、AWS Organizations 組織内の組織アカウントと委任管理者を記述および一覧表示するために必要な、AWS Organizations のアクセス許可が含まれています。

加えてこのポリシーには、組織のイベントデータストアで Lake フェデレーションを無効にするために必要な、AWS Glue と AWS Lake Formation のアクセス許可も含まれています。

このポリシーは、CloudFront がユーザーに代わってアクションを実行できるようにする、AWSServiceRoleForCloudTrail のサービスリンクロールにアタッチされています。ユーザー、グループおよびロールにこのポリシーはアタッチできません。

ポリシーの詳細の JSON 一覧については、「AWS マネージドポリシーリファレンスガイド」の「CloudTrailServiceRolePolicy」を参照してください。

AWS マネージドポリシー: CloudTrailEventContext

CloudTrailEventContext ポリシーにより、AWS CloudTrail はユーザーに代わって CloudTrail イベントコンテキストと EventBridge ルールを管理できます。このポリシーには、ユーザーのために作成するルールを作成、管理、および記述するために必要な EventBridge アクセス許可が含まれています。

このポリシーは、CloudFront がユーザーに代わってアクションを実行できるようにする、AWSServiceRoleForCloudTrailEventContext のサービスリンクロールにアタッチされています。ユーザー、グループおよびロールにこのポリシーはアタッチできません。

ポリシーの詳細の JSON 一覧については、「AWS マネージドポリシーリファレンスガイド」の「CloudTrailEventContext」を参照してください。

CloudTrail の AWS マネージドポリシーへの更新

CloudTrail の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、CloudTrail の「ドキュメント履歴」ページで RSS フィードを購読してください。

変更 説明 日付

CloudTrailEventContextAWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールによって使用される新しいポリシー

CloudTrail 強化イベント機能に使用される新しいポリシーとロールを追加しました。

2025 年 5 月 19 日

CloudTrailServiceRolePolicy – 既存ポリシーへの更新

フェデレーションが無効になっている場合でも、組織のイベントデータストアで以下のアクションを実行できるように、ポリシーを更新しました。

  • glue:DeleteTable

  • lakeformation:DeregisterResource

2023 年 11 月 26 日

AWSCloudTrail_ReadOnlyAccess – 既存ポリシーへの更新

CloudTrail は、AWSCloudTrailReadOnlyAccess ポリシーの名前を AWSCloudTrail_ReadOnlyAccess に変更しました。また、ポリシーの許可のスコープは CloudTrail アクションに縮小されました。Amazon S3、AWS KMS、または AWS Lambda アクションの許可は含まれなくなりました。

 2022 年 6 月 6 日

CloudTrail が変更の追跡を開始しました

CloudTrail が AWS マネージドポリシーの変更の追跡を開始しました。

 2022 年 6 月 6 日