Tutoriais de conceitos básicos do AWS CloudTrail
Se você é iniciante no AWS CloudTrail, esses tutoriais podem ajudar você a aprender a usar os recursos. Para usar os recursos do CloudTrail, você precisa ter as permissões adequadas. Esta página descreve as políticas gerenciadas disponíveis para o CloudTrail e fornece informações sobre como você pode conceder permissões.
Exemplos:
Conceder permissões para usar o CloudTrail
Para criar, atualizar e gerenciar recursos do CloudTrail, como trilhas, armazenamentos de dados de eventos e canais, é necessário conceder permissões para usar o CloudTrail. Esta seção fornece informações sobre as políticas gerenciadas disponíveis para o CloudTrail.
nota
As permissões concedidas aos usuários para realizar tarefas de administração do CloudTrail não são iguais às permissões que o próprio CloudTrail requer para entregar arquivos de log aos buckets do Amazon S3 ou enviar notificações aos tópicos do Amazon SNS. Para obter mais informações sobre essas permissões, consulte Política de bucket do Amazon S3 para o CloudTrail.
Se você configurar a integração com o Amazon CloudWatch Logs, o CloudTrail também exigirá uma função que possa assumir para fornecer eventos a um grupo de logs do Amazon CloudWatch Logs. É necessário usar o perfil usado pelo CloudTrail. Para obter mais informações, consulte Conceder permissão para visualizar e configurar informações do Amazon CloudWatch Logs no console do CloudTrail e Enviar eventos para o CloudWatch Logs.
As seguintes políticas gerenciadas pela AWS estão disponíveis para o CloudTrail:
-
AWSCloudTrail_FullAccess – essa política fornece acesso total às ações do CloudTrail nos recursos do CloudTrail, como trilhas, armazenamentos de dados de eventos e canais. Essa política fornece as permissões necessárias para criar, atualizar e excluir trilhas, repositórios de dados de eventos e canais do CloudTrail.
Essa política também fornece permissões para gerenciar o bucket do Amazon S3, o grupo de logs do CloudWatch Logs e um tópico do Amazon SNS para uma trilha. No entanto, a política gerenciada pela
AWSCloudTrail_FullAccessnão fornece permissões para excluir o bucket do Amazon S3, o grupo de logs do CloudWatch Logs ou um tópico do Amazon SNS. Para obter informações sobre políticas gerenciadas para outros serviços da AWS, consulte o Guia de referência de políticas gerenciadas pela AWS.nota
A política AWSCloudTrail_FullAccess não se destina ao compartilhamento generalizado em sua Conta da AWS. Os usuários com esse perfil podem desativar ou reconfigurar as funções de auditoria mais confidenciais e importantes em suas Contas da AWS. Por esse motivo, você só deve aplicar essa política aos administradores da conta. Você deve controlar e monitorar de perto o uso desta política.
-
AWSCloudTrail_ReadOnlyAccess – essa política concede permissões para visualizar o console do CloudTrail, incluindo eventos recentes e o histórico de eventos. Essa política também permite visualizar trilhas, armazenamentos de dados de eventos e canais existentes. Os perfis e usuários com essa política podem baixar o histórico de eventos, mas não podem criar ou atualizar trilhas, armazenamentos de dados de eventos ou canais.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos no Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do Centro de Identidade do AWS IAM.
-
Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
-
Usuários do IAM:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.
-
