As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Identity and Access Management para AWS CloudTrail
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar CloudTrail os recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como AWS CloudTrail funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para AWS CloudTrail](security_iam_id-based-policy-examples.md)
+ [AWS CloudTrail exemplos de políticas baseadas em recursos](security_iam_resource-based-policy-examples.md)
+ [Política de bucket do Amazon S3 para CloudTrail](create-s3-bucket-policy-for-cloudtrail.md)
+ [Política de bucket do Amazon S3 para resultados de consulta CloudTrail do Lake](s3-bucket-policy-lake-query-results.md)
+ [Política de tópicos do Amazon SNS para CloudTrail](cloudtrail-permissions-for-sns-notifications.md)
+ [Solução de problemas AWS CloudTrail de identidade e acesso](security_iam_troubleshoot.md)
+ [Usando funções vinculadas a serviços para CloudTrail](using-service-linked-roles.md)
+ [AWS políticas gerenciadas para AWS CloudTrail](security-iam-awsmanpol.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas AWS CloudTrail de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como AWS CloudTrail funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para AWS CloudTrail](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como AWS CloudTrail funciona com o IAM
Antes de usar o IAM para gerenciar o acesso CloudTrail, saiba com quais recursos do IAM estão disponíveis para uso CloudTrail.
**Recursos do IAM que você pode usar com AWS CloudTrail**
| Recurso do IAM | CloudTrail apoio |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Parcial |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Não |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Sim |
| [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
Para ter uma visão de alto nível de como CloudTrail e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para CloudTrail
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para CloudTrail
Para ver exemplos de políticas CloudTrail baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS CloudTrail](security_iam_id-based-policy-examples.md)
## Políticas baseadas em recursos dentro CloudTrail
**Compatível com políticas baseadas em recursos:** Parcial
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
CloudTrail oferece suporte aos seguintes tipos de políticas baseadas em recursos:
+ Políticas baseadas em recursos em canais usados para integrações CloudTrail do Lake com fontes de eventos externas. AWS A política baseada em recursos do canal define quais entidades principais (contas, usuários, funções e usuários federados) podem chamar `PutAuditEvents` no canal para entregar eventos para o armazenamento de dados do evento de destino. Para obter mais informações sobre a criação de integrações com o CloudTrail Lake, consulte[Crie uma integração com uma fonte de eventos fora do AWS](query-event-data-store-integration.md).
+ As políticas baseadas em recursos para controlar quais entidades principais podem realizar ações no datastore de eventos. Você pode usar políticas baseadas em recursos para conceder acesso entre contas aos datastores de eventos.
+ Políticas baseadas em recursos em painéis CloudTrail para permitir a atualização de um painel do CloudTrail Lake no intervalo definido ao definir um cronograma de atualização para um painel. Para obter mais informações, consulte [Defina um cronograma de atualização para um painel personalizado com o console CloudTrail](lake-dashboard-refresh.md).
### Exemplos
Para ver exemplos de políticas CloudTrail baseadas em recursos, consulte. [AWS CloudTrail exemplos de políticas baseadas em recursos](security_iam_resource-based-policy-examples.md)
## Ações políticas para CloudTrail
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de CloudTrail ações, consulte [Ações definidas por AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-actions-as-permissions) na *Referência de autorização de serviço*.
As ações de política CloudTrail usam o seguinte prefixo antes da ação:
```
cloudtrail
```
Por exemplo, para conceder a alguém permissão para listar tags de uma trilha com a operação da API `ListTags`, inclua a ação `cloudtrail:ListTags` na política da pessoa. As declarações de política devem incluir um elemento `Action` ou CloudTrail . O `NotAction` define seu próprio conjunto de ações que descrevem as tarefas que podem ser executadas com esse serviço.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
```
"Action": [
"cloudtrail:AddTags",
"cloudtrail:ListTags",
"cloudtrail:RemoveTags
```
Também é possível especificar várias ações usando caracteres curinga (`*`). Por exemplo, para especificar todas as ações que começam com a palavra `Get`, inclua a seguinte ação:
```
"Action": "cloudtrail:Get*"
```
## Recursos políticos para CloudTrail
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de CloudTrail recursos e seus ARNs, consulte [Recursos definidos por AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-resources-for-iam-policies) na *Referência de autorização de serviço*. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pelo AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-actions-as-permissions).
Em CloudTrail, há quatro tipos de recursos: trilhas, armazenamentos de dados de eventos, painéis e canais. Cada recurso possui um nome de recurso da Amazon (ARN) exclusivo associado. Em uma política, você usa um ARN para identificar o recurso ao qual a política se aplica. CloudTrail atualmente não oferece suporte a outros tipos de recursos, que às vezes são chamados de sub-recursos.
O recurso de CloudTrail trilha tem o seguinte ARN:
```
arn:${Partition}:cloudtrail:${Region}:${Account}:trail/{TrailName}
```
O recurso de armazenamento de dados de CloudTrail eventos tem o seguinte ARN:
```
arn:${Partition}:cloudtrail:${Region}:${Account}:eventdatastore/{EventDataStoreId}
```
O recurso CloudTrail do painel tem o seguinte ARN:
```
arn:${Partition}:cloudtrail:${Region}:${Account}:dashboard/{DashboardName}
```
O recurso do CloudTrail canal tem o seguinte ARN:
```
arn:${Partition}:cloudtrail:${Region}:${Account}:channel/{ChannelId}
```
Para obter mais informações sobre o formato de ARNs, consulte [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por exemplo, para um Conta da AWS com o ID*123456789012*, para especificar uma trilha chamada *My-Trail* que existe na região Leste dos EUA (Ohio) em sua declaração, use o seguinte ARN:
```
"Resource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-Trail"
```
Para especificar todas as trilhas que pertencem a uma conta específica Região da AWS, use o caractere curinga (\$1):
```
"Resource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/*"
```
Algumas CloudTrail ações, como as de criação de recursos, não podem ser executadas em um recurso específico. Nesses casos, é necessário usar o caractere curinga (`*`).
```
"Resource": "*"
```
Muitas ações de CloudTrail API envolvem vários recursos. Por exemplo, `CreateTrail` requer um bucket do Amazon S3 para armazenar os arquivos de log e, portanto, um usuário deve ter permissões para gravar no bucket. Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.
```
"Resource": [
"resource1",
"resource2"
```
## Chaves de condição de política para CloudTrail
**Compatível com chaves de condição de política específicas de serviço:** não
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
CloudTrail não define suas próprias chaves de condição, mas suporta o uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de CloudTrail condição, consulte [Chaves de condição AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-policy-keys) na *Referência de autorização de serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas por AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-actions-as-permissions).
## ACLs in CloudTrail
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com CloudTrail
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
Você pode anexar tags a CloudTrail recursos ou passar tags em uma solicitação para CloudTrail. Para obter mais informações sobre a marcação de CloudTrail recursos, consulte [Criando uma trilha com o CloudTrail console](cloudtrail-create-a-trail-using-the-console-first-time.md) e. [Criando, atualizando e gerenciando trilhas com o AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli.md)
## Usando credenciais temporárias com CloudTrail
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Sessões de acesso direto para CloudTrail
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funções de serviço para CloudTrail
**Compatível com perfis de serviço:** sim
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
Alterar as permissões de uma função de serviço pode interromper CloudTrail a funcionalidade. Edite as funções de serviço somente quando CloudTrail fornecer orientação para fazer isso.
## Funções vinculadas a serviços para CloudTrail
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
CloudTrail suporta uma função vinculada a serviços para integração com. AWS Organizations Esse perfil é necessário para a criação de uma trilha ou um armazenamento de dados de eventos da organização. Trilhas organizacionais e armazenamentos de dados de eventos registram eventos para todos Contas da AWS em uma organização. Para obter mais informações sobre como criar ou gerenciar funções CloudTrail vinculadas a serviços, consulte. [Usando funções vinculadas a serviços para CloudTrail](using-service-linked-roles.md)
# Exemplos de políticas baseadas em identidade para AWS CloudTrail
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do CloudTrail. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos por CloudTrail, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição AWS CloudTrail na Referência de](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html) *Autorização de Serviço*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Exemplo: permitir e negar ações para uma trilha especificada](#security_iam_id-based-policy-examples-allow-deny-for-specific-trail)
+ [Exemplos: criação e aplicação de políticas para ações em trilhas específicas](#grant-custom-permissions-for-cloudtrail-users-resource-level)
+ [Exemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags](#security_iam_id-based-policy-examples-eds-tags)
+ [Usando o CloudTrail console](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Conceder permissões personalizadas para CloudTrail usuários](#grant-custom-permissions-for-cloudtrail-users)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir CloudTrail recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
CloudTrail não tem chaves de contexto específicas do serviço que você possa usar no `Condition` elemento das declarações de política.
## Exemplo: permitir e negar ações para uma trilha especificada
O exemplo a seguir demonstra uma política que permite que os usuários com a política visualizem o status e a configuração de uma trilha e iniciem e parem de registrar uma trilha chamada*My-First-Trail*. Essa trilha foi criada na região Leste dos EUA (Ohio) (sua região de origem) Conta da AWS com o ID*123456789012*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudtrail:StartLogging",
"cloudtrail:StopLogging",
"cloudtrail:GetTrail",
"cloudtrail:GetTrailStatus",
"cloudtrail:GetEventSelectors"
],
"Resource": [
"arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail"
]
}
]
}
```
------
O exemplo a seguir demonstra uma política que nega explicitamente CloudTrail ações para qualquer trilha não nomeada. *My-First-Trail*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloudtrail:*"
],
"NotResource": [
"arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail"
]
}
]
}
```
------
## Exemplos: criação e aplicação de políticas para ações em trilhas específicas
Você pode usar permissões e políticas para controlar a capacidade do usuário de realizar ações específicas nas CloudTrail trilhas.
Por exemplo, você não deseja que os usuários do grupo de desenvolvedores da sua empresa iniciem ou interrompam o registro em log em uma trilha específica. No entanto, talvez você queira conceder a eles permissão para realizar as ações `DescribeTrails` e `GetTrailStatus` na trilha. Você deseja que os usuários do grupo de desenvolvedores realizem as ações `StartLogging` ou `StopLogging` nas trilhas que gerenciam.
É possível criar duas declarações de política e anexá-las ao grupo de desenvolvedores criado por você no IAM. Para obter mais informações sobre grupos do IAM, consulte [Grupos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) no *Manual do usuário do IAM*.
Na primeira política, negue as ações `StartLogging` e `StopLogging` para o nome de região da Amazon (ARN) da trilha que você especificar. No exemplo a seguir, o Nome de região da Amazon (ARN) da trilha é `arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1446057698000",
"Effect": "Deny",
"Action": [
"cloudtrail:StartLogging",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail"
]
}
]
}
```
------
Na segunda política, as `GetTrailStatus` ações `DescribeTrails` e são permitidas em todos os CloudTrail recursos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1446072643000",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrail",
"cloudtrail:GetTrailStatus"
],
"Resource": [
"*"
]
}
]
}
```
------
Se um usuário do grupo de desenvolvedores tentar iniciar ou interromper o registro na trilha que você especificou na primeira política, ele receberá uma exceção de acesso negado. Os usuários do grupo de desenvolvedores podem iniciar e interromper o registro nas trilhas que criam e gerenciam.
Os exemplos a seguir mostram que o grupo de desenvolvedores configurou em um AWS CLI perfil chamado`devgroup`. Primeiro, um usuário de `devgroup` executa o comando `describe-trails`.
```
$ aws --profile devgroup cloudtrail describe-trails
```
O comando foi concluído com êxito com a seguinte saída:
```
{
"trailList": [
{
"IncludeGlobalServiceEvents": true,
"Name": "Default",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail",
"IsMultiRegionTrail": false,
"S3BucketName": "amzn-s3-demo-bucket",
"HomeRegion": "us-east-2"
}
]
}
```
O usuário executa o comando `get-trail-status` na trilha que você especificou na primeira política.
```
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
```
O comando foi concluído com êxito com a seguinte saída:
```
{
"LatestDeliveryTime": 1449517556.256,
"LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z",
"LatestNotificationAttemptSucceeded": "",
"LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-12-07T19:36:27Z",
"StartLoggingTime": 1449516987.685,
"StopLoggingTime": 1449516977.332,
"LatestNotificationAttemptTime": "",
"TimeLoggingStopped": "2015-12-07T19:36:17Z"
}
```
Em seguida, um usuário no grupo `devgroup` executa o comando `stop-logging` na mesma trilha.
```
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
```
O comando retorna uma exceção de acesso negado, como a seguinte:
```
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
```
O usuário executa o comando `start-logging` na mesma trilha.
```
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
```
Novamente, o comando retorna uma exceção de acesso negado, como a seguinte:
```
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
```
## Exemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags
No exemplo de política a seguir, a permissão para criar um armazenamento de dados de eventos com `CreateEventDataStore` será negada se pelo menos uma das seguintes condições não for atendida:
+ O armazenamento de dados de eventos não tem uma chave de tag `stage` aplicada a si mesmo
+ O valor da tag do estágio não é `alpha`, `beta`, `gamma` ou `prod`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloudtrail:CreateEventDataStore",
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/stage": "true"
}
}
},
{
"Effect": "Deny",
"Action": "cloudtrail:CreateEventDataStore",
"Resource": "*",
"Condition": {
"ForAnyValue:StringNotEquals": {
"aws:RequestTag/stage": [
"alpha",
"beta",
"gamma",
"prod"
]
}
}
}
]
}
```
------
No exemplo de política a seguir, a permissão para excluir um armazenamento de dados de evento com `DeleteEventDataStore` será negada se o armazenamento de dados de eventos tiver uma tag `stage` com um valor de`prod`. Uma política como essa pode ajudar a proteger um armazenamento de dados de eventos contra exclusão acidental.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloudtrail:DeleteEventDataStore",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
}
```
------
## Usando o CloudTrail console
Para acessar o AWS CloudTrail console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os CloudTrail recursos em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
### Concedendo permissões para administração CloudTrail
Para permitir que funções ou usuários do IAM administrem um CloudTrail recurso, como uma trilha, um armazenamento de dados de eventos ou um canal, você deve conceder permissões explícitas para realizar as ações associadas CloudTrail às tarefas. Na maioria das situações, você pode usar uma política AWS gerenciada que contém permissões predefinidas.
**nota**
As permissões que você concede aos usuários para realizar tarefas CloudTrail administrativas não são as mesmas que CloudTrail exigem a entrega de arquivos de log para buckets do Amazon S3 ou o envio de notificações para tópicos do Amazon SNS. Para obter mais informações sobre essas permissões, consulte [Política de bucket do Amazon S3 para CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Se você configurar a integração com o Amazon CloudWatch Logs, CloudTrail também requer uma função que ele possa assumir para entregar eventos a um grupo de CloudWatch logs do Amazon Logs. Você deve criar a função que CloudTrail usa. Para obter mais informações, consulte [Conceder permissão para visualizar e configurar as informações do Amazon CloudWatch Logs no console CloudTrail](#grant-cloudwatch-permissions-for-cloudtrail-users) e [Enviando eventos para o CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md).
As seguintes políticas AWS gerenciadas estão disponíveis para CloudTrail:
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)— Essa política fornece acesso total às CloudTrail ações sobre CloudTrail recursos, como trilhas, armazenamentos de dados de eventos e canais. Essa política fornece as permissões necessárias para criar, atualizar e excluir CloudTrail trilhas, armazenamentos de dados de eventos e canais.
Essa política também fornece permissões para gerenciar o bucket do Amazon S3, o grupo de CloudWatch logs para Logs e um tópico do Amazon SNS para uma trilha. No entanto, a política `AWSCloudTrail_FullAccess` gerenciada não fornece permissões para excluir o bucket do Amazon S3, o grupo de CloudWatch logs para Logs ou um tópico do Amazon SNS. Para obter informações sobre políticas gerenciadas para outros Serviços da AWS, consulte o [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
**nota**
A **AWSCloudTrail\$1FullAccess**política não se destina a ser compartilhada amplamente entre seus Conta da AWS. Os usuários com esse perfil podem desativar ou reconfigurar as funções de auditoria mais confidenciais e importantes em suas Contas da AWS. Por esse motivo, você só deve aplicar essa política aos administradores da conta. Você deve controlar e monitorar de perto o uso desta política.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)— Essa política concede permissões para visualizar o CloudTrail console, incluindo eventos recentes e histórico de eventos. Essa política também permite visualizar trilhas, armazenamentos de dados de eventos e canais existentes. Os perfis e usuários com essa política podem [baixar o histórico de eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events), mas não podem criar ou atualizar trilhas, armazenamentos de dados de eventos ou canais.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
#### Recursos adicionais do
Para saber mais sobre como usar o IAM para dar às identidades, como usuários e funções, acesso aos recursos em sua conta, consulte Como [configurar o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html) e o [gerenciamento de acesso para AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente às ações que correspondem à operação da API que você está tentando executar.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Conceder permissões personalizadas para CloudTrail usuários
CloudTrail as políticas concedem permissões aos usuários que trabalham com CloudTrail. Se precisar conceder permissões diferentes aos usuários, você pode anexar uma CloudTrail política a um grupo do IAM ou a um usuário. Você pode editar a política para incluir ou excluir permissões específicas. Você também pode criar a sua própria política personalizada. As políticas são documentos JSON que definem as ações que um usuário tem permissão para realizar e os recursos nos quais ele tem permissão para realizar essas ações. Para obter exemplos específicos, consulte [Exemplo: permitir e negar ações para uma trilha especificada](#security_iam_id-based-policy-examples-allow-deny-for-specific-trail) e [Exemplos: criação e aplicação de políticas para ações em trilhas específicas](#grant-custom-permissions-for-cloudtrail-users-resource-level).
**Contents**
+ [Acesso somente leitura.](#grant-custom-permissions-for-cloudtrail-users-read-only)
+ [Acesso total.](#grant-custom-permissions-for-cloudtrail-users-full-access)
+ [Concedendo permissão para visualizar AWS Config informações no console CloudTrail](#grant-aws-config-permissions-for-cloudtrail-users)
+ [Conceder permissão para visualizar e configurar as informações do Amazon CloudWatch Logs no console CloudTrail](#grant-cloudwatch-permissions-for-cloudtrail-users)
+ [Mais informações](#cloudtrail-notifications-more-info-2)
### Acesso somente leitura.
O exemplo a seguir mostra uma política que concede acesso somente para CloudTrail leitura às trilhas. Isso equivale à política gerenciada **AWSCloudTrail\$1ReadOnlyAccess**. Ela concede aos usuários permissão para ver informações das trilhas, mas não para criá-las ou atualizá-las.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudtrail:Get*",
"cloudtrail:Describe*",
"cloudtrail:List*",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}
```
------
Nas declarações da política, o elemento `Effect` especifica se as ações são permitidas ou negadas. O elemento `Action` lista as ações específicas que o usuário tem permissão para realizar. O `Resource` elemento lista os AWS recursos nos quais o usuário tem permissão para realizar essas ações. Para políticas que controlam o acesso às CloudTrail ações, o `Resource` elemento geralmente é definido como`*`, um curinga que significa “todos os recursos”.
Os valores no `Action` elemento correspondem aos APIs que os serviços suportam. As ações são precedidas por `cloudtrail:` para indicar que se referem a ações do CloudTrail . Você pode usar o caractere curinga `*` no elemento `Action`, como nos exemplos a seguir:
+ `"Action": ["cloudtrail:*Logging"]`
Isso permite todas as CloudTrail ações que terminam com “Logging” (`StartLogging`,`StopLogging`).
+ `"Action": ["cloudtrail:*"]`
Isso permite todas as CloudTrail ações, mas não ações para outros AWS serviços.
+ `"Action": ["*"]`
Isso permite todas as AWS ações. Essa permissão é adequada a um usuário que atua como um administrador da AWS na sua conta.
A política somente leitura não concede permissão de usuário às ações `CreateTrail`, `UpdateTrail`, `StartLogging` e `StopLogging`. Os usuários com essa política não têm permissão para criar e atualizar trilhas ou para ativar e desativar o registro. Para ver a lista de CloudTrail ações, consulte a [Referência AWS CloudTrail da API](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/).
### Acesso total.
O exemplo a seguir mostra uma política que concede acesso total CloudTrail a. Isso equivale à política gerenciada **AWSCloudTrail\$1FullAccess**. Ele concede aos usuários a permissão para realizar todas as CloudTrail ações. Ele também permite que os usuários registrem eventos de dados no Amazon S3 e AWS Lambda gerenciem arquivos em buckets do Amazon S3, gerenciem CloudWatch como o Logs CloudTrail monitora eventos de log e gerenciem tópicos do Amazon SNS na conta à qual o usuário está associado.
**Importante**
A **AWSCloudTrail\$1FullAccess**política ou as permissões equivalentes não devem ser compartilhadas amplamente em sua AWS conta. Os usuários com essa função ou acesso equivalente têm a capacidade de desativar ou reconfigurar as funções de auditoria mais confidenciais e importantes em suas AWS contas. Por esse motivo, essa política deve ser aplicada somente aos administradores da conta e o uso dessa política deve ser cuidadosamente controlado e monitorado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:AddPermission",
"sns:CreateTopic",
"sns:SetTopicAttributes",
"sns:GetTopicAttributes"
],
"Resource": [
"arn:aws:sns:*:*:aws-cloudtrail-logs*"
]
},
{
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketPolicy"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-logging-bucket1*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloudtrail:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:aws-cloudtrail-logs*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "cloudtrail.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:CreateKey",
"kms:CreateAlias",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"lambda:ListFunctions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"dynamodb:ListGlobalTables",
"dynamodb:ListTables"
],
"Resource": "*"
}
]
}
```
------
### Concedendo permissão para visualizar AWS Config informações no console CloudTrail
Você pode visualizar as informações do evento no CloudTrail console, incluindo recursos relacionados a esse evento. Para esses recursos, você pode escolher o AWS Config ícone para visualizar a linha do tempo desse recurso no AWS Config console. Anexe essa política aos seus usuários para conceder acesso somente para leitura AWS Config . A política não concede a eles permissão para alterar as configurações em AWS Config.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:List*"
],
"Resource": "*"
}]
}
```
------
Para obter mais informações, consulte [Visualizando recursos referenciados com AWS Config](view-cloudtrail-events-console.md#viewing-resources-config).
### Conceder permissão para visualizar e configurar as informações do Amazon CloudWatch Logs no console CloudTrail
Você pode visualizar e configurar a entrega de eventos para o CloudWatch Logs no CloudTrail console se tiver permissões suficientes. Essas são as permissões que podem ser além das concedidas para administradores do CloudTrail. Anexe essa política aos administradores que configurarão e gerenciarão a CloudTrail integração com o CloudWatch Logs. A política não concede a eles permissões diretamente no Logs CloudTrail ou no CloudWatch Logs, mas concede as permissões necessárias para criar e configurar a função que CloudTrail assumirá para entregar eventos com sucesso ao seu grupo de CloudWatch Logs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
}]
}
```
------
Para obter mais informações, consulte [Monitorando arquivos de CloudTrail log com o Amazon CloudWatch Logs](monitor-cloudtrail-log-files-with-cloudwatch-logs.md).
### Mais informações
Para saber mais sobre como usar o IAM para dar às identidades, como usuários e funções, acesso aos recursos em sua conta, consulte [Introdução](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html) e [gerenciamento de acesso para AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*.
# AWS CloudTrail exemplos de políticas baseadas em recursos
Esta seção fornece exemplos de políticas baseadas em recursos para painéis, repositórios de dados de eventos e canais do CloudTrail Lake.
CloudTrail oferece suporte aos seguintes tipos de políticas baseadas em recursos:
+ Políticas baseadas em recursos em canais usados para integrações CloudTrail do Lake com fontes de eventos externas. AWS A política baseada em recursos do canal define quais entidades principais (contas, usuários, funções e usuários federados) podem chamar `PutAuditEvents` no canal para entregar eventos para o armazenamento de dados do evento de destino. Para obter mais informações sobre a criação de integrações com o CloudTrail Lake, consulte[Crie uma integração com uma fonte de eventos fora do AWS](query-event-data-store-integration.md).
+ As políticas baseadas em recursos para controlar quais entidades principais podem realizar ações no datastore de eventos. Você pode usar políticas baseadas em recursos para conceder acesso entre contas aos datastores de eventos.
+ Políticas baseadas em recursos em painéis CloudTrail para permitir a atualização de um painel do CloudTrail Lake no intervalo definido ao definir um cronograma de atualização para um painel. Para obter mais informações, consulte [Defina um cronograma de atualização para um painel personalizado com o console CloudTrail](lake-dashboard-refresh.md).
**Topics**
+ [Exemplos de políticas baseadas em recursos para canais](#security_iam_resource-based-policy-examples-channels)
+ [Exemplos de políticas baseadas em recursos para armazenamentos e dados de eventos](#security_iam_resource-based-policy-examples-eds)
+ [Exemplo de política baseada em recurso para um painel](#security_iam_resource-based-policy-examples-dashboards)
## Exemplos de políticas baseadas em recursos para canais
A política baseada em recursos do canal define quais entidades principais (contas, usuários, funções e usuários federados) podem chamar `PutAuditEvents` no canal para entregar eventos para o armazenamento de dados do evento de destino.
As informações necessárias para a política são determinadas pelo tipo de integração.
+ Para uma integração de direção, CloudTrail exige que a política contenha a do Conta da AWS IDs parceiro e exige que você insira a ID externa exclusiva fornecida pelo parceiro. CloudTrail adiciona automaticamente a política do parceiro Conta da AWS IDs à política de recursos quando você cria uma integração usando o CloudTrail console. Consulte a [documentação do parceiro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-integration.html#cloudtrail-lake-partner-information#lake-integration-partner-documentation) para saber como obter os Conta da AWS números necessários para a apólice.
+ Para uma integração de solução, você deve especificar pelo menos uma Conta da AWS ID como principal e, opcionalmente, inserir uma ID externa para evitar confusões entre representantes.
A seguir estão os requisitos para a política baseada em recursos:
+ Cada uma deve incluir pelo menos uma instrução. A política pode ter um máximo de 20 instruções.
+ Cada instrução contém pelo menos uma entidade principal. Uma entidade principal pode ser uma conta, um usuário, um perfil ou um usuário federado. Uma instrução pode ter um máximo de 50 entidades principais.
+ O ARN do recurso definido na política deve corresponder ao ARN do canal ao qual a política está anexada.
+ A política contém apenas uma ação: `cloudtrail-data:PutAuditEvents`
O proprietário do canal pode chamar a API `PutAuditEvents` no canal, a menos que a política negue ao proprietário o acesso ao recurso.
**Topics**
+ [Exemplo: fornecer acesso ao canal às entidades principais](#security_iam_resource-based-policy-examples-principals)
+ [Exemplo: uso de um ID externo para evitar o “confused deputy”](#security_iam_resource-based-policy-examples-externalID)
### Exemplo: fornecer acesso ao canal às entidades principais
O exemplo a seguir concede permissões aos diretores com o ARNs`arn:aws:iam::111122223333:root`,`arn:aws:iam::444455556666:root`, e `arn:aws:iam::123456789012:root` para chamar a [PutAuditEvents](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)API no CloudTrail canal com o ARN. `arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "ChannelPolicy",
"Effect": "Allow",
"Principal":
{
"AWS":
[
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root",
"arn:aws:iam::123456789012:root"
]
},
"Action": "cloudtrail-data:PutAuditEvents",
"Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
}
]
}
```
------
### Exemplo: uso de um ID externo para evitar o “confused deputy”
O exemplo a seguir usa um ID externo para endereçar e evitar um [confused deputy](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cross-service-confused-deputy-prevention.html). O problema "confused deputy" é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação.
O parceiro de integração cria o ID externo para usar na política. Em seguida, ele fornece o ID externo a você como parte da criação da integração. O valor pode ser qualquer string exclusiva, como uma frase secreta ou o número de uma conta.
O exemplo concede permissões aos diretores com o ARNs`arn:aws:iam::111122223333:root`,`arn:aws:iam::444455556666:root`, e `arn:aws:iam::123456789012:root` para chamar a [PutAuditEvents](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)API no recurso do CloudTrail canal se a chamada para a `PutAuditEvents` API incluir o valor de ID externo definido na política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "ChannelPolicy",
"Effect": "Allow",
"Principal":
{
"AWS":
[
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root",
"arn:aws:iam::123456789012:root"
]
},
"Action": "cloudtrail-data:PutAuditEvents",
"Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b"
}
]
}
```
------
## Exemplos de políticas baseadas em recursos para armazenamentos e dados de eventos
As políticas baseadas em recursos possibilitam controlar quais entidades principais podem realizar ações no datastore de eventos.
Você pode usar políticas baseadas em recursos para fornecer acesso entre contas para permitir que entidades principais selecionadas consultem o datastore de eventos, listem e cancelem consultas e visualizem resultados de consultas.
Para o painel do CloudTrail Lake, políticas baseadas em recursos são usadas CloudTrail para permitir a execução de consultas em seus armazenamentos de dados de eventos para preencher os dados dos widgets do painel quando o painel é atualizado. CloudTrail O Lake oferece a opção de anexar uma política padrão baseada em recursos aos seus armazenamentos de dados de eventos ao [criar um painel personalizado](lake-dashboard-custom.md) ou [ativar o painel Destaques](lake-dashboard-highlights.md) no CloudTrail console.
As seguintes ações são compatíveis com políticas baseadas em recursos para datastores de eventos:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Ao [criar](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure) ou [atualizar](query-event-data-store-update.md) um armazenamento de dados de eventos ou gerenciar painéis no CloudTrail console, você tem a opção de adicionar uma política baseada em recursos ao seu armazenamento de dados de eventos. Você também pode executar o [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-resource-policy.html)comando para anexar uma política baseada em recursos a um armazenamento de dados de eventos.
Uma política baseada em recurso consiste em uma ou mais instruções. Por exemplo, pode incluir uma instrução que permite CloudTrail consultar o armazenamento de dados de eventos para um painel e outra instrução que permite acesso entre contas para consultar o armazenamento de dados de eventos. Você pode [atualizar](query-event-data-store-update.md) a política baseada em recursos de um armazenamento de dados de eventos existente na página de detalhes do armazenamento de dados de eventos no CloudTrail console.
Para [armazenamentos de dados de eventos da organização](cloudtrail-lake-organizations.md), CloudTrail cria uma [política padrão baseada em recursos](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) que lista as ações que as contas de administrador delegado podem realizar nos armazenamentos de dados de eventos da organização. As permissões dessa política são derivadas das permissões de administrador delegado no AWS Organizations. Essa política é atualizada automaticamente após alterações no armazenamento de dados de eventos da organização ou na organização (por exemplo, uma conta de administrador CloudTrail delegado é registrada ou removida).
**Topics**
+ [Exemplo: permitir CloudTrail a execução de consultas para atualizar um painel](#security_iam_resource-based-policy-examples-eds-dashboard)
+ [Exemplo: permitir que outras contas consultem um datastore de eventos e visualizem resultados de consultas](#security_iam_resource-based-policy-examples-eds-query)
### Exemplo: permitir CloudTrail a execução de consultas para atualizar um painel
Para preencher os dados em um painel do CloudTrail Lake durante uma atualização, você precisa permitir CloudTrail a execução de consultas em seu nome. Para fazer isso, anexe uma política baseada em recursos a cada armazenamento de dados de eventos associado a um widget de painel que inclua uma instrução que permita realizar CloudTrail a `StartQuery` operação para preencher os dados do widget.
Estes são os requisitos para a instrução:
+ A única `Principal` é `cloudtrail.amazonaws.com`.
+ A única `Action` permitida é `cloudtrail:StartQuery`.
+ Isso inclui `Condition` apenas o (s) ARN (s) e Conta da AWS o ID do painel. Para`AWS:SourceArn`, você pode fornecer uma variedade de painéis ARNs.
O exemplo de política a seguir inclui uma declaração que permite CloudTrail executar consultas em um armazenamento de dados de eventos para dois painéis personalizados chamados `example-dashboard1` `example-dashboard2` e o painel de destaques nomeado `AWSCloudTrail-Highlights` para a conta. `123456789012`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "cloudtrail.amazonaws.com"
},
"Action":
[
"cloudtrail:StartQuery"
],
"Resource": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/*",
"Condition": {
"StringLike": {
"AWS:SourceArn": [
"arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard1",
"arn:aws:cloudtrail:us-east-1:123456789012:dashboard/example-dashboard2",
"arn:aws:cloudtrail:us-east-1:123456789012:dashboard/AWSCloudTrail-Highlights"
],
"AWS:SourceAccount": "123456789012"
}
}
}
]
}
```
------
### Exemplo: permitir que outras contas consultem um datastore de eventos e visualizem resultados de consultas
Você pode usar políticas baseadas em recursos para fornecer acesso entre contas aos datastores de eventos para permitir que outras contas executem consultas nos seus datastores de eventos.
O exemplo de política a seguir inclui uma instrução que permite que usuários-raiz nas contas `111122223333`, `777777777777`, `999999999999` e `111111111111` executem consultas e obtenham resultados de consultas no datastore de eventos de propriedade do ID de conta `555555555555`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "policy1",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::777777777777:root",
"arn:aws:iam::999999999999:root",
"arn:aws:iam::111111111111:root"
]
},
"Action": [
"cloudtrail:StartQuery",
"cloudtrail:GetEventDataStore",
"cloudtrail:GetQueryResults"
],
"Resource": "arn:aws:cloudtrail:us-east-1:555555555555:eventdatastore/example80-699f-4045-a7d2-730dbf313ccf"
}
]
}
```
------
## Exemplo de política baseada em recurso para um painel
Você pode definir um cronograma de atualização para um painel do CloudTrail Lake, o que CloudTrail permite atualizar o painel em seu nome no intervalo definido ao definir o cronograma de atualização. Para fazer isso, você precisa anexar uma política baseada em recursos ao painel para permitir CloudTrail a execução da `StartDashboardRefresh` operação em seu painel.
A seguir estão os requisitos para a política baseada em recursos:
+ A única `Principal` é `cloudtrail.amazonaws.com`.
+ A única `Action` permitida na política é `cloudtrail:StartDashboardRefresh`.
+ Isso inclui `Condition` apenas o ARN e Conta da AWS o ID do painel.
O exemplo de política a seguir CloudTrail permite atualizar um painel com o nome `exampleDash` da conta`123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "cloudtrail.amazonaws.com"
},
"Action":
[
"cloudtrail:StartDashboardRefresh"
],
"Resource": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/*",
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash",
"AWS:SourceAccount":"123456789012"
}
}
}
]
}
```
------
# Política de bucket do Amazon S3 para CloudTrail
Por padrão, os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso (a conta da AWS que criou o bucket) pode acessar o bucket e os objetos que ele contém. O proprietário do recurso pode conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.
Se você deseja criar ou modificar um bucket do Amazon S3 para receber os arquivos de log para uma trilha de organização, modifique a política do bucket. Para obter mais informações, consulte [Criando uma trilha para uma organização com o AWS CLI](cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.md).
Para entregar arquivos de log em um bucket do S3, é CloudTrail necessário ter as permissões necessárias e não pode ser configurado como um bucket do [Requester Pays](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html).
CloudTrail adiciona os seguintes campos na política para você:
+ O permitido SIDs
+ O nome do bucket
+ O nome principal do serviço para CloudTrail
+ O nome da pasta em que os arquivos de log são armazenados, incluindo o nome do bucket, um prefixo (se você tiver especificado um) e o ID AWS da sua conta
Como uma prática recomendada de segurança, adicione uma `aws:SourceArn` chave de condição para a política de bucket do Amazon S3. A chave de condição global do IAM `aws:SourceArn` ajuda a garantir que as CloudTrail gravações no bucket do S3 sejam gravadas somente para uma trilha ou trilhas específicas. O valor de `aws:SourceArn` é sempre o ARN da trilha (ou matriz de trilhas ARNs) que está usando o bucket para armazenar registros. Certifique-se de adicionar a chave de condição `aws:SourceArn` às políticas de bucket do S3 para as trilhas existentes.
**nota**
Se você configurar incorretamente sua trilha (por exemplo, o bucket do S3 está inacessível), CloudTrail tentará reenviar os arquivos de log para o bucket do S3 por 30 dias, e esses attempted-to-deliver eventos estarão sujeitos às cobranças padrão. CloudTrail Para evitar cobranças em uma trilha mal configurada, você precisa excluir a trilha.
A política a seguir permite CloudTrail gravar arquivos de log no bucket a partir do suporte Regiões da AWS. Substitua *amzn-s3-demo-bucket* *[optionalPrefix]/**myAccountID*,*region*,, e *trailName* pelos valores apropriados para sua configuração.
**Política de bucket do S3**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optionalPrefix]/AWSLogs/myAccountID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
}
]
}
```
------
Para obter mais informações sobre Regiões da AWS, consulte[CloudTrail Regiões suportadas](cloudtrail-supported-regions.md).
**Contents**
+ [Especificação de um bucket existente para entrega de CloudTrail registros](#specify-an-existing-bucket-for-cloudtrail-log-delivery)
+ [Receber arquivos de log de outras contas](#aggregration-option)
+ [Criar ou atualizar um bucket do Amazon S3 a ser usado para armazenar os arquivos de log de uma trilha da organização](#org-trail-bucket-policy)
+ [Solução de problemas da política de bucket do Amazon S3](#troubleshooting-s3-bucket-policy)
+ [Erros comuns de configuração da política do Amazon S3](#s3-bucket-policy-for-multiple-regions)
+ [Alterar um prefixo de um bucket existente](#cloudtrail-add-change-or-remove-a-bucket-prefix)
+ [Recursos adicionais do](#cloudtrail-S3-bucket-policy-resources)
## Especificação de um bucket existente para entrega de CloudTrail registros
Se você especificou um bucket do S3 existente como local de armazenamento para entrega do arquivo de log, deverá anexar uma política ao bucket que permita CloudTrail a gravação no bucket.
**nota**
Como prática recomendada, use um bucket S3 dedicado para CloudTrail registros.
**Para adicionar a CloudTrail política necessária a um bucket do Amazon S3**
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Escolha o bucket em que você deseja CloudTrail entregar seus arquivos de log e, em seguida, escolha **Permissões**.
1. Escolha **Editar**.
1. Copie a [S3 bucket policy](#s3-bucket-policy) na janela **Bucket Policy Editor**. Substitua os marcadores em itálico pelos nomes de seu bucket, prefixo e número da conta. Se você tiver especificado um prefixo quando você criou sua trilha, inclua-o aqui. O prefixo é uma opção adicional para a chave do objeto do S3 que cria uma organização em formato de pasta no seu bucket.
**nota**
Se o bucket existente já tiver uma ou mais políticas anexadas, adicione as instruções para CloudTrail acessar essa política ou políticas. Avalie o conjunto resultante de permissões para ter certeza de que elas são apropriadas para os usuários que acessarão o bucket.
## Receber arquivos de log de outras contas
Você pode configurar CloudTrail para entregar arquivos de log de várias AWS contas para um único bucket do S3. Para obter mais informações, consulte [Recebendo arquivos de CloudTrail log de várias contasEditando a conta do proprietário do bucket IDs para eventos de dados chamados por outras contas](cloudtrail-receive-logs-from-multiple-accounts.md).
## Criar ou atualizar um bucket do Amazon S3 a ser usado para armazenar os arquivos de log de uma trilha da organização
Você deve especificar um bucket do Amazon S3 para receber os arquivos de log para uma trilha de organização. Esse bucket deve ter uma política que CloudTrail permita colocar os arquivos de log da organização no bucket.
Veja a seguir um exemplo de política para um bucket do Amazon S3 chamado*amzn-s3-demo-bucket*, que pertence à conta de gerenciamento da organização. Substitua *amzn-s3-demo-bucket* *region**managementAccountID*,*trailName*,,, e *o-organizationID* pelos valores da sua organização
Essa política de bucket consiste em três instruções.
+ A primeira declaração permite chamar CloudTrail a `GetBucketAcl` ação do Amazon S3 no bucket do Amazon S3.
+ A segunda permite o registro em log caso a trilha seja alterada de uma trilha da organização para uma trilha somente dessa conta.
+ A terceira instrução permite o registro em log para uma trilha da organização.
O exemplo de política inclui uma chave de condição `aws:SourceArn` para a política de bucket do Amazon S3. A chave de condição global do IAM `aws:SourceArn` ajuda a garantir que as CloudTrail gravações no bucket do S3 sejam gravadas somente para uma trilha ou trilhas específicas. Em uma trilha da organização, o valor de `aws:SourceArn` deve ser um ARN de trilha que pertença à conta de gerenciamento e use a ID da conta de gerenciamento.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/managementAccountID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailOrganizationWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/o-organizationID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
}
}
}
]
}
```
------
Essa política de exemplo não permite que usuários de contas-membro acessem os arquivos de log criados para a organização. Por padrão, os arquivos de log da organização poderão ser acessados somente pela conta de gerenciamento. Para obter informações sobre como conceder acesso de leitura ao bucket do Amazon S3 para usuários do IAM nas contas-membro, consulte [Compartilhamento CloudTrail de arquivos de log entre AWS contas](cloudtrail-sharing-logs.md).
## Solução de problemas da política de bucket do Amazon S3
As seções a seguir descrevem como solucionar problemas da política de bucket do S3.
**nota**
Se você configurar incorretamente sua trilha (por exemplo, o bucket do S3 está inacessível), CloudTrail tentará reenviar os arquivos de log para o bucket do S3 por 30 dias, e esses attempted-to-deliver eventos estarão sujeitos às cobranças padrão. CloudTrail Para evitar cobranças em uma trilha mal configurada, você precisa excluir a trilha.
### Erros comuns de configuração da política do Amazon S3
Quando você cria um novo bucket como parte da criação ou da atualização de uma trilha, o CloudTrail anexa as permissões necessárias ao seu bucket. A política de bucket usa o nome principal do serviço`"cloudtrail.amazonaws.com"`,, que permite CloudTrail entregar registros para todas as regiões.
Se não CloudTrail estiver entregando registros para uma região, é possível que seu bucket tenha uma política mais antiga que especifique a CloudTrail conta IDs para cada região. Essa política dá CloudTrail permissão para entregar registros somente para as regiões especificadas.
Como prática recomendada, atualize a política para usar uma permissão com o responsável pelo CloudTrail serviço. Para fazer isso, substitua o ID ARNs da conta pelo nome principal do serviço:`"cloudtrail.amazonaws.com"`. Isso dá CloudTrail permissão para entregar registros para regiões atuais e novas. Como uma prática recomendada de segurança, adicione um `aws:SourceArn` ou `aws:SourceAccount` chave de condição à política do bucket do Amazon S3. Isso ajuda a impedir o acesso não autorizado à conta do seu bucket do S3. Se você tiver trilhas existentes, certifique-se de adicionar uma ou mais chaves de condição. Veja a seguir um exemplo de uma configuração de política recomendada. Substitua *amzn-s3-demo-bucket* *[optionalPrefix]/**myAccountID*,*region*,, e *trailName* pelos valores apropriados para sua configuração.
**Example Exemplo de política de bucket com o nome principal do serviço**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optionalPrefix]/AWSLogs/myAccountID/*",
"Condition": {"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:trail/trailName"
}
}
}
]
}
```
### Alterar um prefixo de um bucket existente
Se você tentar adicionar, modificar ou remover o prefixo de um arquivo de log para um bucket do S3 que recebe logs de uma trilha, poderá ver o erro: **Há um problema com a sua política de bucket**. Uma política de bucket com um prefixo incorreto pode impedir que sua trilha forneça logs ao bucket. Para resolver esse problema, use o console do Amazon S3 para atualizar o prefixo na política de bucket e, em seguida, use o CloudTrail console para especificar o mesmo prefixo para o bucket na trilha.
**Para atualizar o prefixo do arquivo de log de um bucket do Amazon S3**
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Escolha o bucket para o qual deseja modificar o prefixo e escolha **Permissions** (Permissões).
1. Escolha **Editar**.
1. Na política de bucket, na `s3:PutObject` ação, edite a `Resource` entrada para adicionar, modificar ou remover o arquivo de log *prefix/* conforme necessário.
```
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*",
```
1. Escolha **Salvar**.
1. Abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Escolha a trilha e, em **Storage location**, clique no ícone de lápis para editar as configurações do seu bucket.
1. Em **S3 bucket**, escolha o bucket com o prefixo que você está alterando.
1. Em **Log file prefix**, atualize o prefixo de acordo com o prefixo informado na política do bucket.
1. Escolha **Salvar**.
## Recursos adicionais do
Para obter mais informações sobre buckets e políticas do S3, consulte [Uso de políticas de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) no *Guia do usuário do Amazon Simple Storage Service*.
# Política de bucket do Amazon S3 para resultados de consulta CloudTrail do Lake
Por padrão, os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso (a conta da AWS que criou o bucket) pode acessar o bucket e os objetos que ele contém. O proprietário do recurso pode conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.
Para entregar os resultados da consulta do CloudTrail Lake em um bucket do S3, é CloudTrail necessário ter as permissões necessárias e não pode ser configurado como um bucket do [Requester Pays](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html).
CloudTrail adiciona os seguintes campos na política para você:
+ O permitido SIDs
+ O nome do bucket
+ O nome principal do serviço para CloudTrail
Como uma prática recomendada de segurança, adicione uma `aws:SourceArn` chave de condição para a política de bucket do Amazon S3. A chave de condição global do IAM `aws:SourceArn` ajuda a garantir que as CloudTrail gravações no bucket do S3 sejam gravadas somente para o armazenamento de dados do evento.
A política a seguir permite CloudTrail entregar resultados de consulta ao bucket a partir do Supported Regiões da AWS. Substitua *amzn-s3-demo-bucket**myAccountID*,, e *myQueryRunningRegion* pelos valores apropriados para sua configuração. *myAccountID*É o ID da AWS conta usado CloudTrail, que pode não ser o mesmo que o ID da AWS conta do bucket do S3.
**nota**
Se sua política de bucket incluir uma declaração para uma chave do KMS, recomendamos usar um ARN de chave do KMS totalmente qualificado. Se você usar um alias de chave KMS em vez disso, AWS KMS resolverá a chave na conta do solicitante. Isso pode resultar em dados criptografados com uma chave do KMS pertencente ao solicitante, e não ao proprietário do bucket.
Se isso for um armazenamento de dados de eventos da organização, o ARN do armazenamento de dados de eventos deverá incluir o ID de conta da AWS para a conta de gerenciamento. Essa abordagem ocorre porque a conta de gerenciamento mantém a propriedade de todos os recursos da organização.
**Política de bucket do S3**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailLake1",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": [
"s3:PutObject*",
"s3:Abort*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:sourceAccount": "111111111111"
},
"ArnLike": {
"aws:sourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/*"
}
}
},
{
"Sid": "AWSCloudTrailLake2",
"Effect": "Allow",
"Principal": {"Service":"cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:sourceAccount": "111111111111"
},
"ArnLike": {
"aws:sourceArn": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/*"
}
}
}
]
}
```
------
**Contents**
+ [Especificando um bucket existente para os resultados da consulta CloudTrail do Lake](#specify-an-existing-bucket-for-cloudtrail-query-results-delivery)
+ [Recursos adicionais do](#cloudtrail-lake-S3-bucket-policy-resources)
## Especificando um bucket existente para os resultados da consulta CloudTrail do Lake
Se você especificou um bucket do S3 existente como o local de armazenamento para a entrega dos resultados da consulta do CloudTrail Lake, deverá anexar uma política CloudTrail ao bucket que permita entregar os resultados da consulta ao bucket.
**nota**
Como prática recomendada, use um bucket S3 dedicado para os resultados da consulta CloudTrail do Lake.
**Para adicionar a CloudTrail política necessária a um bucket do Amazon S3**
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Escolha o bucket em que você deseja CloudTrail entregar os resultados da consulta do Lake e, em seguida, escolha **Permissões**.
1. Escolha **Editar**.
1. Copie a [S3 bucket policy for query results](#s3-bucket-policy-lake-query) na janela **Bucket Policy Editor**. Substitua os espaços reservados em itálico pelos nomes de seu bucket, região e ID da conta.
**nota**
Se o bucket existente já tiver uma ou mais políticas anexadas, adicione as instruções para CloudTrail acessar essa política ou políticas. Avalie o conjunto resultante de permissões para ter certeza de que elas são apropriadas para os usuários que acessam o bucket.
## Recursos adicionais do
Para obter mais informações sobre buckets e políticas do S3, consulte [Uso de políticas de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) no *Guia do usuário do Amazon Simple Storage Service*.
# Política de tópicos do Amazon SNS para CloudTrail
Para enviar notificações para um tópico do SNS, é CloudTrail necessário ter as permissões necessárias. CloudTrailanexa automaticamente as permissões necessárias ao tópico quando você cria um tópico do Amazon SNS como parte da criação ou atualização de uma trilha no CloudTrail console.
**Importante**
Como prática recomendada de segurança, para restringir o acesso ao tópico do SNS, recomendamos que, depois de criar ou atualizar uma trilha para enviar notificações do SNS, você edite manualmente a política do IAM anexada ao tópico do SNS para adicionar chaves de condição. Para obter mais informações, consulte [Prática recomendada de segurança para a política de tópicos do SNS](#cloudtrail-sns-notifications-policy-security) neste tópico.
CloudTrail adiciona a seguinte declaração à política para você com os seguintes campos:
+ O permitido SIDs.
+ O nome principal do serviço para CloudTrail.
+ O tópico do SNS, incluindo região, ID da conta e nome do tópico.
A política a seguir permite CloudTrail enviar notificações sobre a entrega de arquivos de log das regiões suportadas. Para obter mais informações, consulte [CloudTrail Regiões suportadas](cloudtrail-supported-regions.md). Esta é a política padrão anexada a uma política de tópicos do SNS nova ou existente quando você cria ou atualiza uma trilha e opta por habilitar as notificações do SNS.
**Política de tópicos do SNS**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailSNSPolicy20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:111111111111:SNSTopicName"
}
]
}
```
------
Para usar um tópico AWS KMS criptografado do Amazon SNS para enviar notificações, você também deve habilitar a compatibilidade entre a fonte do evento CloudTrail () e o tópico criptografado adicionando a seguinte declaração à política do. AWS KMS key
**Política de chaves do KMS**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
Para obter mais informações, consulte [Habilitar compatibilidade entre fontes de eventos de AWS serviços e tópicos criptografados](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#compatibility-with-aws-services).
**Contents**
+ [Prática recomendada de segurança para a política de tópicos do SNS](#cloudtrail-sns-notifications-policy-security)
+ [Especificar um tópico existente para enviar notificações](#specifying-an-existing-topic-for-sns-notifications)
+ [Solução de problemas de política de tópicos do SNS](#troubleshooting-sns-topic-policy)
+ [CloudTrail não está enviando notificações para uma região](#sns-topic-policy-for-multiple-regions)
+ [CloudTrail não está enviando notificações para uma conta de membro em uma organização](#sns-topic-policy-authorization-failure)
+ [Recursos adicionais do](#cloudtrail-notifications-more-info-5)
## Prática recomendada de segurança para a política de tópicos do SNS
Por padrão, a declaração de política do IAM CloudTrail anexada ao seu tópico do Amazon SNS permite que CloudTrail o responsável pelo serviço publique em um tópico do SNS, identificado por um ARN. Para ajudar a impedir que um invasor tenha acesso ao seu tópico do SNS e envie notificações em nome dos destinatários do CloudTrail tópico, edite manualmente sua política de tópicos do CloudTrail SNS para adicionar uma chave de `aws:SourceArn` condição à declaração de política anexada por. CloudTrail O valor dessa chave é o ARN da trilha ou uma matriz de trilhas ARNs que estão usando o tópico do SNS. Como o valor dessa chave inclui o ID de trilha específica e o ID da conta que possui a trilha, ela restringe o acesso a tópicos do SNS somente às contas que têm permissão para gerenciar a trilha. Antes de adicionar chaves de condição à sua política de tópicos do SNS, obtenha o nome do tópico do SNS nas configurações da trilha no CloudTrail console.
A `aws:SourceAccount` chave de condição também é compatível, mas não é recomendada.
**Para adicionar a chave de condição do `aws:SourceArn` à sua política de tópico do SNS**
1. [Abra o console do Amazon SNS em https://console.aws.amazon.com/sns/ v3/home.](https://console.aws.amazon.com/sns/v3/home)
1. No painel de navegação, escolha **Tópicos**.
1. Escolha o tópico SNS que é mostrado nas configurações de trilha e escolha **Edit** (Editar).
1. Expanda **Access policy (Política de acesso)**.
1. No editor JSON **Access policy** (Política de acesso), procure um bloco semelhante ao exemplo a seguir.
```
{
"Sid": "AWSCloudTrailSNSPolicy20150319",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496"
}
```
1. Adicione um novo bloco para uma condição, `aws:SourceArn`, conforme mostrado no exemplo a seguir. O valor de `aws:SourceArn` é o ARN da trilha sobre a qual você está enviando notificações para o SNS.
```
{
"Sid": "AWSCloudTrailSNSPolicy20150319",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail/Trail3"
}
}
}
```
1. Quando terminar de editar a política de tópico do SNS, escolha **Save changes** (Salvar alterações).
**Para adicionar a chave de condição do `aws:SourceAccount` à sua política de tópico do SNS**
1. [Abra o console do Amazon SNS em https://console.aws.amazon.com/sns/ v3/home.](https://console.aws.amazon.com/sns/v3/home)
1. No painel de navegação, escolha **Tópicos**.
1. Escolha o tópico SNS que é mostrado nas configurações de trilha e escolha **Edit** (Editar).
1. Expanda **Access policy (Política de acesso)**.
1. No editor JSON **Access policy** (Política de acesso), procure um bloco semelhante ao exemplo a seguir.
```
{
"Sid": "AWSCloudTrailSNSPolicy20150319",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496"
}
```
1. Adicione um novo bloco para uma condição, `aws:SourceAccount`, conforme mostrado no exemplo a seguir. O valor de `aws:SourceAccount` é o ID da conta proprietária da CloudTrail trilha. Este exemplo restringe o acesso ao tópico do SNS somente aos usuários que podem entrar na AWS conta 123456789012.
```
{
"Sid": "AWSCloudTrailSNSPolicy20150319",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
```
1. Quando terminar de editar a política de tópico do SNS, escolha **Save changes** (Salvar alterações).
## Especificar um tópico existente para enviar notificações
Você pode adicionar manualmente as permissões de um tópico do Amazon SNS à sua política de tópicos no console do Amazon SNS e depois especificar o tópico no console. CloudTrail
**Para atualizar manualmente uma política de tópicos do SNS**
1. [Abra o console do Amazon SNS em https://console.aws.amazon.com/sns/ v3/home.](https://console.aws.amazon.com/sns/v3/home)
1. Escolha **Topics (Tópicos)** e escolha o tópico.
1. Escolha **Editar** e, em seguida, role para baixo até **Política de acesso**.
1. Adicione a instrução de [SNS topic policy](#sns-topic-policy) com os valores apropriados para a região, o ID da conta e o nome do tópico.
1. Se o seu tópico for um tópico criptografado, você deverá CloudTrail permitir que ele tenha `kms:GenerateDataKey*` e as `kms:Decrypt` permissões. Para obter mais informações, consulte [Encrypted SNS topic KMS key policy](#kms-key-policy).
1. Escolha **Salvar alterações**.
1. Volte ao CloudTrail console e especifique o tópico da trilha.
## Solução de problemas de política de tópicos do SNS
As seções a seguir descrevem como solucionar problemas da política de tópicos do SNS.
**Topics**
+ [CloudTrail não está enviando notificações para uma região](#sns-topic-policy-for-multiple-regions)
+ [CloudTrail não está enviando notificações para uma conta de membro em uma organização](#sns-topic-policy-authorization-failure)
### CloudTrail não está enviando notificações para uma região
Quando você cria um novo tópico como parte da criação ou atualização de uma trilha, CloudTrail anexa as permissões necessárias ao seu tópico. A política de tópicos usa o nome principal do serviço`"cloudtrail.amazonaws.com"`,, que permite CloudTrail enviar notificações para todas as regiões.
Se não CloudTrail estiver enviando notificações para uma região, é possível que seu tópico tenha uma política mais antiga que especifique uma CloudTrail conta IDs para cada região. Esse tipo de política dá CloudTrail permissão para enviar notificações somente para as regiões especificadas.
Como prática recomendada, atualize a política para usar uma permissão com o responsável pelo CloudTrail serviço. Para fazer isso, substitua o ID ARNs da conta pelo nome principal do serviço:`"cloudtrail.amazonaws.com"`.
O exemplo de política a seguir dá CloudTrail permissão para enviar notificações para regiões atuais e novas:
**Example política de tópicos com o nome principal do serviço**
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AWSCloudTrailSNSPolicy20131101",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:123456789012:myTopic"
}]
}
```
Verifique se a política tem os valores corretos:
+ No campo `Resource`, especifique o número da conta do proprietário do tópico. Para os tópicos que você criar, especifique o número da sua conta.
+ Especifique os valores apropriados para a região e o nome do tópico do SNS.
### CloudTrail não está enviando notificações para uma conta de membro em uma organização
Quando uma conta membro com uma trilha AWS Organizations organizacional não está enviando notificações do Amazon SNS, pode haver um problema com a configuração da política de tópicos do SNS. CloudTrail cria trilhas da organização nas contas dos membros mesmo se a validação do recurso falhar, por exemplo, o tópico do SNS da trilha da organização não inclui todas as contas IDs dos membros. Se a política de tópicos do SNS estiver incorreta, ocorrerá falha na autorização.
Como verificar se a política de tópicos do SNS de uma trilha tem uma falha de autorização:
+ No CloudTrail console, confira a página de detalhes da trilha. Se houver uma falha na autorização, a página de detalhes incluirá um aviso `SNS authorization failed` e indicará que a política de tópicos do SNS deve ser corrigida.
+ A partir do AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)comando. Se houver uma falha na autorização, a saída do comando incluirá o campo `LastNotificationError` com um valor de `AuthorizationError`.
## Recursos adicionais do
Para obter mais informações sobre tópicos do SNS e como se inscrever neles, consulte o [Guia do desenvolvedor do Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/).
# Solução de problemas AWS CloudTrail de identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com CloudTrail um IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação em CloudTrail](#security_iam_troubleshoot-no-permissions)
+ [Não tenho autorização para executar `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha Conta da AWS acessem meus CloudTrail recursos](#security_iam_troubleshoot-cross-account-access)
+ [Não tenho autorização para executar `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Estou recebendo uma exceção `NoManagementAccountSLRExistsException` quando tento criar uma trilha ou um armazenamento de dados de eventos da organização](#security_iam_troubleshoot-no-slr)
## Não estou autorizado a realizar uma ação em CloudTrail
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `cloudtrail:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `cloudtrail:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Caso seu administrador seja a pessoa que forneceu suas credenciais de início de sessão.
O exemplo de erro a seguir ocorre quando o usuário do `mateojackson` IAM tenta usar o console para ver detalhes sobre uma trilha, mas não tem a política CloudTrail gerenciada apropriada (**AWSCloudTrail\$1FullAccess**ou **AWSCloudTrail\$1ReadOnlyAccess**) nem as permissões equivalentes aplicadas à sua conta.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource: My-Trail
```
Nesse caso, Mateo pede ao administrador para atualizar suas políticas para permitir que ele acesse as informações das trilhas e o status no console.
Se você fizer login com um usuário ou função do IAM que tenha a política **AWSCloudTrail\$1FullAccess**gerenciada ou suas permissões equivalentes e não consiga configurar AWS Config a integração do Amazon CloudWatch Logs com uma trilha, talvez esteja perdendo as permissões necessárias para integração com esses serviços. Para obter mais informações, consulte [Concedendo permissão para visualizar AWS Config informações no console CloudTrail](security_iam_id-based-policy-examples.md#grant-aws-config-permissions-for-cloudtrail-users) e [Conceder permissão para visualizar e configurar as informações do Amazon CloudWatch Logs no console CloudTrail](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
## Não tenho autorização para executar `iam:PassRole`
Se você receber uma mensagem de erro informando que não está autorizado a executar a ação `iam:PassRole`, as suas políticas devem ser atualizadas para permitir que você passe uma função para o CloudTrail.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazê-lo, você deve ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta utilizar o console para executar uma ação no CloudTrail. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha Conta da AWS acessem meus CloudTrail recursos
Você pode criar uma função e compartilhar CloudTrail informações entre várias Contas da AWS. Para obter mais informações, consulte [Compartilhamento CloudTrail de arquivos de log entre AWS contas](cloudtrail-sharing-logs.md).
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se é CloudTrail compatível com esses recursos, consulte[Como AWS CloudTrail funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Não tenho autorização para executar `iam:PassRole`
Se você receber uma mensagem de erro informando que não está autorizado a executar a ação `iam:PassRole`, as suas políticas devem ser atualizadas para permitir que você passe uma função para o CloudTrail.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazê-lo, você deve ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta utilizar o console para executar uma ação no CloudTrail. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Estou recebendo uma exceção `NoManagementAccountSLRExistsException` quando tento criar uma trilha ou um armazenamento de dados de eventos da organização
A exceção `NoManagementAccountSLRExistsException` é lançada quando a conta de gerenciamento não tem um perfil vinculado ao serviço.
Quando você adiciona um administrador delegado usando a operação da AWS Organizations CLI ou da API CloudTrail , as funções vinculadas ao serviço não serão criadas automaticamente se não existirem. As funções vinculadas ao serviço são criadas somente quando você faz uma chamada da conta de gerenciamento diretamente para o CloudTrail serviço. Por exemplo, quando você adiciona um administrador delegado ou cria uma trilha da organização ou um armazenamento de dados de eventos usando o CloudTrail console AWS CLI ou a CloudTrail API, a função AWSServiceRoleForCloudTrail vinculada ao serviço é criada.
Quando você adiciona um administrador delegado usando a operação AWS CloudTrail; CLI ou API CloudTrail , criará as funções e as vinculadas AWSServiceRoleForCloudTrail AWSServiceRoleForCloudTrailEventContext ao serviço.
Quando você usa a conta de gerenciamento da sua organização para adicionar um administrador delegado ou criar uma trilha da organização ou um armazenamento de dados de eventos no CloudTrail console, ou usando a CloudTrail API AWS CLI ou, cria CloudTrail automaticamente a função AWSServiceRoleForCloudTrail vinculada ao serviço para sua conta de gerenciamento, caso ela ainda não exista. Para obter mais informações, consulte [Usando funções vinculadas a serviços para CloudTrail](using-service-linked-roles.md).
Se você não adicionou um administrador delegado, use o CloudTrail console AWS CLI ou a CloudTrail API para adicionar o administrador delegado. Para obter mais informações sobre como adicionar um administrador delegado, consulte [Adicionar um administrador CloudTrail delegado](cloudtrail-add-delegated-administrator.md) and [RegisterOrganizationDelegatedAdmin](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RegisterOrganizationDelegatedAdmin.html)(API).
Se você já adicionou o administrador delegado, use a conta de gerenciamento para criar a trilha da organização ou o armazenamento de dados do evento no CloudTrail console ou usando a CloudTrail API AWS CLI ou. Para obter mais informações sobre como criar uma trilha organizacional[Criar uma trilha para sua organização no console](creating-an-organizational-trail-in-the-console.md), consulte[Criando uma trilha para uma organização com o AWS CLI](cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.md), e [CreateTrail](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html)(API).
# Usando funções vinculadas a serviços para CloudTrail
AWS CloudTrail usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. CloudTrail As funções vinculadas ao serviço são predefinidas CloudTrail e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
**Topics**
+ [Usando funções para criar e gerenciar trilhas CloudTrail organizacionais e armazenamentos de dados de eventos da organização CloudTrail Lake em CloudTrail](using-service-linked-roles-create-slr-for-org-trails.md)
+ [Regiões suportadas para funções vinculadas a CloudTrail serviços](#slr-regions-create-slr-for-org-trails)
+ [Usando funções para criar e gerenciar o contexto CloudTrail do evento no CloudTrail](using-service-linked-roles-create-slr-for-context-management.md)
+ [Regiões suportadas para funções vinculadas a CloudTrail serviços](#slr-regions-create-slr-for-context-management)
# Usando funções para criar e gerenciar trilhas CloudTrail organizacionais e armazenamentos de dados de eventos da organização CloudTrail Lake em CloudTrail
AWS CloudTrail usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. CloudTrail As funções vinculadas ao serviço são predefinidas CloudTrail e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração CloudTrail porque você não precisa adicionar manualmente as permissões necessárias. CloudTrail define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só CloudTrail pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus CloudTrail recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de função vinculadas ao serviço para CloudTrail
CloudTrail usa a função vinculada ao serviço chamada **AWSServiceRoleForCloudTrail**— Essa função vinculada ao serviço é usada para apoiar trilhas da organização e armazenamentos de dados de eventos da organização.
A função AWSService RoleForCloudTrail vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `cloudtrail.amazonaws.com`
A política de permissões de função nomeada CloudTrailServiceRolePolicy CloudTrail permite concluir as seguintes ações nos recursos especificados:
+ Ações em todos os CloudTrail recursos:
+ `All`
+ Ações em todos os AWS Organizations recursos:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ Ações em todos os recursos da Organizations para que o diretor de CloudTrail serviço liste os administradores delegados da organização:
+ `organizations:ListDelegatedAdministrators`
+ Ações para [desabilitar a federação do Lake](query-disable-federation.md) em um armazenamento de dados de eventos da organização:
+ `glue:DeleteTable`
+ `lakeformation:DeRegisterResource`
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
Para obter mais informações sobre a política gerenciada associada à AWSServiceRoleForCloudTrail, consulte[AWS políticas gerenciadas para AWS CloudTrail](security-iam-awsmanpol.md).
## Criação de uma função vinculada ao serviço para CloudTrail
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma trilha da organização ou um armazenamento de dados de eventos da organização, ou adiciona um administrador delegado no CloudTrail console, na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, CloudTrail cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria uma trilha da organização ou um armazenamento de dados de eventos da organização, ou adiciona um administrador delegado no CloudTrail console, CloudTrail cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada ao serviço para CloudTrail
CloudTrail não permite que você edite a função AWSService RoleForCloudTrail vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para CloudTrail
Você não precisa excluir manualmente a AWSService RoleForCloudTrail função. Se um Conta da AWS for removido de uma organização da Organizations, a AWSServiceRoleForCloudTrail função será automaticamente removida dessa organização Conta da AWS. Não é possível desanexar ou remover políticas do perfil vinculado ao serviço AWSServiceRoleForCloudTrail em uma conta de gerenciamento da organização sem remover a conta da organização.
Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e, em seguida, excluí-la manualmente.
**nota**
Se o CloudTrail serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para remover um recurso usado pela função AWSServiceRoleForCloudTrail, você pode executar uma das seguintes ações:
+ Remova o Conta da AWS da organização em Organizations.
+ Atualize a trilha para que não seja mais uma trilha de organização. Para obter mais informações, consulte [Atualizando uma trilha com o CloudTrail console](cloudtrail-update-a-trail-console.md).
+ Atualize o armazenamento de dados de eventos para que ele não seja mais um armazenamento de dados de eventos da organização. Para obter mais informações, consulte [Atualizar um armazenamento de dados de eventos com o console](query-event-data-store-update.md).
+ Exclua a trilha. Para obter mais informações, consulte [Excluindo uma trilha com o console CloudTrail](cloudtrail-delete-trails-console.md).
+ Excluir um armazenamento de dados de eventos. Para obter mais informações, consulte [Excluir um armazenamento de dados de eventos com o console](query-event-data-store-delete.md).
**Como excluir manualmente o perfil vinculado a serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForCloudTrail vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a CloudTrail serviços
CloudTrail suporta o uso de funções vinculadas a serviços em todos os Regiões da AWS lugares onde e em CloudTrail Organizations estão disponíveis. Para obter mais informações, consulte [AWS Regiões e endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html) na *Referência geral da AWS*.
# Usando funções para criar e gerenciar o contexto CloudTrail do evento no CloudTrail
AWS CloudTrail usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. CloudTrail As funções vinculadas ao serviço são predefinidas CloudTrail e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração CloudTrail porque você não precisa adicionar manualmente as permissões necessárias. CloudTrail define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só CloudTrail pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus CloudTrail recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de função vinculadas ao serviço para CloudTrail
CloudTrail usa a função vinculada ao serviço chamada **AWSServiceRoleForCloudTrailEventContext**— Essa função vinculada ao serviço é usada para gerenciar o contexto e EventBridge as CloudTrail regras do evento.
A função AWSService RoleForCloudTrailEventContext vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `context.cloudtrail.amazonaws.com`
A política de permissões de função nomeada CloudTrailEventContext CloudTrail permite concluir as seguintes ações nos recursos especificados:
+ Ações em tags de recurso:
+ `tag:GetResources`
+ Ações em todos os EventBridge recursos da Amazon para que o responsável pelo CloudTrail serviço crie regras:
+ `events:PutRule`
+ Ações em todos os EventBridge recursos da Amazon para que o responsável pelo CloudTrail serviço gerencie as regras que ele cria:
+ `events:PutTargets`
+ `events:DeleteRule`
+ `events:RemoveTargets`
+ `events:RemoveTargets`
+ Ações em todos os EventBridge recursos da Amazon para que o responsável pelo CloudTrail serviço descreva as regras que ele cria:
+ `events:DescribeRule`
+ `events:DeRegisterResource`
+ Ações em todos os EventBridge recursos da Amazon:
+ `events:ListRules`
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
Para obter mais informações sobre a política gerenciada associada à AWSServiceRoleForCloudTrailEventContext, consulte[AWS políticas gerenciadas para AWS CloudTrail](security-iam-awsmanpol.md).
## Criação de uma função vinculada ao serviço para CloudTrail
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você começa a usar o recurso de evento de contexto na Console de gerenciamento da AWS AWS CLI, na ou na AWS API, CloudTrail cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você começa a usar o recurso de evento de contexto, CloudTrail cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada ao serviço para CloudTrail
CloudTrail não permite que você edite a função AWSService RoleForCloudTrailEventContext vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo a função vinculada ao AWSService RoleForCloudTrailEventContext serviço para CloudTrail
Se você não precisar mais usar um recurso ou serviço que exija a função AWSService RoleForCloudTrailEventContext vinculada ao serviço, recomendamos que você exclua essa função. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos da sua função vinculada ao serviço antes de excluí-la manualmente removendo a TagContext chave dos armazenamentos de dados de eventos.
**nota**
Se o CloudTrail serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir CloudTrail recursos usados pela função vinculada ao AWSService RoleForCloudTrailEventContext serviço**
1. No terminal ou na linha de comando, execute o comando **put-event-configuration** para o armazenamento de eventos do qual você deseja remover a chave `TagContext`. Por exemplo, para remover a `TagContext` chave de um armazenamento de eventos na *111122223333* conta na região Leste dos EUA (Ohio) com um ARN de *arn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111* where `TagContext` é o único seletor de chave de contexto, você usaria o **put-event-configuration** comando sem valor especificado para: `--context-key-selectors`
```
aws cloudtrail put-event-configuration --event-data-store arn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 --max-event-size Large --context-key-selectors
```
1. Repita esse comando para todo datastore em toda região na partição. Para obter mais informações, consulte [Identificar AWS recursos com os nomes de recursos da Amazon (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForCloudTrailEventContext vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a CloudTrail serviços
CloudTrail suporta o uso de funções vinculadas a serviços em todas as regiões em que CloudTrail e EventBridge estão disponíveis. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# AWS políticas gerenciadas para AWS CloudTrail
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política **ReadOnlyAccess** AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## AWS política gerenciada: `AWSCloudTrail_FullAccess`
Uma identidade de usuário que tem a [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)política anexada à sua função tem acesso administrativo total em CloudTrail.
Para obter uma lista JSON de detalhes da política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html), no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: `AWSCloudTrail_ReadOnlyAccess`
Uma identidade de usuário que tenha a [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)política associada à sua função pode realizar ações somente para leitura em CloudTrail, como,, e `Describe*` ações em trilhas `Get*``List*`, armazenamentos de dados de eventos do CloudTrail Lake ou consultas do Lake.
Para obter uma lista JSON de detalhes da política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html), no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: `AWSServiceRoleForCloudTrail`
A [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html)política permite AWS CloudTrail realizar ações nas trilhas da organização e nos armazenamentos de dados de eventos da organização em seu nome. A política inclui AWS Organizations as permissões necessárias para descrever e listar as contas da organização e os administradores delegados em uma AWS Organizations organização.
Além disso, essa política inclui os requisitos AWS Glue e AWS Lake Formation as permissões para [desativar o Lake Federation](query-disable-federation.md) em um armazenamento de dados de eventos da organização.
Essa política está anexada à função **AWSServiceRoleForCloudTrail**vinculada ao serviço que permite CloudTrail realizar ações em seu nome. Não é possível vincular esta política a usuários, grupos ou funções.
Para obter uma lista JSON de detalhes da política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html), no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: `CloudTrailEventContext`
A [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html)política permite AWS CloudTrail gerenciar o contexto e EventBridge as regras do CloudTrail evento em seu nome. A política inclui EventBridge as permissões necessárias para criar, gerenciar e descrever as regras que ela cria para você.
Essa política está anexada à função **AWSServiceRoleForCloudTrailEventContext**vinculada ao serviço que permite CloudTrail realizar ações em seu nome. Não é possível vincular esta política a usuários, grupos ou funções.
Para obter uma lista JSON de detalhes da política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html), no *Guia de referência de políticas gerenciadas pela AWS *.
## CloudTrail atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do CloudTrail. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página CloudTrail [Histórico do documento](cloudtrail-document-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [`CloudTrailEventContext`](using-service-linked-roles-create-slr-for-context-management.md): nova política usada pelo perfil vinculado ao serviço `AWSServiceRoleForCloudTrailEventContext` | Foi adicionada uma nova política e função usadas para o recurso CloudTrail aprimorado de eventos. | 19 de maio de 2025 |
| [`CloudTrailServiceRolePolicy`](#security-iam-awsmanpol-CloudTrailServiceRolePolicy) – atualização para uma política existente | Atualizou a política para permitir as seguintes ações em um armazenamento de dados de eventos da organização quando a federação está desabilitada: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/security-iam-awsmanpol.html) | 26 de novembro de 2023 |
| [`AWSCloudTrail_ReadOnlyAccess`](#security-iam-awsmanpol-AWSCloudTrail-ReadOnlyAccess) – atualização para uma política existente | CloudTrail alterou o nome da `AWSCloudTrailReadOnlyAccess` política para`AWSCloudTrail_ReadOnlyAccess`. Além disso, o escopo das permissões na política foi reduzido a CloudTrail ações. Ele não inclui mais o Amazon S3 ou as permissões AWS KMS de AWS Lambda ação. | 6 de junho de 2022 |
| CloudTrail começou a rastrear as alterações | CloudTrail começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 6 de junho de 2022 |