Usar perfis para criar e gerenciar um contexto de evento do CloudTrail no CloudTrail
O AWS CloudTrail usa funções vinculadas a serviços do AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao CloudTrail. As funções vinculadas a serviços são predefinidas pelo CloudTrail e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.
Uma função vinculada ao serviço facilita a configuração do CloudTrail porque você não precisa adicionar as permissões necessárias manualmente. O CloudTrail define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o CloudTrail pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege os recursos do CloudTrail, pois não é possível remover por engano as permissões para acessar os recursos.
Para obter mais informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna de Perfis vinculados a serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.
Permissões de função vinculada a serviço para o CloudTrail
O CloudTrail usa o perfil vinculado ao serviço denominado AWSServiceRoleForCloudTrailEventContext: esse perfil vinculado ao serviço é usado para gerenciar as regras do CloudTrail Event Context e do EventBridge.
O perfil vinculado ao serviço AWSServiceRoleForCloudTrailEventContext confia nos serviços a seguir para assumir o perfil:
-
context.cloudtrail.amazonaws.com
A política de permissões do perfil denominada CloudTrailEventContext permite que o CloudTrail realize as seguintes ações nos recursos especificados:
-
Ações em tags de recurso:
-
tag:GetResources
-
-
Ações em todos os recursos do Amazon EventBridge para a entidade principal do serviço CloudTrail criar regras:
-
events:PutRule
-
-
Ações em todos os recursos do Amazon EventBridge para a entidade principal do serviço CloudTrail para gerenciar regras:
-
events:PutTargets -
events:DeleteRule -
events:RemoveTargets -
events:RemoveTargets
-
-
Ações em todos os recursos do Amazon EventBridge para a entidade principal do serviço CloudTrail descrever as regras que criar:
-
events:DescribeRule -
events:DeRegisterResource
-
-
Ações em todos os recursos do Amazon EventBridge:
-
events:ListRules
-
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte Service-linked role permissions (Permissões de nível vinculado a serviços) no Guia do usuário do IAM.
Para obter mais informações sobre a política gerenciada associada ao AWSServiceRoleForCloudTrailEventContext, consulte AWS políticas gerenciadas da para AWS CloudTrail.
Criar uma função vinculada a serviço para o CloudTrail
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você começa a usar o atributo de evento de contexto no Console de gerenciamento da AWS, na AWS CLI ou na API da AWS, o CloudTrail cria o perfil vinculado ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você começa a usar o atributo de evento de contexto o CloudTrail cria o perfil vinculado ao serviço para você novamente.
Editar uma função vinculada a serviço para o CloudTrail
O CloudTrail não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForCloudTrailEventContext. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.
Excluir o perfil vinculado a serviço AWSServiceRoleForCloudTrailEventContext para o CloudTrail
Se você não precisar mais usar um atributo ou o serviço que requer um perfil vinculado ao serviço AWSServiceRoleForCloudTrailEventContext, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. Porém, você deve limpar os recursos do perfil vinculado ao serviço antes de excluí-lo manualmente, removendo a chave TagContext dos datastores de eventos.
nota
Se o serviço do CloudTrail usar o perfil quando você tentar excluir os recursos, poderá haver falha na exclusão. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir os recursos do CloudTrail usados pelo perfil vinculado ao serviço AWSServiceRoleForCloudTrailEventContext
-
No terminal ou na linha de comando, execute o comando put-event-configuration para o armazenamento de eventos do qual você deseja remover a chave
TagContext. Por exemplo, para remover a chaveTagContextde um armazenamento de eventos na conta111122223333na região Leste dos EUA (Ohio) com um ARN dearn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111, no qualTagContexté o único seletor de chave de contexto, você usaria o comando put-event-configuration sem nenhum valor especificado para--context-key-selectors:aws cloudtrail put-event-configuration --event-data-store arn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111--max-event-size Large --context-key-selectors -
Repita esse comando para todo datastore em toda região na partição. Para obter mais informações consulte Identifique recursos da AWS com nomes do recurso da Amazon (ARNs).
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço A AWSServiceRoleForCloudTrailEventContext. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
