本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS CloudTrail 教程入门
<a name="cloudtrail-tutorial"></a>

如果您不熟悉 AWS CloudTrail，这些教程可以帮助您学习如何使用其功能。要使用 CloudTrail 功能，您需要拥有足够的权限。本页描述了可用的托管策略， CloudTrail 并提供了有关如何授予权限的信息。

**Topics**
+ [授予使用权限 CloudTrail](#tutorial-grant-permissions)
+ [查看事件历史记录](tutorial-event-history.md)
+ [创建跟踪以记录管理事件](tutorial-trail.md)
+ [为 S3 数据事件创建事件数据存储](tutorial-lake-S3.md)

## 授予使用权限 CloudTrail
<a name="tutorial-grant-permissions"></a>

要创建、更新和管理跟踪、事件数据存储和频道等 CloudTrail 资源，您需要授予使用权限 CloudTrail。本节提供有关可用的托管策略的信息 CloudTrail。

**注意**  
您授予用户执行 CloudTrail 管理任务的权限与将日志文件传输到 Amazon S3 存储桶或向 Amazon SNS 主题发送通知 CloudTrail 所需的权限不同。有关这些权限的更多信息，请参阅 [适用于 Amazon S3 存储桶政策 CloudTrail](create-s3-bucket-policy-for-cloudtrail.md)。  
如果您配置与 Amazon CloudWatch Logs 的集成，则 CloudTrail 还需要一个可以代入的角色来向 Amazon Lo CloudWatch gs 日志组传送事件。您必须创建 CloudTrail 使用的角色。有关更多信息，请参阅[授予在 CloudTrail 控制台上查看和配置 Amazon CloudWatch 日志信息的权限](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users)和[将事件发送到 CloudWatch 日志](send-cloudtrail-events-to-cloudwatch-logs.md)。

以下 AWS 托管策略可用于 CloudTrail：
+  [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)— 此政策提供对 CloudTrail 资源 CloudTrail 操作的完全访问权限，例如跟踪、事件数据存储和频道。此策略提供创建、更新和删除 CloudTrail跟踪、事件数据存储和频道所需的权限。

   该策略还提供管理 Amazon S3 存储桶、日志日志组和 CloudWatch 跟踪的 Amazon SNS 主题的权限。但是，`AWSCloudTrail_FullAccess`托管策略不提供删除 Amazon S3 存储桶、日志组或 Amazon SNS 主题的权限。 CloudWatch 有关其他 AWS 服务的托管策略的信息，请参阅《[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)。
**注意**  
本**AWSCloudTrail\_FullAccess**政策不打算在您之间广泛共享 AWS 账户。拥有此角色的用户能够关闭或重新配置他们的 AWS 账户账户中最敏感且最重要的审计功能。因此，您只能将此策略应用于账户管理员。您必须严格控制和监控此策略的使用。
+  [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)— 此策略授予查看 CloudTrail 控制台的权限，包括最近的事件和事件历史记录。此策略还支持查看现有跟踪、事件数据存储和通道。拥有此策略的角色和用户可以[下载事件历史记录](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events)，但他们无法创建或更新跟踪、事件数据存储或通道。

要提供访问权限，请为您的用户、组或角色添加权限：
+ 中的用户和群组 AWS IAM Identity Center：

  创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供商在 IAM 中托管的用户：

  创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供商创建角色（联合身份验证）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户：
  + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
  + （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限（控制台）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。