本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 的托管策略 AWS CloudTrail
<a name="security-iam-awsmanpol"></a>

要向用户、群组和角色添加权限，使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门，您可以使用 AWS 托管策略。这些策略涵盖常见使用案例，可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息，请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份（用户、组和角色）。当启动新特征或新操作可用时，服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限，因此策略更新不会破坏您的现有权限。

此外，还 AWS 支持跨多个服务的工作职能的托管策略。例如，**ReadOnlyAccess** AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时， AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明，请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。

## AWS 托管策略：`AWSCloudTrail_FullAccess`
<a name="security-iam-awsmanpol-AWSCloudTrail-FullAccess"></a>

将[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)策略附加到其角色的用户身份在中具有完全的管理访问权限 CloudTrail。

有关策略详细信息的 JSON 列表，请参阅《AWS 托管式策略参考指南》**中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)。

## AWS 托管策略：`AWSCloudTrail_ReadOnlyAccess`
<a name="security-iam-awsmanpol-AWSCloudTrail-ReadOnlyAccess"></a>

将[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)策略附加到其角色的用户身份可以在跟踪 CloudTrail、Lake 事件数据存储或 CloudTrail Lake 查询中执行只读`Describe*`操作，例如、、和操作。`Get*` `List*`

有关策略详细信息的 JSON 列表，请参阅《AWS 托管式策略参考指南》**中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)。

## AWS 托管策略：`AWSServiceRoleForCloudTrail`
<a name="security-iam-awsmanpol-CloudTrailServiceRolePolicy"></a>

该[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html)政策 AWS CloudTrail 允许代表您对组织跟踪和组织事件数据存储执行操作。该策略包括描述和列出组织中的组织账户和委托管理员所需的 AWS Organizations 权限。 AWS Organizations 

此策略还包括在组织事件数据存储上[禁用 Lake Fed](query-disable-federation.md) eration 所需的 AWS Lake Formation 权限 AWS Glue 和权限。

此政策附加到允许代表您执行操作 CloudTrail 的**AWSServiceRoleForCloudTrail**服务相关角色。您无法将此策略附加到您的用户、组或角色。

有关策略详细信息的 JSON 列表，请参阅《AWS 托管式策略参考指南》**中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html)。

## AWS 托管策略：`CloudTrailEventContext`
<a name="security-iam-awsmanpol-CloudTrailEventContext"></a>

该[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html)政策 AWS CloudTrail 允许代表您管理 CloudTrail 事件上下文和 EventBridge 规则。该策略包括创建、管理和描述它为您创建的规则所需的 EventBridge 权限。

此政策附加到允许代表您执行操作 CloudTrail 的**AWSServiceRoleForCloudTrailEventContext**服务相关角色。您无法将此策略附加到您的用户、组或角色。

有关策略详细信息的 JSON 列表，请参阅《AWS 托管式策略参考指南》**中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html)。

## CloudTrail AWS 托管策略的更新
<a name="security-iam-awsmanpol-updates"></a>

查看有关 AWS 托管策略更新的详细信息 CloudTrail。要获得有关此页面更改的自动提示，请订阅 CloudTrail [文档历史记录](cloudtrail-document-history.md) 页面上的 RSS 源。


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [`CloudTrailEventContext`](using-service-linked-roles-create-slr-for-context-management.md)：由 `AWSServiceRoleForCloudTrailEventContext` 服务相关角色使用的新策略。  |  添加了用于 CloudTrail 丰富活动功能的新策略和角色。  |  2025 年 5 月 19 日  | 
|  [`CloudTrailServiceRolePolicy`](#security-iam-awsmanpol-CloudTrailServiceRolePolicy)：对现有策略的更新  |  更新了策略，以允许在禁用联合身份验证时对组织事件数据存储执行以下操作： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/security-iam-awsmanpol.html)  |  2023 年 11 月 26 日  | 
|  [`AWSCloudTrail_ReadOnlyAccess`](#security-iam-awsmanpol-AWSCloudTrail-ReadOnlyAccess)：对现有策略的更新  |  CloudTrail 将`AWSCloudTrailReadOnlyAccess`策略的名称更改为`AWSCloudTrail_ReadOnlyAccess`。此外，策略中的权限范围已缩小为 CloudTrail 操作。它不再包含 Amazon S3 或 AWS Lambda 操作权限。 AWS KMS  | 2022 年 6 月 6 日 | 
|  CloudTrail 开始跟踪更改  |  CloudTrail 开始跟踪其 AWS 托管策略的更改。  | 2022 年 6 月 6 日 |