本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS CloudTrail 教學課程入門
如果您是初次使用 AWS CloudTrail,這些教學課程可協助您了解如何使用其功能。若要使用 CloudTrail 功能,您需要擁有足夠的許可。此頁面說明適用於 CloudTrail 的受管政策,並提供有關如何授予許可的資訊。
**Topics**
+ [授予使用 CloudTrail 的許可](#tutorial-grant-permissions)
+ [檢視事件歷史記錄](tutorial-event-history.md)
+ [建立追蹤以記錄管理事件](tutorial-trail.md)
+ [建立 S3 資料事件的事件資料存放區](tutorial-lake-S3.md)
## 授予使用 CloudTrail 的許可
若要建立、更新和管理追蹤、事件資料存放區和頻道等 CloudTrail 資源,您需要授予使用 CloudTrail 的許可。本節提供有關適用於 CloudTrail 的受管政策的資訊。
**注意**
您授予使用者執行 CloudTrail 管理任務的許可,和 CloudTrail 所需要以便傳遞日誌檔案到 Amazon S3 儲存貯體或傳送通知給 Amazon SNS 主題的許可不相同。如需這些許可的詳細資訊,請參閱 [適用於 CloudTrail 的 Amazon S3 儲存貯體政策](create-s3-bucket-policy-for-cloudtrail.md)。
如果您設定與 Amazon CloudWatch Logs 整合,CloudTrail 還需要它可擔任的角色,將事件交付到 Amazon CloudWatch Logs 日誌群組。您必須建立 CloudTrail 使用的角色。如需詳細資訊,請參閱[授與在 CloudTrail 主控台上檢視和設定 Amazon CloudWatch Logs 資訊的許可](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users)及[傳送事件到 CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md)。
下列 AWS 受管政策適用於 CloudTrail:
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) – 此政策提供對 CloudTrail 資源 (例如追蹤、事件資料存放區和通道等) 執行 CloudTrail 動作的完整存取權。此政策提供建立、更新和刪除 CloudTrail 追蹤、事件資料存放區和通道所需的許可。
此政策還提供管理 Amazon S3 儲存貯體、CloudWatch Logs 的日誌群組,以及追蹤的 Amazon SNS 主題的許可。不過,`AWSCloudTrail_FullAccess` 受管政策不提供刪除 Amazon S3 儲存貯體、CloudWatch Logs 的日誌群組,以及 Amazon SNS 主題的許可。如需其他 AWS 服務的受管政策相關資訊,請參閱 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)。
**注意**
此**AWSCloudTrail\_FullAccess**政策不適用於在您的 之間廣泛共用 AWS 帳戶。使用此角色的使用者可以在自己的 AWS 帳戶中關閉或重新設定最敏感和重要的稽核功能。因此,您必須僅向帳戶管理員套用此政策。您必須嚴密控制並監視此政策的使用狀況。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html) – 此政策授予檢視 CloudTrail 主控台 (包括近期事件和事件歷史記錄) 的許可。此政策還允許您檢視現有的追蹤、事件資料存放區和通道。使用此政策的角色和使用者可以[下載事件歷史記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events),但無法建立或更新追蹤、事件資料存放區或通道。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。