本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 AWS CloudTrail
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 受管政策: `AWSCloudTrail_FullAccess`
已將[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)政策連接至其角色的使用者身分,在 CloudTrail 中具有完整的管理存取權。
如需政策詳細資訊的 JSON 清單,請參閱《 *AWS 受管政策參考指南*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)》中的 。
## AWS 受管政策: `AWSCloudTrail_ReadOnlyAccess`
如果使用者身分的角色已連接至 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html) 政策,使用者可以在 CloudTrail 中執行唯讀操作,例如對線索、CloudTrail Lake 事件資料存放區或 Lake 查詢執行 `Get*`、`List*` 和 `Describe*` 操作。
如需政策詳細資訊的 JSON 清單,請參閱《 *AWS 受管政策參考指南*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)》中的 。
## AWS 受管政策: `AWSServiceRoleForCloudTrail`
此[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html)政策允許 代表您對組織追蹤和組織事件資料存放區 AWS CloudTrail 執行動作。此政策包含描述和列出組織中組織帳戶和委派管理員的必要 AWS Organizations 許可 AWS Organizations 。
此政策還包含在組織事件資料存放區上[停用 Lake 聯合](query-disable-federation.md)所需的 AWS Glue 和 AWS Lake Formation 許可。
此政策會連接到 **AWSServiceRoleForCloudTrail** 服務連結角色,而此角色可讓 CloudTrail 代表您執行動作。您無法將此政策連接至使用者、群組或角色。
如需政策詳細資訊的 JSON 清單,請參閱《 *AWS 受管政策參考指南*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailServiceRolePolicy.html)》中的 。
## AWS 受管政策: `CloudTrailEventContext`
此[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html)政策允許 代表您 AWS CloudTrail 管理 CloudTrail 事件內容和 EventBridge 規則。此政策包含建立、管理和描述其為您建立之規則所需的 EventBridge 許可。
此政策會連接到 **AWSServiceRoleForCloudTrailEventContext** 服務連結角色,而此角色可讓 CloudTrail 代表您執行動作。您無法將此政策連接至使用者、群組或角色。
如需政策詳細資訊的 JSON 清單,請參閱《 *AWS 受管政策參考指南*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudTrailEventContext.html)》中的 。
## AWS 受管政策的 CloudTrail 更新
檢視 CloudTrail AWS 受管政策更新的詳細資訊。如要在此頁面內容有所異動時收到自動提醒,請訂閱 CloudTrail [文件歷史紀錄](cloudtrail-document-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [`CloudTrailEventContext`](using-service-linked-roles-create-slr-for-context-management.md) – `AWSServiceRoleForCloudTrailEventContext`服務連結角色使用的新政策 | 新增了用於 CloudTrail 擴充事件功能的新政策和角色。 | 2025 年 5 月 19 日 |
| [`CloudTrailServiceRolePolicy`](#security-iam-awsmanpol-CloudTrailServiceRolePolicy) – 更新現有政策 | 已更新政策,允許在停用聯合時於組織事件資料存放區中執行以下動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/security-iam-awsmanpol.html) | 2023 年 11 月 26 日 |
| [`AWSCloudTrail_ReadOnlyAccess`](#security-iam-awsmanpol-AWSCloudTrail-ReadOnlyAccess) – 更新現有政策 | CloudTrail 已將 `AWSCloudTrailReadOnlyAccess` 政策名稱變更為 `AWSCloudTrail_ReadOnlyAccess`。此外,政策的許可範圍已縮減至 CloudTrail 操作,它不再包含 Amazon S3 AWS KMS或 AWS Lambda 動作許可。 | 2022 年 6 月 6 日 |
| CloudTrail 開始記錄異動情形 | CloudTrail 開始追蹤其 AWS 受管政策的變更。 | 2022 年 6 月 6 日 |