Tutoriales de introducción a AWS CloudTrail - AWS CloudTrail
Concesión de permisos para utilizar CloudTrail

Tutoriales de introducción a AWS CloudTrail

Si es la primera vez que trabaja con AWS CloudTrail, estos tutoriales le enseñarán a utilizar sus características. Para utilizar las características de CloudTrail, debe tener los permisos adecuados. En esta página, se describen las políticas administradas disponibles para CloudTrail y se proporciona información sobre cómo conceder permisos.

Ejemplos:

Concesión de permisos para utilizar CloudTrail

Para crear, actualizar y administrar los recursos de CloudTrail, como registros de seguimiento, almacenes de datos de eventos y canales, debe conceder permisos para utilizar CloudTrail. Esta sección también proporciona información sobre las políticas administradas disponibles para CloudTrail.

nota

Los permisos que conceda a los usuarios para hacer tareas de administración de CloudTrail no son los mismos que los permisos que CloudTrail requiere para enviar los archivos de registro a buckets de Amazon S3 o enviar notificaciones a temas de Amazon SNS. Para obtener más información acerca de estos permisos, consulte Política de bucket de Amazon S3 para CloudTrail.

Si configura la integración con Amazon CloudWatch Logs, CloudTrail también requiere un rol que pueda adoptar para enviar los eventos a un grupo de registros de CloudWatch Logs. Debe crear el rol que usa CloudTrail. Para obtener más información, consulte Concesión de permisos para ver y configurar la información de Amazon CloudWatch Logs en la consola de CloudTrail y Envío de eventos a Amazon CloudWatch Logs.

Las siguientes políticas administradas de AWS están disponibles para CloudTrail:

  • AWSCloudTrail_FullAccess – esta política proporciona acceso completo a las acciones de CloudTrail en los recursos de CloudTrail, como los registros de seguimiento, los almacenes de datos de eventos y los canales. Esta política proporciona los permisos necesarios para crear, actualizar y eliminar registros de seguimiento, almacenes de datos de eventos y canales de CloudTrail.

    Esta política también ofrece permisos para administrar el bucket de Amazon S3, el grupo de registro de Registros de CloudWatch y un tema de Amazon SNS para un registro de seguimiento. Sin embargo, la política administrada AWSCloudTrail_FullAccess no proporciona permisos para eliminar el bucket de Amazon S3, el grupo de registro de Registros de CloudWatch o un tema de Amazon SNS. Para obtener información sobre las políticas administradas para otros servicios de AWS, consulte la Guía de referencia de políticas administradas de AWS.

    nota

    La política AWSCloudTrail_FullAccess no se ha concebido para compartirla ampliamente en la Cuenta de AWS. Los usuarios con este rol pueden desactivar o reconfigurar las funciones de auditoría más importantes y confidenciales de su Cuentas de AWS. Por este motivo, solo debe aplicar esta política a los administradores de cuentas. Debe controlar y supervisar de cerca el uso de esta política.

  • AWSCloudTrail_ReadOnlyAccess – esta política concede permisos para ver la consola de CloudTrail, incluidos los últimos eventos y el historial de eventos. Esta política también le permite ver los registros de seguimiento, los almacenes de datos de eventos y los canales existentes. Los roles y los usuarios sujetos a esta política pueden descargar el historial de eventos, pero no pueden crear ni actualizar registros de seguimiento, almacenes de datos de eventos ni canales.

Para dar acceso, agregue permisos a los usuarios, grupos o roles: