Permisos necesarios para designar un administrador delegado - AWS CloudTrail
Consideraciones sobre las claves de condición

Permisos necesarios para designar un administrador delegado

Cuando se asigna un administrador delegado de CloudTrail, se requieren permisos para agregar al administrador delegado a CloudTrail y eliminarlo de dicho servicio, así como para realizar determinadas acciones de la API de AWS Organizations, y los permisos de IAM que se enumeran en la siguiente instrucción de política.

Puede agregar la siguiente instrucción al final de una política de IAM para otorgar estos permisos:

{
    "Sid": "Permissions",
    "Effect": "Allow",
    "Action": [
        "cloudtrail:RegisterOrganizationDelegatedAdmin",
        "cloudtrail:DeregisterOrganizationDelegatedAdmin",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator",
        "organizations:ListAWSServiceAccessForOrganization",
        "iam:CreateServiceLinkedRole",
        "iam:GetRole"
    ],
    "Resource": "*"
}

Consideraciones a la hora de utilizar las claves de condición con las instrucciones de la política para los permisos del administrador delegado

Podría considerar la posibilidad de utilizar las claves de condición global de IAM al agregar las instrucciones de las políticas con el fin de agregar y eliminar el administrador delegado en CloudTrail para mayor seguridad. Al hacerlo, recuerde incluir ambos nombres de las entidades principales de servicio (SPN) en la condición. Por ejemplo: 

{
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "context.cloudtrail.amazonaws.com",
            "cloudtrail.amazonaws.com"
          ]
        }
      },
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow"
}

Para obtener más información, consulte Administración de identidades y accesos para AWS CloudTrail.