Administrador delegado de la organización

Cuando se utiliza CloudTrail con una organización de AWS Organizations, se puede asignar cualquier cuenta de la organización para que actúe como administrador delegado de CloudTrail y gestione los registros de seguimiento y los almacenes de datos de eventos de la organización en su nombre. Un administrador delegado es una cuenta miembro de una organización que puede hacer las mismas tareas administrativas (salvo en los casos indicados) en CloudTrail que la cuenta de administración.

Si selecciona un administrador delegado, esa cuenta de miembro tendrá permisos administrativos en todos los registros de seguimiento de la organización y los almacenes de datos de eventos de la organización. Agregar un administrador delegado no altera la administración ni el funcionamiento de los registros de seguimiento ni de los almacenes de datos de eventos de la organización.

La primera vez que agregue un administrador delegado en la consola de CloudTrail o mediante la AWS CLI o la API de CloudTrail, CloudTrail comprobará si la cuenta de administración de la organización tiene un rol vinculado al servicio. Si la cuenta de administración no tiene un rol vinculado al servicio, CloudTrail creará dicho rol para la cuenta de administración. Para obtener más información acerca de los roles vinculados a servicios, consulte Uso de roles vinculados a servicios para CloudTrail.

nota

Al agregar un administrador delegado mediante la CLI de AWS Organizations o la operación de la API, los roles vinculados al servicio de CloudTrail no se crean de manera automática si no existen. Los roles vinculados al servicio solo se crean al realizar una llamada desde la cuenta de administración directamente al servicio de CloudTrail. Por ejemplo, cuando agrega un administrador delegado o crear un registro de seguimiento de la organización o un almacén de datos de eventos con la consola de CloudTrail, AWS CLI o la API de CloudTrail, se crea el rol vinculado al servicio de AWSServiceRoleForCloudTrail.

Al agregar un administrador delegado mediante la AWS CloudTrail, operación de CLI o API, CloudTrail crea los roles vinculados al servicio de AWSServiceRoleForCloudTrail y AWSServiceRoleForCloudTrailEventContext. Para obtener más información, consulte Uso de roles vinculados a servicios para CloudTrail..

Tome nota de los siguientes factores que definen cómo funciona el administrador delegado en CloudTrail.

La cuenta de administración seguirá siendo la propietaria de todos los recursos de la organización que cree el administrador delegado en CloudTrail.: La cuenta de administración seguirá siendo la propietaria de todos los recursos de la organización que cree el administrador delegado en CloudTrail, como los registros de seguimiento y los almacenes de datos de eventos. Esto proporciona continuidad a la organización en el caso de que el administrador delegado cambie.
La eliminación de una cuenta de administrador delegado no elimina ningún recurso de la organización en CloudTrail creado por aquella.: Los registros de seguimiento y los almacenes de datos de eventos de la organización creados por el administrador delegado no se eliminan cuando se elimina al administrador delegado, ya que la cuenta de administración siempre es la propietaria de los recursos de la organización en CloudTrail, independientemente de si los creó el administrador delegado o la cuenta de administración.
Una organización puede tener un máximo de tres administradores delegados de CloudTrail.: Se puede tener un máximo de tres administradores delegados de CloudTrail por organización. Para obtener más información acerca de cómo eliminar un administrador delegado, consulte Cómo eliminar un administrador delegado de CloudTrail.

En la siguiente tabla, se muestran las capacidades de la cuenta de administración, las cuentas de administrador delegado y las cuentas que son miembros de la organización de AWS Organizations.

Capacidades	Cuenta de administración	Cuenta de administrador delegado	Cuentas de miembros
Agregar o eliminar las cuentas de administrador delegado.	Sí	No	No
Crear un registro de seguimiento de la organización.	Sí	Sí¹	No
Ver una lista de los registros de seguimiento de la organización.	Sí	Sí	Sí
Actualizar un registro de seguimiento de la organización.	Sí	Sí^1,²	No
Eliminar un registro de seguimiento de la organización.	Sí	Sí	No
Crear un almacén de datos de eventos de la organización para eventos de CloudTrail o elementos de configuración de AWS Config.	Sí	Sí	No
Habilite Insights en un almacén de datos de eventos de la organización.	Sí	No	No
Actualizar un almacén de datos de eventos de la organización.	Sí	Sí²	No
Iniciar o detener la ingesta de eventos en un almacén de datos de eventos de la organización.	Sí	Sí	No
Habilitar la federación de consultas de Lake en un almacén de datos de eventos de la organización ³.	Sí	Sí	No
Deshabilitar la federación de consultas de Lake en un almacén de datos de eventos de la organización.	Sí	Sí	No
Eliminar un almacén de datos de eventos de la organización.	Sí	Sí	No
Copiar eventos de registro de seguimiento en un almacén de datos de eventos de la organización.	Sí	No	No
Ejecutar consultas en almacenes de datos de eventos de la organización.	Sí	Sí	No
Consultar el panel administrado de un almacén de datos de eventos de la organización.	Sí	No	No
Habilitar el panel de aspectos destacados para los almacenes de datos de eventos de la organización.	Sí	No	No
Crear un widget para un panel personalizado que consulte un almacén de datos de eventos de la organización.	Sí	No	No

¹ El administrador delegado solo puede configurar un grupo de registros de CloudWatch Logs mediante la AWS CLI o las operaciones CreateTrail o UpdateTrail de la API de CloudTrail. Tanto el grupo de registro de CloudWatch como el rol de registro deben existir en la cuenta de llamada.

²Solo la cuenta de administración puede convertir un registro de seguimiento o almacén de datos de eventos de la organización en un registro de seguimiento o almacén de datos de eventos a nivel de cuenta, o convertir un registro de seguimiento o almacén de datos de eventos a nivel de cuenta en un registro de seguimiento o almacén de datos de eventos de la organización. Estas acciones no están permitidas para el administrador delegado porque los registros de seguimiento y los almacenes de datos de eventos de la organización solo existen en la cuenta de administración. Cuando un registro de seguimiento o almacén de datos de eventos de la organización se convierte en un registro de seguimiento o almacén de datos de eventos a nivel de cuenta, solo la cuenta de administración tiene acceso al registro de seguimiento o almacén de datos de eventos.

³ Solo una cuenta de administrador delegado o la cuenta de administración pueden habilitar la federación en el almacén de datos de eventos de una organización. Otras cuentas de administrador delegado pueden consultar y compartir información mediante la característica de uso compartido de datos de Lake Formation. Cualquier cuenta de administrador delegado, así como la cuenta de administración de la organización, pueden deshabilitar la federación.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de los ajustes de CloudTrail

Permisos necesarios para designar un administrador delegado