Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations requises pour attribuer un administrateur délégué
Lorsque vous attribuez un administrateur CloudTrail délégué, vous devez disposer des autorisations nécessaires pour ajouter et supprimer l'administrateur délégué CloudTrail, ainsi que de certaines actions d' AWS Organizations API et d'autorisations IAM répertoriées dans la déclaration de politique suivante.
Vous pouvez ajouter l'instruction suivante à la fin d'une politique IAM existante pour accorder ces autorisations :
{ "Sid": "Permissions", "Effect": "Allow", "Action": [ "cloudtrail:RegisterOrganizationDelegatedAdmin", "cloudtrail:DeregisterOrganizationDelegatedAdmin", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListAWSServiceAccessForOrganization", "iam:CreateServiceLinkedRole", "iam:GetRole" ], "Resource": "*" }
Considérations relatives à l'utilisation de clés de condition avec des déclarations de politique pour les autorisations d'administrateur déléguées
Vous pouvez envisager d'utiliser des clés de condition globales IAM lorsque vous ajoutez des déclarations de politique afin d'ajouter et de supprimer l'administrateur délégué CloudTrail pour renforcer la sécurité. Ce faisant, n'oubliez pas d'inclure les deux noms principaux de service (SPNs) dans la condition. Par exemple :
{ "Condition": { "StringLike": { "iam:AWSServiceName": [ "context.cloudtrail.amazonaws.com", "cloudtrail.amazonaws.com" ] } }, "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow" }
Pour de plus amples informations, veuillez consulter Identity and Access Management (Identity and Access Management) pour AWS CloudTrail.