Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Administrator delegasi dalam organisasi
<a name="cloudtrail-delegated-administrator"></a>

Saat Anda menggunakan CloudTrail AWS Organizations organisasi, Anda dapat menetapkan akun apa pun dalam organisasi untuk bertindak sebagai administrator yang CloudTrail didelegasikan untuk mengelola jejak organisasi dan penyimpanan data peristiwa atas nama organisasi. Administrator yang didelegasikan adalah akun anggota dalam organisasi yang dapat melakukan tugas administratif yang sama (kecuali sebagaimana [disebutkan](#cloudtrail-org-tasks)) CloudTrail sebagai akun manajemen.

Jika Anda memilih administrator yang didelegasikan, akun anggota ini memiliki izin administratif pada semua jejak organisasi dan penyimpanan data acara di organisasi. Menambahkan administrator yang didelegasikan tidak mengubah manajemen atau pengoperasian jejak organisasi atau penyimpanan data acara.

Saat pertama kali menambahkan administrator yang didelegasikan di CloudTrail konsol, atau menggunakan CloudTrail API AWS CLI atau, CloudTrail memeriksa apakah akun manajemen organisasi memiliki peran terkait layanan. Jika akun manajemen tidak memiliki peran terkait layanan, CloudTrail buat peran terkait layanan untuk akun manajemen. Untuk mengetahui informasi selengkapnya tentang peran terkait layanan, lihat [Menggunakan peran terkait layanan untuk CloudTrail](using-service-linked-roles.md).

**catatan**  
Saat Anda menambahkan administrator yang didelegasikan menggunakan operasi AWS Organizations CLI atau API CloudTrail , peran terkait layanan tidak akan dibuat secara otomatis jika tidak ada. Peran terkait layanan hanya dibuat saat Anda melakukan panggilan dari akun manajemen langsung ke layanan. CloudTrail Misalnya, saat Anda menambahkan administrator yang didelegasikan atau membuat jejak organisasi atau penyimpanan data peristiwa menggunakan CloudTrail konsol, AWS CLI atau CloudTrail API, peran AWSServiceRoleForCloudTrail terkait layanan akan dibuat.  
Saat Anda menambahkan administrator yang didelegasikan menggunakan AWS CloudTrail; CLI atau operasi API CloudTrail , akan membuat peran dan AWSServiceRoleForCloudTrailEventContext peran AWSServiceRoleForCloudTrail terkait layanan. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk CloudTrail](using-service-linked-roles.md).

Perhatikan faktor-faktor berikut yang menentukan bagaimana administrator yang didelegasikan beroperasi CloudTrail.

**Akun manajemen tetap menjadi pemilik sumber daya CloudTrail organisasi apa pun yang dibuat oleh administrator yang didelegasikan.**  
Akun manajemen organisasi tetap menjadi pemilik sumber daya CloudTrail organisasi apa pun yang dibuat oleh administrator yang didelegasikan, seperti jejak dan penyimpanan data peristiwa. Ini memberikan kontinuitas bagi organisasi jika administrator yang didelegasikan berubah.

**Menghapus akun administrator yang didelegasikan tidak akan menghapus sumber daya CloudTrail organisasi apa pun yang mereka buat.**  
Jejak organisasi dan penyimpanan data peristiwa yang dibuat oleh administrator yang didelegasikan tidak akan dihapus saat Anda menghapus administrator yang didelegasikan, karena akun manajemen selalu berfungsi sebagai pemilik sumber daya CloudTrail organisasi terlepas dari apakah mereka dibuat oleh administrator yang didelegasikan atau akun manajemen.

**Sebuah organisasi dapat memiliki maksimal tiga administrator yang CloudTrail didelegasikan.**  
Anda dapat memiliki maksimal tiga administrator yang CloudTrail didelegasikan per organisasi. Untuk informasi selengkapnya tentang menghapus administrator yang didelegasikan, lihat[Menghapus administrator yang CloudTrail didelegasikan](cloudtrail-remove-delegated-administrator.md).

Tabel berikut menunjukkan kemampuan akun manajemen, akun administrator yang didelegasikan, dan akun yang menjadi anggota dalam AWS Organizations organisasi.


| Kemampuan  | Akun manajemen | Akun administrator yang didelegasikan | Akun anggota | 
| --- | --- | --- | --- | 
|  Menambahkan atau menghapus akun administrator yang didelegasikan.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Buat jejak organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg)Ya 1  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Lihat daftar jejak organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  | 
|  Perbarui jejak organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg)Ya 1, 2  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Hapus jejak organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Buat penyimpanan data acara organisasi untuk CloudTrail acara atau item AWS Config konfigurasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Aktifkan Wawasan tentang penyimpanan data acara organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Perbarui penyimpanan data acara organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg)Ya 2  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Mulai dan hentikan konsumsi acara di penyimpanan data acara organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Aktifkan federasi kueri Danau di penyimpanan data acara organisasi 3.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Nonaktifkan federasi kueri Danau di penyimpanan data acara organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Hapus penyimpanan data acara organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Salin peristiwa jejak ke penyimpanan data acara organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Jalankan kueri pada penyimpanan data acara organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Melihat dasbor terkelola untuk penyimpanan data acara organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Aktifkan dasbor Sorotan untuk penyimpanan data acara organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 
|  Buat widget untuk dasbor kustom yang menanyakan penyimpanan data acara organisasi.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/success_icon.svg) Ya  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  |  ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/awscloudtrail/latest/userguide/images/negative_icon.svg) Tidak  | 

1 Administrator yang didelegasikan hanya dapat mengonfigurasi grup CloudWatch log Log menggunakan operasi AWS CLI atau CloudTrail `CreateTrail` atau `UpdateTrail` API. Grup CloudWatch log Log dan peran log harus ada di akun panggilan.

2 Hanya akun manajemen yang dapat mengonversi jejak organisasi atau penyimpanan data acara ke jejak tingkat akun atau penyimpanan data acara, atau mengonversi jejak tingkat akun atau penyimpanan data acara ke jejak organisasi atau penyimpanan data acara. Tindakan ini tidak diizinkan untuk administrator yang didelegasikan karena jejak organisasi dan penyimpanan data peristiwa hanya ada di akun manajemen. Ketika jejak organisasi atau penyimpanan data peristiwa dikonversi ke jejak tingkat akun atau penyimpanan data peristiwa, hanya akun manajemen yang memiliki akses ke penyimpanan data jejak atau peristiwa.

3 Hanya satu akun administrator yang didelegasikan atau akun manajemen yang dapat mengaktifkan federasi pada penyimpanan data acara organisasi. Akun administrator lain yang didelegasikan dapat menanyakan dan berbagi informasi menggunakan [fitur berbagi data Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html). Setiap akun administrator yang didelegasikan serta akun manajemen organisasi dapat menonaktifkan federasi.

**Topics**
+ [

# Izin yang diperlukan untuk menetapkan administrator yang didelegasikan
](cloudtrail-delegated-administrator-permissions.md)
+ [

# Tambahkan administrator yang CloudTrail didelegasikan
](cloudtrail-add-delegated-administrator.md)
+ [

# Menghapus administrator yang CloudTrail didelegasikan
](cloudtrail-remove-delegated-administrator.md)

# Izin yang diperlukan untuk menetapkan administrator yang didelegasikan
<a name="cloudtrail-delegated-administrator-permissions"></a>

Saat menetapkan administrator yang CloudTrail didelegasikan, Anda harus memiliki izin untuk menambahkan dan menghapus administrator yang didelegasikan CloudTrail, serta tindakan AWS Organizations API tertentu dan izin IAM yang tercantum dalam pernyataan kebijakan berikut.

Anda dapat menambahkan pernyataan berikut di akhir kebijakan IAM untuk memberikan izin ini:

```
{
    "Sid": "Permissions",
    "Effect": "Allow",
    "Action": [
        "cloudtrail:RegisterOrganizationDelegatedAdmin",
        "cloudtrail:DeregisterOrganizationDelegatedAdmin",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator",
        "organizations:ListAWSServiceAccessForOrganization",
        "iam:CreateServiceLinkedRole",
        "iam:GetRole"
    ],
    "Resource": "*"
}
```

## Pertimbangan saat menggunakan kunci kondisi dengan pernyataan kebijakan untuk izin administrator yang didelegasikan
<a name="cloudtrail-delegated-administrator-permissions-condition-keys-spn"></a>

Anda dapat mempertimbangkan untuk menggunakan kunci kondisi global IAM saat menambahkan pernyataan kebijakan untuk menambah dan menghapus administrator yang didelegasikan CloudTrail untuk keamanan tambahan. Saat melakukannya, ingatlah untuk menyertakan kedua nama utama layanan (SPNs) ke kondisi tersebut. Contoh: 

```
{
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "context.cloudtrail.amazonaws.com",
            "cloudtrail.amazonaws.com"
          ]
        }
      },
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow"
}
```

Untuk informasi selengkapnya, lihat [Identity and Access Management untuk AWS CloudTrail](security-iam.md).

# Tambahkan administrator yang CloudTrail didelegasikan
<a name="cloudtrail-add-delegated-administrator"></a>

Anda dapat menambahkan administrator yang didelegasikan untuk mengelola CloudTrail sumber daya organisasi, seperti jejak dan penyimpanan data peristiwa.

Anda dapat menambahkan administrator yang CloudTrail didelegasikan untuk AWS organisasi Anda menggunakan CloudTrail konsol atau. AWS CLI

Sebelum menambahkan administrator yang didelegasikan, pastikan mereka memiliki akun di organisasi Anda dan Anda masuk dengan akun manajemen untuk organisasi Anda. Untuk informasi tentang cara membuat AWS akun baru untuk organisasi Anda, lihat [Membuat AWS akun di organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html). Untuk informasi tentang cara mengundang AWS akun yang ada ke organisasi Anda, lihat [Mengundang AWS akun untuk bergabung dengan organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).

------
#### [ CloudTrail console ]

Prosedur berikut menunjukkan cara menambahkan administrator yang CloudTrail didelegasikan menggunakan CloudTrail konsol.

1. Masuk ke Konsol Manajemen AWS dan buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Pilih **Pengaturan** di panel navigasi kiri CloudTrail konsol.

1. Di bagian Administrator **yang didelegasikan organisasi, pilih **Daftarkan** administrator**.

1. Masukkan ID AWS akun dua belas digit dari akun yang ingin Anda tetapkan sebagai administrator yang CloudTrail didelegasikan untuk jejak organisasi dan penyimpanan data peristiwa.

1. Pilih **Daftarkan administrator**.

------
#### [ AWS CLI ]

Contoh berikut menambahkan administrator yang CloudTrail didelegasikan.

```
aws cloudtrail register-organization-delegated-admin
  --member-account-id="memberAccountId"
```

Perintah ini tidak menghasilkan output jika berhasil.

------

# Menghapus administrator yang CloudTrail didelegasikan
<a name="cloudtrail-remove-delegated-administrator"></a>

Anda dapat menghapus administrator yang CloudTrail didelegasikan menggunakan CloudTrail konsol atau file. AWS CLI

------
#### [ CloudTrail console ]

Prosedur berikut menunjukkan cara menghapus administrator yang CloudTrail didelegasikan menggunakan CloudTrail konsol.

1. Masuk ke Konsol Manajemen AWS dan buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Pilih **Pengaturan** di panel navigasi kiri CloudTrail konsol.

1. Di bagian Administrator **yang didelegasikan organisasi, pilih administrator** yang didelegasikan yang ingin Anda hapus.

1.  Pilih **Hapus administrator**. 

1. Konfirmasikan bahwa Anda ingin menghapus administrator yang didelegasikan dan kemudian pilih **Hapus administrator**.

------
#### [ AWS CLI ]

Perintah berikut menghapus administrator yang CloudTrail didelegasikan.

```
aws cloudtrail deregister-organization-delegated-admin
  --delegated-admin-account-id="delegatedAdminAccountId"
```

Perintah ini tidak menghasilkan output jika berhasil.

------