Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Autorizzazioni necessarie per assegnare un amministratore delegato
Quando si assegna un amministratore CloudTrail delegato, è necessario disporre delle autorizzazioni per aggiungere e rimuovere l'amministratore delegato CloudTrail, nonché di determinate azioni AWS Organizations API e autorizzazioni IAM elencate nella seguente dichiarazione politica.
Puoi aggiungere la seguente istruzione alla fine di una policy IAM esistente per concedere queste autorizzazioni:
```
{
"Sid": "Permissions",
"Effect": "Allow",
"Action": [
"cloudtrail:RegisterOrganizationDelegatedAdmin",
"cloudtrail:DeregisterOrganizationDelegatedAdmin",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListAWSServiceAccessForOrganization",
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "*"
}
```
## Considerazioni sull'utilizzo delle chiavi condizionali con le dichiarazioni delle politiche per le autorizzazioni di amministratore delegato
Potresti prendere in considerazione l'utilizzo delle chiavi di condizione globali IAM quando aggiungi dichiarazioni di policy per aggiungere e rimuovere l'amministratore delegato CloudTrail per una maggiore sicurezza. Quando lo fai, ricorda di includere entrambi i nomi principali dei servizi (SPNs) nella condizione. Esempio:
```
{
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"context.cloudtrail.amazonaws.com",
"cloudtrail.amazonaws.com"
]
}
},
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow"
}
```
Per ulteriori informazioni, consulta [Identity and Access Management per AWS CloudTrail](security-iam.md).