委任された管理者を割り当てるために必要な許可

CloudTrail の委任された管理者を割り当てるときは、CloudTrail で委任された管理者を追加および削除するための許可と、次のポリシーステートメントにリストされている特定の AWS Organizations API アクションおよび IAM の許可が必要です。

IAM ポリシーの最後に次のステートメントを追加することで、これらの許可を付与できます。


{
    "Sid": "Permissions",
    "Effect": "Allow",
    "Action": [
        "cloudtrail:RegisterOrganizationDelegatedAdmin",
        "cloudtrail:DeregisterOrganizationDelegatedAdmin",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator",
        "organizations:ListAWSServiceAccessForOrganization",
        "iam:CreateServiceLinkedRole",
        "iam:GetRole"
    ],
    "Resource": "*"
}

委任管理者アクセス許可のポリシーステートメントで条件キーを使用する場合の考慮事項

CloudTrail で委任された管理者を追加および削除するポリシーステートメントを追加するときは、IAM グローバル条件キーを使用してセキュリティを強化することを検討してください。その場合は、両方のサービスプリンシパル名 (SPN) を条件に含めてください。例:


{
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "context.cloudtrail.amazonaws.com",
            "cloudtrail.amazonaws.com"
          ]
        }
      },
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow"
}

詳細については、「AWS CloudTrail の ID とアクセス管理」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

組織の委任された管理者

CloudTrail の委任された管理者を追加する