翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 組織の委任された管理者
<a name="cloudtrail-delegated-administrator"></a>

 AWS Organizations 組織で CloudTrail を使用する場合、組織内の任意のアカウントを CloudTrail の委任管理者として割り当てて、組織に代わって組織の証跡とイベントデータストアを管理できます。委任された管理者は、管理アカウントと同じ管理タスク ([こちら](#cloudtrail-org-tasks)に記載されている場合を除く) を CloudTrail で実行できる組織のメンバーアカウントです。

委任された管理者を選択した場合、このメンバーアカウントには組織内のすべての組織の証跡とイベントデータストアに対する管理許可が付与されます。委任された管理者を追加しても、組織の証跡やイベントデータストアの管理やオペレーションが変更されることはありません。

CloudTrail コンソールで、または AWS CLI または CloudTrail API を使用して初めて委任管理者を追加すると、CloudTrail は組織の管理アカウントにサービスにリンクされたロールがあるかどうかをチェックします。サービスにリンクされたロールが管理アカウントにない場合、CloudTrail は、サービスにリンクされたロールを管理アカウント用に作成します。サービスにリンクされたロールの詳細については、「[CloudTrail サービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。

**注記**  
CLI または API AWS Organizations オペレーションを使用して委任管理者を追加すると、CloudTrail サービスにリンクされたロールが存在しない場合、自動的には作成されません。サービスにリンクされたロールは、管理アカウントから CloudTrail サービスに直接呼び出しを行う場合にのみ作成されます。例えば、委任管理者を追加するか、CloudTrail コンソール、 AWS CLI または CloudTrail API を使用して組織の証跡またはイベントデータストアを作成すると、AWSServiceRoleForCloudTrail サービスにリンクされたロールが作成されます。  
CLI または API AWS CloudTrailオペレーションを使用して委任管理者を追加すると、CloudTrail は AWSServiceRoleForCloudTrailとAWSServiceRoleForCloudTrailEventContextサービスにリンクされたロールの両方を作成します。詳細については、「」を参照してください[CloudTrail サービスにリンクされたロールの使用](using-service-linked-roles.md)。

CloudTrail の委任された管理者が行う操作方法を定義する、次の要素に注意してください。

**管理アカウントは、委任された管理者が作成する CloudTrail 組織リソースの所有者のままです。**  
組織の管理アカウントは、委任された管理者が作成する CloudTrail 組織リソース (証跡やイベントデータストアなど) の所有者のままです。これにより、委任された管理者が変更された場合でも組織の継続性が保たれます。

**委任された管理者アカウントを削除しても、その管理者アカウントが作成した CloudTrail 組織リソースは削除されません。**  
委任された管理者を削除しても、その委任された管理者によって作成された組織の証跡やイベントデータストアは削除されません。これは、委任された管理者によって作成されたか、管理アカウントによって作成されたかにかかわらず、管理アカウントが常に CloudTrail 組織リソースの所有者として機能するためです。

**1 つの組織につき、最大 3 名の CloudTrail の委任された管理者を置くことができます。**  
1 つの組織につき、最大 3 名の CloudTrail の委任された管理者を置くことができます。委任された管理者の削除の詳細については、「[CloudTrail の委任された管理者を削除する](cloudtrail-remove-delegated-administrator.md)」を参照してください。

次の表は、管理アカウント、委任管理者アカウント、および AWS Organizations 組織内のメンバーであるアカウントの機能を示しています。


| 機能  | 管理アカウント | 委任された管理者アカウント | メンバーアカウント | 
| --- | --- | --- | --- | 
|  委任された管理者アカウントの追加もしくは削除。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織の証跡の作成。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい 1  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織の証跡の一覧の表示。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) あり  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  | 
|  組織の証跡の更新。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい 1、2  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織の証跡の削除。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  CloudTrail イベントまたは AWS Config 設定項目の組織イベントデータストアを作成します。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織のイベントデータストアでの Insights の有効化。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織のイベントデータストアの更新。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい 2  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織イベントデータストアでのイベント取り込みを開始または停止します。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織イベントデータストアでの Lake クエリフェデレーションの有効化 3。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織のイベントデータストアでの Lake クエリフェデレーションの無効化。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織のイベントデータストアの削除。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織のイベントデータストアへの証跡イベントのコピー。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織のイベントデータストアでのクエリ実行。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織イベントデータストアのマネージドダッシュボードを表示します。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織イベントデータストアの Highlights ダッシュボードを有効にします。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 
|  組織イベントデータストアをクエリするカスタムダッシュボードのウィジェットを作成します。  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/success_icon.svg) はい  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  |  ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/negative_icon.svg) いいえ  | 

1委任管理者は、 AWS CLI または CloudTrail または API オペレーションを使用してのみ CloudWatch Logs ロググループを設定できます。 CloudTrail `CreateTrail` `UpdateTrail` CloudWatch Logs ロググループとログロールの両方が、呼び出し元アカウントに存在している必要があります。

2 組織の証跡またはイベントデータストアをアカウントレベルの証跡またはイベントデータストアに変換したり、アカウントレベルの証跡またはイベントデータストアを組織の証跡またはイベントデータストアに変換したりできるのは管理アカウントだけです。組織の証跡とイベントデータストアは管理アカウントにのみ存在するため、委任された管理者はこれらのアクションを実行できません。組織の証跡またはイベントデータストアをアカウントレベルの証跡またはイベントデータストアに変換した場合、管理アカウントのみが証跡またはイベントデータストアにアクセスできます。

3組織のイベントデータストアでフェデレーションを有効にできるのは、委任された管理者アカウントの 1 つ、または管理アカウントだけです。他の委任管理者アカウントは、[Lake Formation のデータ共有機能](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html)を使用すると、情報をクエリし共有することが可能です。組織の管理アカウントだけでなく委任された管理者アカウントも、フェデレーションを無効化することができます。

**Topics**
+ [委任された管理者を割り当てるために必要な許可](cloudtrail-delegated-administrator-permissions.md)
+ [CloudTrail の委任された管理者を追加する](cloudtrail-add-delegated-administrator.md)
+ [CloudTrail の委任された管理者を削除する](cloudtrail-remove-delegated-administrator.md)

# 委任された管理者を割り当てるために必要な許可
<a name="cloudtrail-delegated-administrator-permissions"></a>

CloudTrail の委任された管理者を割り当てるときは、CloudTrail で委任された管理者を追加および削除するための許可と、次のポリシーステートメントにリストされている特定の AWS Organizations API アクションおよび IAM の許可が必要です。

IAM ポリシーの最後に次のステートメントを追加することで、これらの許可を付与できます。

```
{
    "Sid": "Permissions",
    "Effect": "Allow",
    "Action": [
        "cloudtrail:RegisterOrganizationDelegatedAdmin",
        "cloudtrail:DeregisterOrganizationDelegatedAdmin",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator",
        "organizations:ListAWSServiceAccessForOrganization",
        "iam:CreateServiceLinkedRole",
        "iam:GetRole"
    ],
    "Resource": "*"
}
```

## 委任管理者アクセス許可のポリシーステートメントで条件キーを使用する場合の考慮事項
<a name="cloudtrail-delegated-administrator-permissions-condition-keys-spn"></a>

CloudTrail で委任された管理者を追加および削除するポリシーステートメントを追加するときは、IAM グローバル条件キーを使用してセキュリティを強化することを検討してください。その場合は、両方のサービスプリンシパル名 (SPN) を条件に含めてください。例えば、次のようになります。

```
{
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "context.cloudtrail.amazonaws.com",
            "cloudtrail.amazonaws.com"
          ]
        }
      },
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow"
}
```

詳細については、「[の Identity and Access Management AWS CloudTrail](security-iam.md)」を参照してください。

# CloudTrail の委任された管理者を追加する
<a name="cloudtrail-add-delegated-administrator"></a>

委任された管理者を追加して、証跡やイベントデータストアなど、組織の CloudTrail リソースを管理できます。

CloudTrail コンソールまたは AWS CLIを使用して、 AWS 組織の CloudTrail の委任された管理者を追加できます。

委任された管理者を追加するときは、事前に、その管理者がユーザーの組織のアカウントを持っていること、および、ユーザーが、自分の組織にその管理者のアカウントでサインインしていることを確認します。組織の新しい AWS アカウントを作成する方法については、[「組織での AWS アカウントの作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html)」を参照してください。既存の AWS アカウントを組織に招待する方法については、[「組織に参加する AWS アカウントを招待する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)」を参照してください。

------
#### [ CloudTrail console ]

次の手順は、CloudTrail コンソールを使用して CloudTrail の委任された管理者を追加する方法を示しています。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。

1. CloudTrail コンソールの左側にあるナビゲーションペインで **[Settings]** (設定) を選択します。

1. **[Organization delegated administrators]** (組織委任管理者) セクションで、**[Register administrator]** (管理者を登録) を選択します。

1. 組織の証跡とイベントデータストアの CloudTrail 委任管理者として割り当てるアカウントの 12 桁の AWS アカウント ID を入力します。

1. **[Register administrator]** (管理者を登録) を選択します。

------
#### [ AWS CLI ]

次の例では、CloudTrail の委任された管理者を追加します。

```
aws cloudtrail register-organization-delegated-admin
  --member-account-id="memberAccountId"
```

このコマンドは成功時に出力を生成しません。

------

# CloudTrail の委任された管理者を削除する
<a name="cloudtrail-remove-delegated-administrator"></a>

CloudTrail コンソールまたは AWS CLIを使用して、CloudTrail の委任された管理者を削除できます。

------
#### [ CloudTrail console ]

次の手順は、CloudTrail コンソールを使用して CloudTrail の委任された管理者を削除する方法を示しています。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。

1. CloudTrail コンソールの左側にあるナビゲーションペインで **[Settings]** (設定) を選択します。

1. **[Organization delegated administrators]** (組織委任管理者) セクションで、削除する委任された管理者を選択します。

1.  **[Remove administrator]** (管理者を削除) を選択します。

1. 委任された管理者を削除することを確認し、**[Remove administrator]** (管理者を削除) を選択します。

------
#### [ AWS CLI ]

次のコマンドは、CloudTrail の委任された管理者を削除します。

```
aws cloudtrail deregister-organization-delegated-admin
  --delegated-admin-account-id="delegatedAdminAccountId"
```

このコマンドは成功時に出力を生成しません。

------