As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Permissões necessárias para atribuir um administrador delegado
Ao atribuir um administrador CloudTrail delegado, você deve ter as permissões para adicionar e remover o administrador delegado CloudTrail, bem como determinadas ações de AWS Organizations API e permissões do IAM listadas na declaração de política a seguir.
É possível adicionar a seguinte instrução ao final de uma política do IAM para conceder essas permissões:
```
{
"Sid": "Permissions",
"Effect": "Allow",
"Action": [
"cloudtrail:RegisterOrganizationDelegatedAdmin",
"cloudtrail:DeregisterOrganizationDelegatedAdmin",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListAWSServiceAccessForOrganization",
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "*"
}
```
## Considerações ao usar chaves de condição com instruções de política para permissões de administrador delegado
Você pode considerar o uso de chaves de condição globais do IAM ao adicionar declarações de política para adicionar e remover o administrador delegado CloudTrail para obter mais segurança. Ao fazer isso, lembre-se de incluir os dois nomes principais do serviço (SPNs) na condição. Por exemplo:
```
{
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"context.cloudtrail.amazonaws.com",
"cloudtrail.amazonaws.com"
]
}
},
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow"
}
```
Para obter mais informações, consulte [Identity and Access Management para AWS CloudTrail](security-iam.md).