Administrador delegado de organização

Ao usar o CloudTrail com uma organização do AWS Organizations, é possível atribuir qualquer conta da organização para atuar como administrador delegado do CloudTrail e gerenciar as trilhas e os armazenamentos de dados de eventos da organização em nome da organização. Um administrador delegado corresponde a uma conta-membro em uma organização que pode executar as mesmas tarefas administrativas (exceto quando observado do contrário) no CloudTrail que a conta de gerenciamento.

Se você escolher um administrador delegado, essa conta-membro terá permissões administrativas em todas as trilhas da organização e os armazenamentos de dados de eventos na organização. Adicionar um administrador delegado não altera o gerenciamento ou a operação das trilhas ou dos armazenamentos de dados de eventos da organização.

Na primeira vez que você adicionar um administrador delegado no console do CloudTrail ou usando a AWS CLI ou a API do CloudTrail, o CloudTrail verificará se a conta de gerenciamento da organização tem um perfil vinculado ao serviço. Se a conta de gerenciamento não tiver um perfil vinculado a serviço, o CloudTrail criará o perfil vinculado a serviço para a conta de gerenciamento. Para obter mais informações sobre funções vinculadas ao serviço, consulte Usar perfis vinculados ao serviço para o CloudWatch.

nota

Quando você adiciona um administrador delegado usando a CLI ou a operação de API do AWS Organizations, os perfis vinculados ao serviço do CloudTrail, se não existirem, não serão criados automaticamente. Os perfis vinculados ao serviço são criados apenas quando você faz uma chamada da conta gerencial diretamente para o serviço CloudTrail. Por exemplo, quando você adiciona um administrador delegado ou cria uma trilha ou um datastore de eventos da organização usando o console do CloudTrail, a AWS CLI ou a API do CloudTrail, o perfil vinculado ao serviço AWSServiceRoleForCloudTrail é criado.

Quando você adiciona um administrador delegado usando o AWS CloudTrail, a CLI ou a operação de API, o CloudTrail cria o perfil AWSServiceRoleForCloudTrail e o perfil vinculado ao serviço AWSServiceRoleForCloudTrailEventContext. Para ter mais informações, consulte . Usar perfis vinculados ao serviço para o CloudWatch..

Observe os seguintes fatores que definem como o administrador delegado opera no CloudTrail.

A conta de gerenciamento continua sendo a proprietária de qualquer recurso organizacional do CloudTrail criado pelo administrador delegado.: A conta de gerenciamento da organização continua sendo a proprietária de qualquer recurso organizacional do CloudTrail criado pelo administrador delegado, como trilhas e armazenamentos de dados de eventos. Isso proporciona continuidade para a organização caso o administrador delegado mude.
A remoção de uma conta de administrador delegado não exclui nenhum recurso organizacional do CloudTrail que tenha sido criado pela conta.: As trilhas da organização e os armazenamentos de dados de eventos criados pelo administrador delegado não são excluídos quando você remove o administrador delegado, porque a conta de gerenciamento sempre atua como proprietária dos recursos da organização do CloudTrail, independentemente dos recursos terem sido criados pelo administrador delegado ou pela conta de gerenciamento.
Uma organização pode ter até três administradores delegados do CloudTrail.: Você pode ter até três administradores delegados do CloudTrail por organização. Para obter mais informações sobre a remoção de um administrador delegado, consulte Remover um administrador delegado do CloudTrail.

A tabela a seguir mostra as capacidades da conta de gerenciamento, das contas de administrador delegado e das contas que são membros da organização do AWS Organizations.

Capacidades	Conta de gerenciamento	Conta de administrador delegado	Contas-membros
Adicionar ou remover contas de administrador delegado.	Sim	No (Não)	Não
Criar uma trilha de organização.	Sim	Sim¹	Não
Visualizar uma lista de trilhas de organização.	Yes (Sim)	Yes (Sim)	Sim
Atualizar uma trilha de organização.	Sim	Sim^1,²	Não
Excluir uma trilha de organização.	Yes (Sim)	Sim	No (Não)
Criar um armazenamento de dados de eventos da organização para eventos do CloudTrail ou itens de configuração do AWS Config.	Yes (Sim)	Sim	No (Não)
Habilitar o Insights em um armazenamento de dados de eventos da organização.	Sim	No (Não)	Não
Atualizar um armazenamento de dados de eventos da organização.	Sim	Sim²	Não
Inicie ou interrompa a ingestão de eventos em um datastore de eventos.	Yes (Sim)	Sim	No (Não)
Habilitar a federação de consultas do Lake em um armazenamento de dados de eventos da organização³.	Yes (Sim)	Sim	No (Não)
Desabilitar a federação de consultas do Lake em um armazenamento de dados de eventos da organização.	Yes (Sim)	Sim	No (Não)
Excluir um armazenamento de dados de eventos da organização.	Yes (Sim)	Sim	No (Não)
Copiar eventos de trilhas para um armazenamento de dados de eventos da organização.	Sim	No (Não)	Não
Executar consultas em armazenamentos de dados de eventos da organização.	Yes (Sim)	Sim	No (Não)
Visualize o painel gerenciado de um datastore de eventos da organização.	Sim	No (Não)	Não
Habilite o painel Destaques dos datastores de eventos da organização.	Sim	No (Não)	Não
Crie um widget para um painel personalizado que consulta um datastore de eventos da organização.	Sim	No (Não)	Não

¹O administrador delegado só pode configurar um grupo de logs do CloudWatch Logs usando a AWS CLI ou operações de API CreateTrail ou UpdateTrail do CloudTrail. Tanto o grupo de logs quanto o perfil de log do CloudWatch Logs devem existir na conta de chamada.

² Somente a conta de gerenciamento pode converter uma trilha ou armazenamento de dados de eventos da organização em uma trilha ou um armazenamento de dados de eventos no nível da conta ou vice-versa. Essas ações não são permitidas para o administrador delegado porque as trilhas e os armazenamentos de dados de eventos da organização só existem na conta de gerenciamento. Quando uma trilha ou um armazenamento de dados de eventos da organização é convertido em uma trilha ou um armazenamento de dados de eventos no nível da conta, somente a conta de gerenciamento tem acesso à trilha ou ao armazenamento de dados de eventos.

³Somente uma única conta de administrador delegado ou a conta de gerenciamento pode habilitar a federação em um armazenamento de dados de eventos da organização. Outras contas de administrador delegado podem consultar e compartilhar informações usando o recurso de compartilhamento de dados do Lake Formation. Qualquer conta de administrador delegado, bem como a conta de gerenciamento da organização, pode desabilitar a federação.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurar definições do CloudTrail

Permissões necessárias para atribuir um administrador delegado