As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Administrador delegado de organização
<a name="cloudtrail-delegated-administrator"></a>

Ao usar CloudTrail com uma AWS Organizations organização, você pode atribuir qualquer conta dentro da organização para atuar como administrador CloudTrail delegado para gerenciar as trilhas e os armazenamentos de dados de eventos da organização em nome da organização. Um administrador delegado é uma conta membro em uma organização que pode realizar as mesmas tarefas administrativas (exceto conforme [indicado](#cloudtrail-org-tasks)) na CloudTrail conta de gerenciamento.

Se você escolher um administrador delegado, essa conta-membro terá permissões administrativas em todas as trilhas da organização e os armazenamentos de dados de eventos na organização. Adicionar um administrador delegado não altera o gerenciamento ou a operação das trilhas ou dos armazenamentos de dados de eventos da organização.

Na primeira vez que você adiciona um administrador delegado no CloudTrail console, ou usando a CloudTrail API AWS CLI ou, CloudTrail verifica se a conta de gerenciamento da organização tem uma função vinculada ao serviço. Se a conta de gerenciamento não tiver uma função vinculada ao serviço, CloudTrail cria a função vinculada ao serviço para a conta de gerenciamento. Para obter mais informações sobre funções vinculadas ao serviço, consulte [Usando funções vinculadas a serviços para CloudTrail](using-service-linked-roles.md).

**nota**  
Quando você adiciona um administrador delegado usando a operação da AWS Organizations CLI ou da API CloudTrail , as funções vinculadas ao serviço não serão criadas automaticamente se não existirem. As funções vinculadas ao serviço são criadas somente quando você faz uma chamada da conta de gerenciamento diretamente para o CloudTrail serviço. Por exemplo, quando você adiciona um administrador delegado ou cria uma trilha da organização ou um armazenamento de dados de eventos usando o CloudTrail console AWS CLI ou a CloudTrail API, a função AWSServiceRoleForCloudTrail vinculada ao serviço é criada.  
Quando você adiciona um administrador delegado usando a operação AWS CloudTrail; CLI ou API CloudTrail , criará as funções e as vinculadas AWSServiceRoleForCloudTrail AWSServiceRoleForCloudTrailEventContext ao serviço. Para obter mais informações, consulte [Usando funções vinculadas a serviços para CloudTrail](using-service-linked-roles.md)..

Anote os seguintes fatores que definem como o administrador delegado opera em CloudTrail.

**A conta de gerenciamento continua sendo a proprietária de todos os recursos da CloudTrail organização criados pelo administrador delegado.**  
A conta de gerenciamento da organização continua sendo a proprietária de todos os recursos da CloudTrail organização criados pelo administrador delegado, como trilhas e armazenamentos de dados de eventos. Isso proporciona continuidade para a organização caso o administrador delegado mude.

**A remoção de uma conta de administrador delegado não exclui nenhum recurso CloudTrail da organização que eles criaram.**  
As trilhas da organização e os armazenamentos de dados de eventos criados pelo administrador delegado não são excluídos quando você remove o administrador delegado, porque a conta de gerenciamento sempre serve como proprietária dos recursos da CloudTrail organização, independentemente de serem criados pelo administrador delegado ou pela conta de gerenciamento.

**Uma organização pode ter no máximo três administradores CloudTrail delegados.**  
Você pode ter no máximo três administradores CloudTrail delegados por organização. Para obter mais informações sobre a remoção de um administrador delegado, consulte [Remover um CloudTrail administrador delegado](cloudtrail-remove-delegated-administrator.md).

A tabela a seguir mostra os recursos da conta de gerenciamento, das contas de administrador delegado e das contas que são membros da AWS Organizations organização.


| Capacidades  | conta gerencial | Conta de administrador delegada | Contas-membros | 
| --- | --- | --- | --- | 
|  Adicionar ou remover contas de administrador delegado.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Sim  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Nº  | 
|  Criar uma trilha de organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Sim  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Sim1  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  | 
|  Visualizar uma lista de trilhas de organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  | 
|  Atualizar uma trilha de organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Sim  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Sim1, 2  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  | 
|  Excluir uma trilha de organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  | 
|  Crie um armazenamento de dados de eventos da organização para CloudTrail eventos ou itens AWS Config de configuração.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  | 
|  Habilitar o Insights em um armazenamento de dados de eventos da organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Sim  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Nº  | 
|  Atualizar um armazenamento de dados de eventos da organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Sim  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Sim2  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  | 
|  Inicie ou interrompa a ingestão de eventos em um datastore de eventos.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  | 
|  Habilitar a federação de consultas do Lake em um armazenamento de dados de eventos da organização3.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  | 
|  Desabilitar a federação de consultas do Lake em um armazenamento de dados de eventos da organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  | 
|  Excluir um armazenamento de dados de eventos da organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  | 
|  Copiar eventos de trilhas para um armazenamento de dados de eventos da organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Sim  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Nº  | 
|  Executar consultas em armazenamentos de dados de eventos da organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Yes (Sim)  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  | 
|  Visualize o painel gerenciado de um datastore de eventos da organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Sim  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Nº  | 
|  Habilite o painel Destaques dos datastores de eventos da organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Sim  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Nº  | 
|  Crie um widget para um painel personalizado que consulta um datastore de eventos da organização.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/success_icon.svg) Sim  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Não  |  ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/negative_icon.svg) Nº  | 

1 O administrador delegado só pode configurar um grupo de CloudWatch registros de registros usando as operações AWS CLI ou CloudTrail `CreateTrail` ou `UpdateTrail` da API. Tanto o grupo de CloudWatch registros de registros quanto a função de registro devem existir na conta de chamada.

2 Somente a conta de gerenciamento pode converter uma trilha ou armazenamento de dados de eventos da organização em uma trilha ou um armazenamento de dados de eventos no nível da conta ou vice-versa. Essas ações não são permitidas para o administrador delegado porque as trilhas e os armazenamentos de dados de eventos da organização só existem na conta de gerenciamento. Quando uma trilha ou um armazenamento de dados de eventos da organização é convertido em uma trilha ou um armazenamento de dados de eventos no nível da conta, somente a conta de gerenciamento tem acesso à trilha ou ao armazenamento de dados de eventos.

3Somente uma única conta de administrador delegado ou a conta de gerenciamento pode habilitar a federação em um armazenamento de dados de eventos da organização. Outras contas de administrador delegado podem consultar e compartilhar informações usando o [recurso de compartilhamento de dados do Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html). Qualquer conta de administrador delegado, bem como a conta de gerenciamento da organização, pode desabilitar a federação.

**Topics**
+ [

# Permissões necessárias para atribuir um administrador delegado
](cloudtrail-delegated-administrator-permissions.md)
+ [

# Adicionar um administrador CloudTrail delegado
](cloudtrail-add-delegated-administrator.md)
+ [

# Remover um CloudTrail administrador delegado
](cloudtrail-remove-delegated-administrator.md)

# Permissões necessárias para atribuir um administrador delegado
<a name="cloudtrail-delegated-administrator-permissions"></a>

Ao atribuir um administrador CloudTrail delegado, você deve ter as permissões para adicionar e remover o administrador delegado CloudTrail, bem como determinadas ações de AWS Organizations API e permissões do IAM listadas na declaração de política a seguir.

É possível adicionar a seguinte instrução ao final de uma política do IAM para conceder essas permissões:

```
{
    "Sid": "Permissions",
    "Effect": "Allow",
    "Action": [
        "cloudtrail:RegisterOrganizationDelegatedAdmin",
        "cloudtrail:DeregisterOrganizationDelegatedAdmin",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator",
        "organizations:ListAWSServiceAccessForOrganization",
        "iam:CreateServiceLinkedRole",
        "iam:GetRole"
    ],
    "Resource": "*"
}
```

## Considerações ao usar chaves de condição com instruções de política para permissões de administrador delegado
<a name="cloudtrail-delegated-administrator-permissions-condition-keys-spn"></a>

Você pode considerar o uso de chaves de condição globais do IAM ao adicionar declarações de política para adicionar e remover o administrador delegado CloudTrail para obter mais segurança. Ao fazer isso, lembre-se de incluir os dois nomes principais do serviço (SPNs) na condição. Por exemplo: 

```
{
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "context.cloudtrail.amazonaws.com",
            "cloudtrail.amazonaws.com"
          ]
        }
      },
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow"
}
```

Para obter mais informações, consulte [Identity and Access Management para AWS CloudTrail](security-iam.md).

# Adicionar um administrador CloudTrail delegado
<a name="cloudtrail-add-delegated-administrator"></a>

Você pode adicionar um administrador delegado para gerenciar os CloudTrail recursos de uma organização, como trilhas e armazenamentos de dados de eventos.

Você pode adicionar um administrador CloudTrail delegado para sua AWS organização usando o CloudTrail console ou o. AWS CLI

Antes de adicionar um administrador delegado, certifique-se de que ele tenha uma conta em sua organização e de que você esteja conectado com a conta de gerenciamento da organização. Para obter informações sobre como criar uma nova AWS conta para sua organização, consulte [Criação de uma AWS conta em sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html). Para obter informações sobre como convidar uma AWS conta existente para sua organização, consulte [Convidar uma AWS conta para participar da sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).

------
#### [ CloudTrail console ]

O procedimento a seguir mostra como adicionar um administrador CloudTrail delegado usando o CloudTrail console.

1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Escolha **Configurações** no painel de navegação esquerdo do CloudTrail console.

1. Na seção **Organization delegated administrators** (Administradores delegados da organização), escolha **Register administrator** (Registrar administrador).

1. Insira o ID da AWS conta de doze dígitos da conta que você deseja atribuir como administrador CloudTrail delegado para os repositórios de dados de trilhas e eventos da organização.

1. Selecione **Register administrator** (Registrar administrador).

------
#### [ AWS CLI ]

O exemplo a seguir adiciona um administrador CloudTrail delegado.

```
aws cloudtrail register-organization-delegated-admin
  --member-account-id="memberAccountId"
```

Se for bem-sucedido, esse comando não produzirá uma saída.

------

# Remover um CloudTrail administrador delegado
<a name="cloudtrail-remove-delegated-administrator"></a>

Você pode remover um administrador CloudTrail delegado usando o CloudTrail console ou o. AWS CLI

------
#### [ CloudTrail console ]

O procedimento a seguir mostra como remover um administrador CloudTrail delegado usando o CloudTrail console.

1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Escolha **Configurações** no painel de navegação esquerdo do CloudTrail console.

1. Na seção **Organization delegated administrators** (Administradores delegados da organização), escolha o administrador delegado que deseja remover.

1.  Escolha **Remove administrator** (Remover administrador). 

1. Confirme que você deseja remover o administrador delegado e escolha **Remove administrator** (Remover administrador).

------
#### [ AWS CLI ]

O comando a seguir remove um administrador CloudTrail delegado.

```
aws cloudtrail deregister-organization-delegated-admin
  --delegated-admin-account-id="delegatedAdminAccountId"
```

Se for bem-sucedido, esse comando não produzirá uma saída.

------