指定委托管理员所需的权限

在指定 CloudTrail 委托管理员时，您必须拥有在 CloudTrail 中添加和移除委托管理员的权限，以及以下策略声明中列出的某些 AWS Organizations API 操作和 IAM 权限。

您可以将以下声明添加到 IAM policy 的末尾以授予这些权限：


{
    "Sid": "Permissions",
    "Effect": "Allow",
    "Action": [
        "cloudtrail:RegisterOrganizationDelegatedAdmin",
        "cloudtrail:DeregisterOrganizationDelegatedAdmin",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator",
        "organizations:ListAWSServiceAccessForOrganization",
        "iam:CreateServiceLinkedRole",
        "iam:GetRole"
    ],
    "Resource": "*"
}

将条件键与委派管理员权限的策略语句结合使用时的注意事项

为了增强安全性，当添加策略语句来在 CloudTrail 中添加和移除委派管理员时，您可以考虑使用 IAM 全局条件键。执行此操作时，请记得在条件中包含两个服务主体名称 (SPN)。例如：


{
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "context.cloudtrail.amazonaws.com",
            "cloudtrail.amazonaws.com"
          ]
        }
      },
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow"
}

有关更多信息，请参阅适用于 AWS CloudTrail 的 Identity and Access Management。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

组织的委托管理员

添加 CloudTrail 委托管理员