组织的委托管理员
当您配合使用 CloudTrail 与 AWS Organizations 组织时,可以指定组织内的任何账户担当 CloudTrail 委托管理员,代表组织管理组织的跟踪和事件数据存储。委托管理员是组织中的成员账户,可以在 CloudTrail 中执行与管理账户相同的管理任务(除非另有说明)。
如果您选择委托管理员,则此成员账户将对组织中的所有组织跟踪和事件数据存储拥有管理权限。添加委托管理员不会该改变组织的跟踪或事件数据存储的管理或操作。
借助 CloudTrail 控制台、AWS CLI 或 CloudTrail API 首次添加委托管理员时,CloudTrail 会检查组织的管理账户是否具有服务相关角色。如果管理账户没有服务相关角色,则 CloudTrail 将为管理账户创建服务相关角色。有关服务相关角色的更多信息,请参阅为 CloudTrail 使用服务相关角色。
注意
当您使用 AWS Organizations CLI 或 API 操作添加委派管理员时,如果 CloudTrail 服务相关角色不存在,则不会自动创建这些角色。只有当您从管理账户直接调用 CloudTrail 服务时,才会创建服务相关角色。例如,当您使用 CloudTrail 控制台、AWS CLI 或 CloudTrail API 添加委派管理员或创建组织跟踪或事件数据存储时,会创建 AWSServiceRoleForCloudTrail 服务相关角色。
当您使用 AWS CloudTrail CLI 或 API 操作添加委派管理员时,CloudTrail 将创建 AWSServiceRoleForCloudTrail 和 AWSServiceRoleForCloudTrailEventContext 服务相关角色。有关更多信息,请参阅为 CloudTrail 使用服务相关角色。
请注意以下因素,它们定义了委托管理员在 CloudTrail 中如何操作。
- 管理账户仍然是委托管理员创建的任何 CloudTrail 组织资源的拥有者。
-
该组织的管理账户仍然是委托管理员创建的任何 CloudTrail 组织资源(例如跟踪和事件数据存储)的所有者。这可以在委托管理员发生更改时为组织提供连续性。
- 移除委托管理员账户不会删除他们创建的任何 CloudTrail 组织资源。
-
在您移除委托管理员时,不会删除委托管理员创建的组织跟踪和事件数据存储,因为无论 CloudTrail 组织资源是由委托管理员还是管理账户创建的,管理账户始终是这些资源的所有者。
- 一个组织最多可以拥有三个 CloudTrail 委托管理员。
-
每个组织最多可以拥有三个 CloudTrail 委托管理员。有关移除委托管理员的更多信息,请参阅移除 CloudTrail 委托管理员。
下表显示了管理账户、委托管理员账户和 AWS Organizations 组织内成员账户的功能。
| 功能 | 管理账户 | 委托管理员帐户 | 成员账户 |
|---|---|---|---|
|
添加或移除委托管理员账户。 |
|
|
|
|
创建组织跟踪。 |
|
|
|
|
查看组织跟踪的列表。 |
|
|
|
|
更新组织跟踪。 |
|
|
|
|
删除组织跟踪。 |
|
|
|
|
创建 CloudTrail 事件或 AWS Config 配置项目的组织事件数据存储。 |
|
|
|
|
在组织事件数据存储上启用 Insights。 |
|
|
|
|
更新组织事件数据存储。 |
|
|
|
|
启动和停止组织事件数据存储上的事件摄取。 |
|
|
|
|
在组织事件数据存储上启用 Lake 查询联合身份验证3。 |
|
|
|
|
在组织事件数据存储上禁用 Lake 查询联合身份验证。 |
|
|
|
|
删除组织事件数据存储。 |
|
|
|
|
将跟踪事件复制到组织事件数据存储。 |
|
|
|
|
对组织事件数据存储运行查询。 |
|
|
|
|
查看组织事件数据存储的托管式控制面板。 |
|
|
|
|
为组织事件数据存储启用“要点”控制面板。 |
|
|
|
|
为查询组织事件数据存储的自定义控制面板创建一个小组件。 |
|
|
|
1委托管理员只能使用 AWS CLI 或 CloudTrail CreateTrail 或者 UpdateTrail API 操作配置 CloudWatch Logs 日志组。CloudWatch Logs 日志组和日志角色必须都存在于调用账户中。
2只有管理账户才能将组织跟踪或事件数据存储转换为账户级跟踪或事件数据存储,或者将账户级跟踪或事件数据存储转换为组织跟踪或事件数据存储。因为组织跟踪和事件数据存储仅存在于管理账户中,所以不允许委托管理员执行这些操作。当组织跟踪或事件数据存储转换为账户级跟踪或事件数据存储时,只有管理账户才能访问跟踪或事件数据存储。
3只有一个委托管理员账户或管理账户才能在组织事件数据存储上启用联合身份验证。其他委托管理员账户可以使用 Lake Formation 数据共享功能查询和共享信息。任何委托管理员账户以及组织的管理账户都可以禁用联合身份验证。
