本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 组织的委托管理员
在 AWS Organizations 组织中 CloudTrail 使用时,您可以将组织内的任何账户分配为 CloudTrail 委托管理员,代表该组织管理该组织的跟踪和事件数据存储。[委派管理员是组织中的成员帐户,可以在中执行与管理帐户相同的管理任务(除非另有说明)。](#cloudtrail-org-tasks) CloudTrail
如果您选择委托管理员,则此成员账户将对组织中的所有组织跟踪和事件数据存储拥有管理权限。添加委托管理员不会该改变组织的跟踪或事件数据存储的管理或操作。
首次在 CloudTrail 控制台中或使用 AWS CLI 或 CloudTrail API 添加委派管理员时, CloudTrail 会检查组织的管理账户是否具有服务相关角色。如果管理账户没有服务相关角色,则为管理账户 CloudTrail 创建服务相关角色。有关服务关联角色的更多信息,请参阅[将服务相关角色用于 CloudTrail](using-service-linked-roles.md)。
**注意**
使用 AWS Organizations CLI 或 API 操作添加委托管理员时,如果 CloudTrail 服务相关角色不存在,则不会自动创建这些角色。只有当你从管理账户直接向服务拨打电话时,才会创建与 CloudTrail 服务相关的角色。例如,当您使用 CloudTrail 控制台或 CloudTrail API 添加委派管理员或创建组织跟踪 AWS CLI 或事件数据存储时,将创建AWSServiceRoleForCloudTrail服务相关角色。
当您使用 AWS CloudTrail; CLI 或 API 操作添加委托管理员时, CloudTrail 将同时创建AWSServiceRoleForCloudTrail和AWSServiceRoleForCloudTrailEventContext服务相关角色。有关更多信息,请参阅[将服务相关角色用于 CloudTrail](using-service-linked-roles.md)。
请注意以下因素,这些因素定义了委派管理员的操作方式 CloudTrail。
**管理账户仍然是委派管理员创建的所有 CloudTrail 组织资源的所有者。**
组织的管理账户仍然是委派管理员创建的任何 CloudTrail 组织资源的所有者,例如跟踪和事件数据存储。这可以在委托管理员发生更改时为组织提供连续性。
**移除委派管理员账户并不会删除他们创建的任何 CloudTrail 组织资源。**
移除委派管理员时,不会删除由委派管理员创建的组织跟踪和事件数据存储,因为无论 CloudTrail 组织资源是由委派的管理员还是管理账户创建的,管理账户始终充当组织资源的所有者。
**一个组织最多可以有三个 CloudTrail 授权管理员。**
每个组织最多可以有三个 CloudTrail 委派管理员。有关移除委托管理员的更多信息,请参阅[移除 CloudTrail 委派的管理员](cloudtrail-remove-delegated-administrator.md)。
下表显示了管理账户、委派管理员账户和作为 AWS Organizations 组织成员的账户的权能。
| 功能 | 管理账户 | 委派管理员帐户 | 成员账户 |
| --- | --- | --- | --- |
| 添加或移除委托管理员账户。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 创建组织跟踪。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是1 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 查看组织跟踪的列表。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 更新组织跟踪。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是1、2 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 删除组织跟踪。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 为事件或 AWS Config 配置项目创建组织 CloudTrail 事件数据存储。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 在组织事件数据存储上启用 Insights。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 更新组织事件数据存储。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是2 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 启动和停止组织事件数据存储上的事件摄取。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 在组织事件数据存储上启用 Lake 查询联合身份验证3。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 在组织事件数据存储上禁用 Lake 查询联合身份验证。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 删除组织事件数据存储。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 将跟踪事件复制到组织事件数据存储。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 对组织事件数据存储运行查询。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 查看组织事件数据存储的托管的控制面板。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 为组织事件数据存储启用“要点”控制面板。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
| 为查询组织事件数据存储的自定义控制面板创建一个小组件。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 |
1 委派的管理员只能使用 AWS CLI 或 CloudTrail `CreateTrail`或 `UpdateTrail` API 操作配置 CloudWatch 日志组。调用者 CloudWatch 账户中必须同时存在日志日志组和日志角色。
2只有管理账户才能将组织跟踪或事件数据存储转换为账户级跟踪或事件数据存储,或者将账户级跟踪或事件数据存储转换为组织跟踪或事件数据存储。因为组织跟踪和事件数据存储仅存在于管理账户中,所以不允许委托管理员执行这些操作。当组织跟踪或事件数据存储转换为账户级跟踪或事件数据存储时,只有管理账户才能访问跟踪或事件数据存储。
3只有一个委托管理员账户或管理账户才能在组织事件数据存储上启用联合身份验证。其他委托管理员账户可以使用 [Lake Formation 数据共享功能](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html)查询和共享信息。任何委托管理员账户以及组织的管理账户都可以禁用联合身份验证。
**Topics**
+ [
# 指定委托管理员所需的权限
](cloudtrail-delegated-administrator-permissions.md)
+ [
# 添加 CloudTrail 委派管理员
](cloudtrail-add-delegated-administrator.md)
+ [
# 移除 CloudTrail 委派的管理员
](cloudtrail-remove-delegated-administrator.md)
# 指定委托管理员所需的权限
分配 CloudTrail 委托管理员时,您必须拥有在中添加和删除委托管理员的权限 CloudTrail,以及以下策略声明中列出的某些 AWS Organizations API 操作和 IAM 权限。
您可以将以下声明添加到 IAM policy 的末尾以授予这些权限:
```
{
"Sid": "Permissions",
"Effect": "Allow",
"Action": [
"cloudtrail:RegisterOrganizationDelegatedAdmin",
"cloudtrail:DeregisterOrganizationDelegatedAdmin",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListAWSServiceAccessForOrganization",
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "*"
}
```
## 将条件键与委派管理员权限的策略语句结合使用时的注意事项
为了提高安全性,在添加策略语句时可以考虑使用 IAM 全局条件密钥来添加和删除委托管理员。 CloudTrail 执行此操作时,请记住在条件中同时包含两个服务主体名称 (SPNs)。例如:
```
{
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"context.cloudtrail.amazonaws.com",
"cloudtrail.amazonaws.com"
]
}
},
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow"
}
```
有关更多信息,请参阅 [适用于 Identity and Access Managem AWS CloudTrail](security-iam.md)。
# 添加 CloudTrail 委派管理员
您可以添加委派管理员来管理组织的 CloudTrail 资源,例如跟踪和事件数据存储。
您可以使用 CloudTrail 控制台或为您的 AWS 组织添加 CloudTrail 委派管理员 AWS CLI。
在添加委托管理员之前,务必确保他们在组织中拥有账户,并且您已使用组织的管理账户登录。有关如何为您的组织创建新 AWS 账户的信息,请参阅在组织[中创建 AWS 账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html)。有关如何邀请现有 AWS 账户加入您的组织的信息,请参阅[邀请 AWS 账户加入您的组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。
------
#### [ CloudTrail console ]
以下过程说明如何使用 CloudTrail 控制台添加 CloudTrail 委派管理员。
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在 CloudTrail 控制台的左侧导航窗格中选择 “**设置**”。
1. 在**组织委派的管理员**部分中,选择**注册管理员**。
1. 输入您要分配为组织跟踪和事件数据存储的 CloudTrail 委托管理员的账户的十二位数 AWS 账户 ID。
1. 选择**注册管理员**。
------
#### [ AWS CLI ]
以下示例添加了 CloudTrail 委派管理员。
```
aws cloudtrail register-organization-delegated-admin
--member-account-id="memberAccountId"
```
如果成功,此命令不会产生任何输出。
------
# 移除 CloudTrail 委派的管理员
您可以使用 CloudTrail 控制台或删除 CloudTrail 委派的管理员 AWS CLI。
------
#### [ CloudTrail console ]
以下过程说明如何使用 CloudTrail 控制台移除 CloudTrail 委派的管理员。
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在 CloudTrail 控制台的左侧导航窗格中选择 “**设置**”。
1. 在**组织委派的管理员**部分中,选择您要移除的委派管理员。
1. 选择**删除管理员**。
1. 确认您要移除委派管理员,然后选择**删除管理员**。
------
#### [ AWS CLI ]
以下命令删除 CloudTrail 委派的管理员。
```
aws cloudtrail deregister-organization-delegated-admin
--delegated-admin-account-id="delegatedAdminAccountId"
```
如果成功,此命令不会产生任何输出。
------