本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 指派委派管理員所需的許可
<a name="cloudtrail-delegated-administrator-permissions"></a>

指派 CloudTrail 委派管理員時，您必須擁有在 CloudTrail 中新增和移除委派管理員的許可，以及下列政策陳述式中列出的特定 AWS Organizations API 動作和 IAM 許可。

您可以將下列陳述式新增至現有 IAM 政策的結尾，以授與這些許可：

```
{
    "Sid": "Permissions",
    "Effect": "Allow",
    "Action": [
        "cloudtrail:RegisterOrganizationDelegatedAdmin",
        "cloudtrail:DeregisterOrganizationDelegatedAdmin",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator",
        "organizations:ListAWSServiceAccessForOrganization",
        "iam:CreateServiceLinkedRole",
        "iam:GetRole"
    ],
    "Resource": "*"
}
```

## 使用條件索引鍵搭配委派管理員許可的政策陳述式時的考量事項
<a name="cloudtrail-delegated-administrator-permissions-condition-keys-spn"></a>

在新增政策陳述式以新增和移除 CloudTrail 中的委派管理員時，您可能會考慮使用 IAM 全域條件金鑰，以提高安全性。執行此操作時，請記得在條件中包含兩個服務主體名稱 (SPNs)。例如：

```
{
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "context.cloudtrail.amazonaws.com",
            "cloudtrail.amazonaws.com"
          ]
        }
      },
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow"
}
```

如需詳細資訊，請參閱[的 Identity and Access Management AWS CloudTrail](security-iam.md)。