本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
組織委派的管理員
當您將 CloudTrail 與 AWS Organizations 組織搭配使用時,您可以指派組織內的任何帳戶做為 CloudTrail 委派管理員,以代表組織管理組織的追蹤和事件資料存放區。委派管理員是組織中的成員帳戶,可以在 CloudTrail 中執行與管理帳戶相同的管理工作 (註明的除外)。
如果您選擇委派的管理員,則此成員帳戶具有組織中所有組織追蹤和事件資料存放區的管理許可。新增委派的管理員不會改變組織追蹤或事件資料存放區的管理或操作。
當您第一次在 CloudTrail 主控台中新增委派管理員,或使用 AWS CLI 或 CloudTrail API 時,CloudTrail 會檢查組織的管理帳戶是否具有服務連結角色。如果管理帳戶沒有服務連結角色,則 CloudTrail 會為管理帳戶建立服務連結角色。如需服務連結角色的詳細資訊,請參閱使用 CloudTrail 的服務連結角色。
注意
當您使用 CLI 或 API AWS Organizations 操作新增委派管理員時,如果 CloudTrail 服務連結角色不存在,則不會自動建立這些角色。只有在您直接從管理帳戶呼叫 CloudTrail 服務時,才會建立服務連結角色。例如,當您使用 CloudTrail 主控台或 CloudTrail API 新增委派管理員或建立組織追蹤 AWS CLI 或事件資料存放區時,即會建立AWSServiceRoleForCloudTrail服務連結角色。
當您使用 AWS CloudTrail;CLI 或 API 操作新增委派管理員時,CloudTrail AWSServiceRoleForCloudTrailEventContext 會同時建立 AWSServiceRoleForCloudTrail和服務連結角色。如需詳細資訊,請參閱 使用 CloudTrail 的服務連結角色。
請注意下列定義委派管理員如何在 CloudTrail 中運作的因素。
- 管理帳戶仍然是委派管理員建立之任何 CloudTrail 組織資源的擁有者。
-
組織的管理帳戶仍然是委派管理員建立之任何 CloudTrail 組織資源 (例如線索和事件資料存放區) 的擁有者。如果委派的管理員變更,這可為組織提供連續性。
- 移除委派的管理員帳戶並不會刪除他們建立的任何 CloudTrail 組織資源。
-
當您移除委派的管理員時,不會刪除委派的管理員建立的組織線索和事件資料存放區,因為管理帳戶始終都是 CloudTrail 組織資源的擁有者,無論這些資源是由委派的管理員還是管理帳戶所建立。
- 一個組織最多可以有三個 CloudTrail 委派管理員。
-
每個組織最多可以有三個 CloudTrail 委派的管理員。如需委派的管理員的詳細資訊,請參閱 移除 CloudTrail 委派的管理員。
下表顯示管理帳戶、委派管理員帳戶和 AWS Organizations 組織中成員帳戶的功能。
| 功能 | 管理帳戶 | 委派管理員帳戶 | 成員帳戶 |
|---|---|---|---|
|
新增或移除委派的管理員帳戶 |
|
|
|
|
建立組織追蹤。 |
|
|
|
|
檢視組織追蹤清單。 |
|
|
|
|
更新組織追蹤。 |
|
|
|
|
刪除組織追蹤。 |
|
|
|
|
為 CloudTrail 事件或 AWS Config 組態項目建立組織事件資料存放區。 |
|
|
|
|
啟用組織事件資料存放區上的 Insights。 |
|
|
|
|
更新組織事件資料存放區。 |
|
|
|
|
在組織事件資料存放區上開始和停止事件擷取。 |
|
|
|
|
啟用組織事件資料存放區上的 Lake 查詢聯合3。 |
|
|
|
|
停用組織事件資料存放區上的 Lake 查詢聯合。 |
|
|
|
|
刪除組織事件資料存放區。 |
|
|
|
|
將追蹤事件複製到組織事件資料存放區。 |
|
|
|
|
對組織事件資料存放區執行查詢。 |
|
|
|
|
檢視組織事件資料存放區的受管儀表板。 |
|
|
|
|
啟用組織事件資料存放區的醒目提示儀表板。 |
|
|
|
|
為查詢組織事件資料存放區的自訂儀表板建立小工具。 |
|
|
|
1 委派管理員只能使用 AWS CLI 或 CloudTrail 或 API 操作來設定 CloudWatch Logs 日誌群組。 CloudTrail CreateTrail UpdateTrail 呼叫帳戶中必須存在 CloudWatch Logs 日誌群組和日誌角色。
2只有管理帳戶可以將組織追蹤或事件資料存放區轉換為帳戶層級追蹤或事件資料存放區,或將帳戶層級追蹤或事件資料存放區轉換為組織追蹤或事件資料存放區。委派的管理員不允許執行這些動作,因為組織追蹤和事件資料存放區僅存在於管理帳戶中。當組織線索或事件資料存放區轉換為帳戶層級的線索或事件資料存放區時,只有管理帳戶可以存取線索或事件資料存放區。
3只有一個委派管理員帳戶或管理帳戶可以在組織事件資料存放區上啟用聯合。其他委派管理員帳戶可以使用 Lake Formation 資料共用功能查詢和共享資訊。任何委派管理員帳戶和組織的管理帳戶都能停用聯合。
