本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 組織委派的管理員
當您將 CloudTrail 與 AWS Organizations 組織搭配使用時,您可以指派組織內的任何帳戶做為 CloudTrail 委派管理員,以代表組織管理組織的追蹤和事件資料存放區。委派管理員是組織中的成員帳戶,可以在 CloudTrail 中執行與管理帳戶相同的管理工作 ([註明](#cloudtrail-org-tasks)的除外)。
如果您選擇委派的管理員,則此成員帳戶具有組織中所有組織追蹤和事件資料存放區的管理許可。新增委派的管理員不會改變組織追蹤或事件資料存放區的管理或操作。
當您第一次在 CloudTrail 主控台中新增委派管理員,或使用 AWS CLI 或 CloudTrail API 時,CloudTrail 會檢查組織的管理帳戶是否具有服務連結角色。如果管理帳戶沒有服務連結角色,則 CloudTrail 會為管理帳戶建立服務連結角色。如需服務連結角色的詳細資訊,請參閱[使用 CloudTrail 的服務連結角色](using-service-linked-roles.md)。
**注意**
當您使用 CLI 或 API AWS Organizations 操作新增委派管理員時,如果 CloudTrail 服務連結角色不存在,則不會自動建立這些角色。只有在您直接從管理帳戶呼叫 CloudTrail 服務時,才會建立服務連結角色。例如,當您使用 CloudTrail 主控台或 CloudTrail API 新增委派管理員或建立組織追蹤 AWS CLI 或事件資料存放區時,即會建立AWSServiceRoleForCloudTrail服務連結角色。
當您使用 AWS CloudTrail;CLI 或 API 操作新增委派管理員時,CloudTrail AWSServiceRoleForCloudTrailEventContext 會同時建立 AWSServiceRoleForCloudTrail和服務連結角色。如需詳細資訊,請參閱 [使用 CloudTrail 的服務連結角色](using-service-linked-roles.md)。
請注意下列定義委派管理員如何在 CloudTrail 中運作的因素。
**管理帳戶仍然是委派管理員建立之任何 CloudTrail 組織資源的擁有者。**
組織的管理帳戶仍然是委派管理員建立之任何 CloudTrail 組織資源 (例如線索和事件資料存放區) 的擁有者。如果委派的管理員變更,這可為組織提供連續性。
**移除委派的管理員帳戶並不會刪除他們建立的任何 CloudTrail 組織資源。**
當您移除委派的管理員時,不會刪除委派的管理員建立的組織線索和事件資料存放區,因為管理帳戶始終都是 CloudTrail 組織資源的擁有者,無論這些資源是由委派的管理員還是管理帳戶所建立。
**一個組織最多可以有三個 CloudTrail 委派管理員。**
每個組織最多可以有三個 CloudTrail 委派的管理員。如需委派的管理員的詳細資訊,請參閱 [移除 CloudTrail 委派的管理員](cloudtrail-remove-delegated-administrator.md)。
下表顯示管理帳戶、委派管理員帳戶和 AWS Organizations 組織中成員帳戶的功能。
| 功能 | 管理帳戶 | 委派管理員帳戶 | 成員帳戶 |
| --- | --- | --- | --- |
| 新增或移除委派的管理員帳戶 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 建立組織追蹤。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是1 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 檢視組織追蹤清單。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 |
| 更新組織追蹤。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是1、2 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 刪除組織追蹤。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 為 CloudTrail 事件或 AWS Config 組態項目建立組織事件資料存放區。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 啟用組織事件資料存放區上的 Insights。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 更新組織事件資料存放區。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是2 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 在組織事件資料存放區上開始和停止事件擷取。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 啟用組織事件資料存放區上的 Lake 查詢聯合3。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 停用組織事件資料存放區上的 Lake 查詢聯合。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 刪除組織事件資料存放區。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 將追蹤事件複製到組織事件資料存放區。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 對組織事件資料存放區執行查詢。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 檢視組織事件資料存放區的受管儀表板。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 啟用組織事件資料存放區的醒目提示儀表板。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
| 為查詢組織事件資料存放區的自訂儀表板建立小工具。 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/negative_icon.svg) 否 |
1 委派管理員只能使用 AWS CLI 或 CloudTrail 或 API 操作來設定 CloudWatch Logs 日誌群組。 CloudTrail `CreateTrail` `UpdateTrail` 呼叫帳戶中必須存在 CloudWatch Logs 日誌群組和日誌角色。
2只有管理帳戶可以將組織追蹤或事件資料存放區轉換為帳戶層級追蹤或事件資料存放區,或將帳戶層級追蹤或事件資料存放區轉換為組織追蹤或事件資料存放區。委派的管理員不允許執行這些動作,因為組織追蹤和事件資料存放區僅存在於管理帳戶中。當組織線索或事件資料存放區轉換為帳戶層級的線索或事件資料存放區時,只有管理帳戶可以存取線索或事件資料存放區。
3只有一個委派管理員帳戶或管理帳戶可以在組織事件資料存放區上啟用聯合。其他委派管理員帳戶可以使用 [Lake Formation 資料共用功能](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html)查詢和共享資訊。任何委派管理員帳戶和組織的管理帳戶都能停用聯合。
**Topics**
+ [指派委派管理員所需的許可](cloudtrail-delegated-administrator-permissions.md)
+ [新增 CloudTrail 委派的管理員](cloudtrail-add-delegated-administrator.md)
+ [移除 CloudTrail 委派的管理員](cloudtrail-remove-delegated-administrator.md)
# 指派委派管理員所需的許可
指派 CloudTrail 委派管理員時,您必須擁有在 CloudTrail 中新增和移除委派管理員的許可,以及下列政策陳述式中列出的特定 AWS Organizations API 動作和 IAM 許可。
您可以將下列陳述式新增至現有 IAM 政策的結尾,以授與這些許可:
```
{
"Sid": "Permissions",
"Effect": "Allow",
"Action": [
"cloudtrail:RegisterOrganizationDelegatedAdmin",
"cloudtrail:DeregisterOrganizationDelegatedAdmin",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListAWSServiceAccessForOrganization",
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "*"
}
```
## 使用條件索引鍵搭配委派管理員許可的政策陳述式時的考量事項
在新增政策陳述式以新增和移除 CloudTrail 中的委派管理員時,您可以考慮使用 IAM 全域條件金鑰,以提高安全性。執行此操作時,請記得在 條件中包含兩個服務主體名稱 (SPNs)。例如:
```
{
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"context.cloudtrail.amazonaws.com",
"cloudtrail.amazonaws.com"
]
}
},
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow"
}
```
如需詳細資訊,請參閱[的 Identity and Access Management AWS CloudTrail](security-iam.md)。
# 新增 CloudTrail 委派的管理員
您可以新增委派的管理員,以管理您組織的 CloudTrail 資源,例如線索和事件資料存放區。
您可以使用 CloudTrail 主控台或 AWS CLI為您的 AWS 組織新增 CloudTrail 委派的管理員。
在您新增委派的系統管理員之前,請確定他們在您的組織中擁有帳戶,而且您使用組織的管理帳戶登入。如需有關如何為組織建立新 AWS 帳戶的資訊,請參閱[在組織中建立 AWS 帳戶](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html)。如需有關如何邀請現有 AWS 帳戶加入組織的資訊,請參閱[邀請 AWS 帳戶加入您的組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。
------
#### [ CloudTrail console ]
下列程序說明如何使用 CloudTrail 主控台新增 CloudTrail 委派的管理員。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在 CloudTrail 主控台的左側導覽窗格中選擇 **Settings** (設定)。
1. 在 **Organization delegated administrators** (組織委派的管理員) 區段,選擇 **Register administrator** (註冊管理員)。
1. 輸入您要指派為組織線索和事件資料存放區的 CloudTrail 委派管理員之帳戶的 12 位數 AWS 帳戶 ID。
1. 選擇 **Register administrator** (註冊管理員)。
------
#### [ AWS CLI ]
下列範例會新增 CloudTrail 委派的管理員。
```
aws cloudtrail register-organization-delegated-admin
--member-account-id="memberAccountId"
```
此命令如果成功就不會產生輸出。
------
# 移除 CloudTrail 委派的管理員
您可以使用 CloudTrail 主控台或 AWS CLI新增 CloudTrail 委派的管理員。
------
#### [ CloudTrail console ]
下列程序說明如何使用 CloudTrail 主控台移除 CloudTrail 委派的管理員。
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。
1. 在 CloudTrail 主控台的左側導覽窗格中選擇 **Settings** (設定)。
1. 在 **Organization delegated administrators** (組織委派的管理員) 區段,選擇您要移除的委派管理員。
1. 選擇 **Remove administrator** (移除管理員)。
1. 確認您要移除委派的管理員,然後選擇 **Remove administrator** (移除管理員)。
------
#### [ AWS CLI ]
下列命令會移除 CloudTrail 委派的管理員。
```
aws cloudtrail deregister-organization-delegated-admin
--delegated-admin-account-id="delegatedAdminAccountId"
```
此命令如果成功就不會產生輸出。
------