Delegierte Administratoren einer Organisation

Wenn Sie die Software CloudTrail zusammen mit einer AWS Organizations Organisation verwenden, können Sie jedem Konto innerhalb der Organisation die Rolle eines CloudTrail delegierten Administrators zuweisen, der die Trails und Event-Datenspeicher der Organisation im Namen der Organisation verwaltet. Ein delegierter Administrator ist ein Mitgliedskonto in einer Organisation, das dieselben Verwaltungsaufgaben (sofern nicht anders angegeben) ausführen kann CloudTrail wie das Verwaltungskonto.

Wenn Sie einen delegierten Administrator auswählen, verfügt das betreffende Mitgliedskonto über Administratorberechtigungen für alle Trails und Ereignisdatenspeicher in der Organisation. Das Hinzufügen eines delegierten Administrators hat keine Auswirkungen auf die Verwaltung oder Ausführung der Trails oder Ereignisdatenspeicher der Organisation.

Wenn Sie zum ersten Mal einen delegierten Administrator in der CloudTrail Konsole oder mithilfe der CloudTrail API AWS CLI oder hinzufügen, wird CloudTrail geprüft, ob das Verwaltungskonto der Organisation eine dienstbezogene Rolle hat. Wenn das Verwaltungskonto keine dienstbezogene Rolle hat, CloudTrail erstellt es die dienstverknüpfte Rolle für das Verwaltungskonto. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS CloudTrail.

Anmerkung

Wenn Sie einen delegierten Administrator mithilfe der AWS Organizations CLI- oder API-Operation hinzufügen, wird die dienstverknüpfte Rolle nicht erstellt, wenn sie nicht existiert. Die dienstverknüpfte Rolle wird nur erstellt, wenn Sie vom Verwaltungskonto aus einen direkten Anruf an den CloudTrail Service tätigen, z. B. wenn Sie einen delegierten Administrator hinzufügen oder mithilfe der CloudTrail Konsole oder API einen Organization Trail- oder Event-Datenspeicher erstellen. AWS CLI CloudTrail

Beachten Sie die folgenden Faktoren, die definieren, wie der delegierte Administrator arbeitet. CloudTrail

Das Verwaltungskonto bleibt Eigentümer aller CloudTrail Organisationsressourcen, die der delegierte Administrator erstellt.

Das Verwaltungskonto der Organisation bleibt der Besitzer aller CloudTrail Organisationsressourcen, die der delegierte Administrator erstellt, wie z. B. Pfade und Ereignisdatenspeicher. Das sorgt für Kontinuität in der Organisation, falls der delegierte Administrator wechselt.

Durch das Entfernen eines delegierten Administratorkontos werden keine vom Administrator erstellten CloudTrail Organisationsressourcen gelöscht.

Organisationspfade und Ereignisdatenspeicher, die vom delegierten Administrator erstellt wurden, werden nicht gelöscht, wenn Sie den delegierten Administrator entfernen, da das Verwaltungskonto immer als Besitzer der CloudTrail Organisationsressourcen fungiert, unabhängig davon, ob sie vom delegierten Administrator oder vom Verwaltungskonto erstellt wurden.

Eine Organisation kann maximal drei CloudTrail delegierte Administratoren haben.

Sie können maximal drei CloudTrail delegierte Administratoren pro Organisation haben. Weitere Informationen zum Entfernen delegierter Administratoren finden Sie unter Entfernen Sie einen CloudTrail delegierten Administrator.

Die folgende Tabelle zeigt die Funktionen des Verwaltungskontos, der delegierten Administratorkonten und der Konten, die Mitglieder der AWS Organizations Organisation sind.

Funktionen	Verwaltungskonto	Delegiertes Administratorkonto	Mitgliedskonten
Delegierte Administratorkonten hinzufügen/entfernen	Ja	Nein	Nein
Organisations-Trail erstellen	Ja	Ja1	Nein
Liste der Organisations-Trails ansehen	Ja	Ja	Ja
Organisations-Trails aktualisieren	Ja	Ja1, 2	Nein
Organisations-Trails löschen	Ja	Ja	Nein
Erstellen Sie einen Organisationsereignisdatenspeicher für CloudTrail Ereignisse oder AWS Config Konfigurationselemente.	Ja	Ja	Nein
Insights im Ereignisdatenspeicher einer Organisation aktivieren	Ja	Nein	Nein
Ereignisdatenspeicher einer Organisation aktualisieren	Ja	Ja2	Nein
Lake-Abfrageverbund im Ereignisdatenspeicher einer Organisation aktivieren3	Ja	Ja	Nein
Lake-Abfrageverbund im Ereignisdatenspeicher einer Organisation deaktivieren	Ja	Ja	Nein
Ereignisdatenspeicher einer Organisation löschen	Ja	Ja	Nein
Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation kopieren	Ja	Nein	Nein
Abfragen in Ereignisdatenspeichern einer Organisation ausführen	Ja	Ja	Nein
Lake-Dashboard für den Ereignisdatenspeicher einer Organisation ansehen	Ja	Ja	Nein

¹ Der delegierte Administrator kann eine CloudWatch Logs-Protokollgruppe nur mithilfe der UpdateTrail API-Operationen AWS CLI oder CloudTrail CreateTrail oder konfigurieren. Sowohl die CloudWatch Logs-Log-Gruppe als auch die Log-Rolle müssen im aufrufenden Konto vorhanden sein.

² Nur das Verwaltungskonto kann einen Pfad- oder Ereignisdatenspeicher einer Organisation in einen Trail- oder Ereignisdatenspeicher auf Kontoebene oder einen Protokoll- oder Ereignisdatenspeicher auf Kontoebene in einen Pfad- oder Ereignisdatenspeicher für Organisationen konvertieren. Diese Aktionen sind für den delegierten Administrator nicht zulässig, da Trails und Ereignisdatenspeicher von Organisationen nur im Verwaltungskonto vorhanden sind. Wenn ein Trail- oder Event-Datenspeicher einer Organisation in einen Trail- oder Event-Datenspeicher auf Kontoebene konvertiert wird, hat nur das Verwaltungskonto Zugriff auf den Trail- oder Event-Datenspeicher.

³ Nur ein einziges delegiertes Administratorkonto oder das Verwaltungskonto können den Verbund für den Ereignisdatenspeicher einer Organisation aktivieren. Andere delegierte Administratorkonten können mithilfe des Lake-Formation-Datenfreigabefeatures Informationen abfragen und austauschen. Jedes delegierte Administratorkonto sowie das Verwaltungskonto der Organisation können den Verbund deaktivieren.

Themen

• Erforderliche Berechtigungen zum Zuweisen delegierter Administratoren
• Fügen Sie einen delegierten Administrator hinzu CloudTrail
• Entfernen Sie einen CloudTrail delegierten Administrator