Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Administrator yang didelegasikan organisasi
Ketika Anda menggunakan CloudTrail dengan AWS Organizations organisasi, Anda dapat menetapkan akun apa pun dalam organisasi untuk bertindak sebagai administrator yang CloudTrail didelegasikan untuk mengelola jejak organisasi dan penyimpanan data acara atas nama organisasi. Administrator yang didelegasikan adalah akun anggota dalam organisasi yang dapat melakukan tugas administratif yang sama (kecuali sebagaimana disebutkan) CloudTrail sebagai akun manajemen.
Jika Anda memilih administrator yang didelegasikan, akun anggota ini memiliki izin administratif pada semua jejak organisasi dan penyimpanan data acara di organisasi. Menambahkan administrator yang didelegasikan tidak mengubah manajemen atau pengoperasian jejak organisasi atau penyimpanan data acara.
Pertama kali Anda menambahkan administrator yang didelegasikan di CloudTrail konsol, atau dengan menggunakan AWS CLI atau CloudTrail API, CloudTrail memeriksa apakah akun manajemen organisasi memiliki peran terkait layanan. Jika akun manajemen tidak memiliki peran terkait layanan, CloudTrail buat peran terkait layanan untuk akun manajemen. Untuk mengetahui informasi selengkapnya tentang peran terkait layanan, lihat Menggunakan peran terkait layanan untuk AWS CloudTrail.
catatan
Bila Anda menambahkan administrator yang didelegasikan menggunakan AWS Organizations CLIatau API operasi, peran terkait layanan tidak dibuat jika tidak ada. Peran terkait layanan hanya dibuat saat Anda melakukan panggilan dari akun manajemen langsung ke CloudTrail layanan, seperti saat Anda menambahkan administrator yang didelegasikan atau membuat jejak organisasi atau penyimpanan data peristiwa menggunakan konsol, CloudTrail AWS CLI atau CloudTrail API.
Perhatikan faktor-faktor berikut yang menentukan bagaimana administrator yang didelegasikan beroperasi CloudTrail.
- Akun manajemen tetap menjadi pemilik sumber daya CloudTrail organisasi apa pun yang dibuat oleh administrator yang didelegasikan.
-
Akun manajemen organisasi tetap menjadi pemilik sumber daya CloudTrail organisasi apa pun yang dibuat oleh administrator yang didelegasikan, seperti jejak dan penyimpanan data peristiwa. Ini memberikan kontinuitas bagi organisasi jika administrator yang didelegasikan berubah.
- Menghapus akun administrator yang didelegasikan tidak akan menghapus sumber daya CloudTrail organisasi apa pun yang mereka buat.
-
Jejak organisasi dan penyimpanan data peristiwa yang dibuat oleh administrator yang didelegasikan tidak akan dihapus saat Anda menghapus administrator yang didelegasikan, karena akun manajemen selalu berfungsi sebagai pemilik sumber daya CloudTrail organisasi terlepas dari apakah mereka dibuat oleh administrator yang didelegasikan atau akun manajemen.
- Sebuah organisasi dapat memiliki maksimal tiga administrator yang CloudTrail didelegasikan.
-
Anda dapat memiliki maksimal tiga administrator yang CloudTrail didelegasikan per organisasi. Untuk informasi selengkapnya tentang menghapus administrator yang didelegasikan, lihatMenghapus administrator yang CloudTrail didelegasikan.
Tabel berikut menunjukkan kemampuan akun manajemen, akun administrator yang didelegasikan, dan akun yang menjadi anggota dalam AWS Organizations organisasi.
| Kemampuan | Akun manajemen | Akun administrator yang didelegasikan | Akun anggota |
|---|---|---|---|
|
Menambahkan atau menghapus akun administrator yang didelegasikan. |
|
|
|
|
Buat jejak organisasi. |
|
|
|
|
Lihat daftar jejak organisasi. |
|
|
|
|
Perbarui jejak organisasi. |
|
|
|
|
Hapus jejak organisasi. |
|
|
|
|
Membuat penyimpanan data acara organisasi untuk CloudTrail acara atau AWS Config item konfigurasi. |
|
|
|
|
Aktifkan Wawasan tentang penyimpanan data acara organisasi. |
|
|
|
|
Perbarui penyimpanan data acara organisasi. |
|
|
|
|
Aktifkan federasi kueri Danau di penyimpanan data acara organisasi 3. |
|
|
|
|
Nonaktifkan federasi kueri Danau di penyimpanan data acara organisasi. |
|
|
|
|
Hapus penyimpanan data acara organisasi. |
|
|
|
|
Salin peristiwa jejak ke penyimpanan data acara organisasi. |
|
|
|
|
Jalankan kueri pada penyimpanan data acara organisasi. |
|
|
|
|
Lihat dasbor Danau untuk penyimpanan data acara organisasi. |
|
|
|
1 Administrator yang didelegasikan hanya dapat mengkonfigurasi grup CloudWatch log Log menggunakan AWS CLI CloudTrail CreateTrailatau UpdateTrail API operasi. Grup CloudWatch log Log dan peran log harus ada di akun panggilan.
2 Hanya akun manajemen yang dapat mengonversi jejak organisasi atau penyimpanan data acara ke jejak tingkat akun atau penyimpanan data acara, atau mengonversi jejak tingkat akun atau penyimpanan data acara ke jejak organisasi atau penyimpanan data acara. Tindakan ini tidak diizinkan untuk administrator yang didelegasikan karena jejak organisasi dan penyimpanan data peristiwa hanya ada di akun manajemen. Ketika jejak organisasi atau penyimpanan data peristiwa dikonversi ke jejak tingkat akun atau penyimpanan data peristiwa, hanya akun manajemen yang memiliki akses ke penyimpanan data jejak atau peristiwa.
3 Hanya satu akun administrator yang didelegasikan atau akun manajemen yang dapat mengaktifkan federasi pada penyimpanan data acara organisasi. Akun administrator lain yang didelegasikan dapat menanyakan dan berbagi informasi menggunakan fitur berbagi data Lake Formation. Setiap akun administrator yang didelegasikan serta akun manajemen organisasi dapat menonaktifkan federasi.
Topik
