Amministratori delegati dell'organizzazione - AWS CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Amministratori delegati dell'organizzazione

Quando si utilizza CloudTrail un' AWS Organizations organizzazione, è possibile assegnare a qualsiasi account all'interno dell'organizzazione il ruolo di amministratore CloudTrail delegato per gestire i percorsi e gli archivi di dati degli eventi dell'organizzazione per conto dell'organizzazione. Un amministratore delegato è un account membro di un'organizzazione che può eseguire le stesse attività amministrative (ad eccezione di quanto indicato) dell'account di CloudTrail gestione.

Se scegli un amministratore delegato, questo account membro disporrà di autorizzazioni amministrative su tutti i percorsi e i datastore di eventi dell'organizzazione. L'aggiunta di un amministratore delegato non interrompe la gestione o il funzionamento dei percorsi o dei datastore di eventi dell'organizzazione.

La prima volta che aggiungi un amministratore delegato nella CloudTrail console o utilizzando l' CloudTrail API AWS CLI o, CloudTrail verifica se l'account di gestione dell'organizzazione ha un ruolo collegato al servizio. Se l'account di gestione non ha un ruolo collegato al servizio, CloudTrail crea il ruolo collegato al servizio per l'account di gestione. Per ulteriori informazioni sui ruoli collegati al servizio, consulta Utilizzo di ruoli collegati ai servizi per AWS CloudTrail.

Nota

Quando aggiungi un amministratore delegato utilizzando l'operazione AWS Organizations CLI o API, il ruolo collegato al servizio non viene creato se non esiste. Il ruolo collegato al servizio viene creato solo quando si effettua una chiamata dall'account di gestione direttamente al CloudTrail servizio, ad esempio quando si aggiunge un amministratore delegato o si crea un percorso organizzativo o un data store di eventi utilizzando la console o l'API. CloudTrail AWS CLI CloudTrail

Prendi nota dei seguenti fattori che definiscono il modo in cui opera l'amministratore delegato. CloudTrail

L'account di gestione rimane il proprietario di tutte le risorse CloudTrail organizzative create dall'amministratore delegato.

L'account di gestione dell'organizzazione rimane il proprietario di tutte le risorse CloudTrail organizzative create dall'amministratore delegato, come percorsi e archivi dati di eventi. Ciò garantisce continuità all'organizzazione nel caso in cui l'amministratore delegato cambi.

La rimozione di un account amministratore delegato non elimina le risorse CloudTrail dell'organizzazione da lui create.

Gli itinerari organizzativi e gli archivi dati degli eventi creati dall'amministratore delegato non vengono eliminati quando si rimuove l'amministratore delegato, poiché l'account di gestione funge sempre da proprietario delle risorse dell' CloudTrail organizzazione indipendentemente dal fatto che siano state create dall'amministratore delegato o dall'account di gestione.

Un'organizzazione può avere un massimo di tre CloudTrail amministratori delegati.

È possibile avere un massimo di tre amministratori CloudTrail delegati per organizzazione. Per ulteriori informazioni sulla rimozione di un amministratore delegato, consulta Rimuovere un amministratore CloudTrail delegato.

La tabella seguente mostra le funzionalità dell'account di gestione, degli account di amministratore delegato e degli account membri dell'organizzazione. AWS Organizations

Funzionalità Gestione dell'account Account amministratore delegato Account membri

Aggiunta o rimozione di account amministratore delegato.

No

No

Creazione di un percorso dell'organizzazione.

1

No

Visualizzazione di un elenco dei percorsi dell'organizzazione.

Aggiornamento di un percorso dell'organizzazione.

1, 2

No

Eliminazione di un percorso dell'organizzazione.

No

Crea un data store di eventi organizzativi per CloudTrail eventi o elementi AWS Config di configurazione.

No

Abilitazione di Insights in un datastore di eventi dell'organizzazione.

No

No

Aggiornamento di un datastore di eventi dell'organizzazione.

2

No

Abilitazione della federazione delle query di Data Lake in un datastore di eventi dell'organizzazione3.

No

Disabilitazione della federazione delle query di Data Lake in un datastore di eventi dell'organizzazione.

No

Eliminazione di un datastore di eventi dell'organizzazione.

No

Copia di eventi di percorso in un datastore di eventi dell'organizzazione.

No

No

Esecuzione di query sui datastore di eventi dell'organizzazione.

No

Visualizzazione del pannello di controllo di Data Lake per un datastore di eventi dell'organizzazione.

No

1 L'amministratore delegato può configurare un gruppo di log CloudWatch Logs solo utilizzando le operazioni AWS CLI or CloudTrail CreateTrail o UpdateTrail API. Nell'account chiamante devono esistere sia il gruppo di log CloudWatch Logs che il ruolo di registro.

2 Solo l'account di gestione può convertire un percorso organizzativo o un data store di eventi in un percorso a livello di account o un data store di eventi, oppure convertire un percorso a livello di account o un data store di eventi in un percorso organizzativo o un data store di eventi. Queste azioni non sono consentite all'amministratore delegato perché i percorsi organizzativi e i datastore di eventi esistono solo nell'account di gestione. Quando un data store dell'organizzazione o un data store di eventi viene convertito in un archivio dati di percorsi o eventi a livello di account, solo l'account di gestione ha accesso al data store del percorso o dell'evento.

3Solo un singolo account amministratore delegato o l'account di gestione può abilitare la federazione in un datastore di eventi dell'organizzazione. Altri account amministratore delegato possono eseguire query e condividere informazioni utilizzando la funzionalità di condivisione dei dati di Lake Formation. Qualsiasi account amministratore delegato, nonché l'account di gestione dell'organizzazione, può disabilitare la federazione.

Argomenti