翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
組織の委任された管理者
AWS Organizations 組織 CloudTrail で を使用すると、組織内の任意のアカウントを割り当てて、組織に代わって組織の証跡とイベントデータストアを管理する CloudTrail 委任管理者として動作させることができます。委任された管理者は、 で CloudTrail 管理アカウントと同じ管理タスク (記載されている を除く) を実行できる組織のメンバーアカウントです。
委任された管理者を選択した場合、このメンバーアカウントには組織内のすべての組織の証跡とイベントデータストアに対する管理許可が付与されます。委任された管理者を追加しても、組織の証跡やイベントデータストアの管理やオペレーションが変更されることはありません。
CloudTrail コンソールで初めて委任された管理者を追加するとき、または AWS CLI または を使用して CloudTrail API、組織の管理アカウントにサービスにリンクされたロールがあるかどうか CloudTrail をチェックします。管理アカウントにサービスにリンクされたロールがない場合、 は管理アカウントのサービスにリンクされたロール CloudTrail を作成します。サービスにリンクされたロールの詳細については、「のサービスにリンクされたロールの使用 AWS CloudTrail」を参照してください。
注記
または APIオペレーションを使用して委任管理者を追加すると AWS Organizations CLI、サービスにリンクされたロールが存在しない場合、作成されません。サービスにリンクされたロールは、 CloudTrail コンソール AWS CLI または を使用して、委任された管理者を追加したり、組織の証跡またはイベントデータストアを作成したりするなど、管理アカウントから CloudTrail サービスに直接呼び出しを行った場合にのみ作成されます CloudTrail API。
委任された管理者が でどのように動作するかを定義する以下の要素に注意してください CloudTrail。
- 管理アカウントは、委任された管理者が作成する CloudTrail 組織リソースの所有者のままです。
-
組織の管理アカウントは、証跡やイベントデータストアなど、委任管理者が作成する CloudTrail 組織リソースの所有者のままです。これにより、委任された管理者が変更された場合でも組織の継続性が保たれます。
- 委任管理者アカウントを削除しても、作成した CloudTrail 組織リソースは削除されません。
-
委任された管理者によって作成された組織の証跡とイベントデータストアは、委任された管理者を削除しても削除されません。これは、委任された管理者によって作成されたか管理アカウントによって作成されたかに関係なく、管理アカウントが常に CloudTrail 組織リソースの所有者として機能するためです。
- 組織には、最大 3 人の CloudTrail 委任された管理者を設定できます。
-
組織ごとに最大 3 人の CloudTrail 委任管理者を持つことができます。委任された管理者の削除の詳細については、「 CloudTrail 委任された管理者を削除する」を参照してください。
次の表は、管理アカウント、委任管理者アカウント、および AWS Organizations 組織内のメンバーであるアカウントの機能を示しています。
| 機能 | 管理アカウント | 委任された管理者アカウント | メンバーアカウント |
|---|---|---|---|
|
委任された管理者アカウントの追加もしくは削除。 |
あり |
いいえ |
なし |
|
組織の証跡の作成。 |
あり |
あり 1 |
なし |
|
組織の証跡の一覧の表示。 |
はい |
はい |
あり |
|
組織の証跡の更新。 |
あり |
あり1、2 |
なし |
|
組織の証跡の削除。 |
はい |
はい |
なし |
|
イベントまたは AWS Config 設定項目の組織 CloudTrail イベントデータストアを作成します。 |
はい |
はい |
なし |
|
組織のイベントデータストアでの Insights の有効化。 |
あり |
いいえ |
なし |
|
組織のイベントデータストアの更新。 |
あり |
あり2 |
なし |
|
組織イベントデータストアでの Lake クエリフェデレーションの有効化 3。 |
はい |
はい |
なし |
|
組織のイベントデータストアでの Lake クエリフェデレーションの無効化。 |
はい |
はい |
なし |
|
組織のイベントデータストアの削除。 |
はい |
はい |
なし |
|
組織のイベントデータストアへの証跡イベントのコピー。 |
あり |
いいえ |
なし |
|
組織のイベントデータストアでのクエリ実行。 |
はい |
はい |
なし |
|
組織のイベントデータストアのための Lake ダッシュボードの表示。 |
はい |
はい |
なし |
1委任管理者は、 AWS CLI または CloudTrail CreateTrail オペレーションまたは CloudWatch UpdateTrailAPIオペレーションを使用してのみ Logs ロググループを設定できます。Logs CloudWatch ロググループとログロールの両方が呼び出し元のアカウントに存在する必要があります。
2組織の証跡またはイベントデータストアをアカウントレベルの証跡またはイベントデータストアに変換したり、アカウントレベルの証跡またはイベントデータストアを組織の証跡またはイベントデータストアに変換したりできるのは、管理アカウントのみです。組織の証跡とイベントデータストアは管理アカウントにのみ存在するため、委任された管理者はこれらのアクションを実行できません。組織の証跡またはイベントデータストアがアカウントレベルの証跡またはイベントデータストアに変換されると、管理アカウントのみが証跡またはイベントデータストアにアクセスできます。
3組織のイベントデータストアでフェデレーションを有効にできるのは、委任された管理者アカウントの 1 つ、または管理アカウントだけです。他の委任管理者アカウントは、Lake Formation のデータ共有機能を使用すると、情報をクエリし共有することが可能です。組織の管理アカウントだけでなく委任された管理者アカウントも、フェデレーションを無効化することができます。
