本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
组织的委托管理员
当你 CloudTrail 与 a 一起使用时 AWS Organizations organization,您可以将组织内的任何账户分配为 CloudTrail 委托管理员,代表组织管理组织的跟踪和事件数据存储。委派管理员是组织中的成员帐户,可以在中执行与管理帐户相同的管理任务(除非另有说明)。 CloudTrail
如果您选择委托管理员,则此成员账户将对组织中的所有组织跟踪和事件数据存储拥有管理权限。添加委托管理员不会该改变组织的跟踪或事件数据存储的管理或操作。
首次在 CloudTrail 控制台中添加委派管理员时,或者使用 AWS CLI 或者 CloudTrail API, CloudTrail 检查组织的管理账户是否具有服务相关角色。如果管理账户没有服务相关角色,则为管理账户 CloudTrail 创建服务相关角色。有关服务相关角色的更多信息,请参阅将服务相关角色用于 AWS CloudTrail。
注意
当您使用添加委派管理员时 AWS Organizations CLI或API操作,如果服务相关角色不存在,则不会创建该角色。服务相关角色仅在您从管理账户直接拨打 CloudTrail 服务时创建,例如添加委派管理员或使用 CloudTrail 控制台创建组织跟踪或事件数据存储时, AWS CLI 或 CloudTrail API。
请注意以下因素,这些因素定义了委派管理员的操作方式 CloudTrail。
- 管理账户仍然是委派管理员创建的所有 CloudTrail 组织资源的所有者。
-
组织的管理账户仍然是委派管理员创建的任何 CloudTrail 组织资源的所有者,例如跟踪和事件数据存储。这可以在委托管理员发生更改时为组织提供连续性。
- 移除委派管理员账户并不会删除他们创建的任何 CloudTrail 组织资源。
-
移除委派管理员时,不会删除由委派管理员创建的组织跟踪和事件数据存储,因为无论 CloudTrail 组织资源是由委派的管理员还是管理账户创建的,管理账户始终充当组织资源的所有者。
- 一个组织最多可以有三个 CloudTrail 授权管理员。
-
每个组织最多可以有三个 CloudTrail 委派管理员。有关移除委托管理员的更多信息,请参阅移除 CloudTrail 委派的管理员。
下表显示了管理账户、委派管理员账户和作为其成员的账户的权能 AWS Organizations 组织。
| 功能 | 管理帐户 | 委托管理员帐户 | 成员账户 |
|---|---|---|---|
|
添加或移除委托管理员账户。 |
|
|
|
|
创建组织跟踪。 |
|
|
|
|
查看组织跟踪的列表。 |
|
|
|
|
更新组织跟踪。 |
|
|
|
|
删除组织跟踪。 |
|
|
|
|
为事件创建组织事件数据存储或 CloudTrail AWS Config 配置项目。 |
|
|
|
|
在组织事件数据存储上启用 Insights。 |
|
|
|
|
更新组织事件数据存储。 |
|
|
|
|
在组织事件数据存储上启用 Lake 查询联合身份验证3。 |
|
|
|
|
在组织事件数据存储上禁用 Lake 查询联合身份验证。 |
|
|
|
|
删除组织事件数据存储。 |
|
|
|
|
将跟踪事件复制到组织事件数据存储。 |
|
|
|
|
对组织事件数据存储运行查询。 |
|
|
|
|
查看组织事件数据存储的 Lake 控制面板。 |
|
|
|
1 委派的管理员只能使用配置 CloudWatch 日志日志组 AWS CLI CloudTrail CreateTrail或者我们的UpdateTrailAPI操作。调用者 CloudWatch 账户中必须同时存在日志日志组和日志角色。
2 只有管理账户才能将组织跟踪或事件数据存储转换为账户级跟踪或事件数据存储,或者将账户级跟踪或事件数据存储转换为组织跟踪或事件数据存储。因为组织跟踪和事件数据存储仅存在于管理账户中,所以不允许委托管理员执行这些操作。当组织跟踪或事件数据存储转换为账户级跟踪或事件数据存储时,只有管理账户才能访问跟踪或事件数据存储。
3只有一个委托管理员账户或管理账户才能在组织事件数据存储上启用联合身份验证。其他委托管理员账户可以使用 Lake Formation 数据共享功能查询和共享信息。任何委托管理员账户以及组织的管理账户都可以禁用联合身份验证。
