組織委派的管理員

當您 CloudTrail 使用 AWS Organizations 組織，您可以將組織內的任何帳戶指 CloudTrail 派為委派的管理員，以代表組織管理組織的追蹤和事件資料存放區。委派的系統管理員是組織中的成員帳戶，可以執行與管理帳戶相同的管理工作 (除非另有說明)。 CloudTrail

如果您選擇委派的管理員，則此成員帳戶具有組織中所有組織追蹤和事件資料存放區的管理許可。新增委派的管理員不會改變組織追蹤或事件資料存放區的管理或操作。

第一次在 CloudTrail 主控台中新增委派的系統管理員時，或使用 AWS CLI 或者 CloudTrail API， CloudTrail 檢查組織的管理帳戶是否具有服務連結角色。如果管理帳戶沒有服務連結角色，請為管理帳戶 CloudTrail 建立服務連結角色。如需服務連結角色的詳細資訊，請參閱使用服務連結角色 AWS CloudTrail。

注意

當您使用新增委派管理員時 AWS Organizations CLI或API操作，如果服務鏈接角色不存在，則不會創建它。只有在您從管理帳戶直接撥打服務的電話時，才會建立 CloudTrail 服務連結角色，例如當您新增委派的系統管理員，或使用 CloudTrail 主控台建立組織追蹤或事件資料存放區時， AWS CLI 或 CloudTrail API。

請注意下列定義委派管理員在中操作方式的因素 CloudTrail。

管理帳戶仍然是委派管理員建立之任何 CloudTrail 組織資源的擁有者。: 組織的管理帳戶仍然是委派管理員建立之任何 CloudTrail 組織資源的擁有者，例如追蹤和事件資料存放區。如果委派的管理員變更，這可為組織提供連續性。
移除委派的管理員帳戶並不會刪除他們建立的任何 CloudTrail 組織資源。: 當您移除委派的管理員時，不會刪除委派管理員所建立的組織追蹤記錄和事件資料存放區，因為管理帳戶一律會擔任 CloudTrail 組織資源的擁有者，無論這些資源是由委派的管理員還是管理帳戶所建立。
一個組織最多可以有三個 CloudTrail 委派管理員。: 每個組織最多可有三個 CloudTrail 委派管理員。如需委派的管理員的詳細資訊，請參閱移除 CloudTrail 委派管理員。

下表顯示管理帳戶的權能、委派管理員帳戶，以及屬於 AWS Organizations 組織。

功能	管理帳戶	委派管理員帳戶	成員帳戶
新增或移除委派的管理員帳戶	是	否	否
建立組織追蹤。	是	^是	否
檢視組織追蹤清單。	是	是	是
更新組織追蹤。	是	^{^是}	否
刪除組織追蹤。	是	是	否
為 CloudTrail 事件或建立組織事件資料存放區 AWS Config 組態項目。	是	是	否
啟用組織事件資料存放區上的 Insights。	是	否	否
更新組織事件資料存放區。	是	^是	否
啟用組織事件資料存放區上的 Lake 查詢聯合³。	是	是	否
停用組織事件資料存放區上的 Lake 查詢聯合。	是	是	否
刪除組織事件資料存放區。	是	是	否
將追蹤事件複製到組織事件資料存放區。	是	否	否
對組織事件資料存放區執行查詢。	是	是	否
檢視組織事件資料存放區的 Lake 儀表板。	是	是	否

¹ 委派的系統管理員只能使用 CloudWatch AWS CLI 或 CloudTrail CreateTrail或UpdateTrailAPI操作。 CloudWatch 記錄檔記錄群組和記錄角色都必須存在於呼叫帳戶中。

² 只有管理帳戶可以將組織追蹤或事件資料存放區轉換為帳戶層級追蹤或事件資料存放區，或將帳戶層級追蹤或事件資料存放區轉換為組織追蹤或事件資料存放區。委派的管理員不允許執行這些動作，因為組織追蹤和事件資料存放區僅存在於管理帳戶中。將組織追蹤或事件資料存放區轉換為帳戶層級追蹤或事件資料存放區時，只有管理帳戶可以存取追蹤或事件資料存放區。

³只有一個委派管理員帳戶或管理帳戶可以在組織事件資料存放區上啟用聯合。其他委派管理員帳戶可以使用 Lake Formation 資料共用功能查詢和共享資訊。任何委派管理員帳戶和組織的管理帳戶都能停用聯合。

主題

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

進行設 CloudTrail 定

指派委派管理員所需的許可