本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
组织的委托管理员
当您 CloudTrail 配合使用时,可以指定 Amazon Organizations 组织内的任何账户充当 “ CloudTrail 委托管理员,以代表组织管理组织的跟踪和事件数据存储。委托管理员是组织中的成员账户,可以执行与管理账户相同的管理任务(除非另 CloudTrail 有说明)。
如果您选择委托管理员,则此成员账户将对组织中的所有组织跟踪和事件数据存储拥有管理权限。添加委托管理员不会该改变组织的跟踪或事件数据存储的管理或操作。
借助 C CloudTrail onsole、或 Cloudations CloudTrail API 首次添加委托管理员时, CloudTrail 会检查组织的管理账户是否具有服务相关角色。 Amazon CLI 如果管理账户没有服务相关角色,则为管理账户 CloudTrail 创建服务相关角色。有关服务相关角色的更多信息,请参阅将服务相关角色用于 CloudTrail。
注意
使用 Amazon Organizations CLI 或 API 操作添加委托管理员时,即 CloudTrail 便服务相关角色不存在,也不会自动创建这些角色。只有当你从管理账户直接向服务拨打电话时,才会创建与 CloudTrail 服务相关的角色。例如,添加委托管理员时,或者使用 CloudTrail 控制台、或 CloudTrail API 创建组织跟踪 Amazon CLI 或事件数据存储时,AWSServiceRoleForCloudTrail服务相关角色会创建。
使用 Amazon CloudTrail; CLI 或 API 操作添加委托管理员时, CloudTrail 将创建AWSServiceRoleForCloudTrail和AWSServiceRoleForCloudTrailEventContext服务相关角色。有关更多信息,请参阅将服务相关角色用于 CloudTrail。
请注意以下因素,它们定义了委托管理员如何操作 CloudTrail。
- 管理账户仍然是委托管理员创建的所有 CloudTrail 组织资源的拥有者。
-
组织的管理账户仍然是委托管理员创建的任何 CloudTrail 组织资源(例如跟踪和事件数据存储)的所有者。这可以在委托管理员发生更改时为组织提供连续性。
- 移除委托管理员账户不会删除他们创建的任何 CloudTrail 组织资源。
-
在您移除委托管理员时,不会删除委托管理员创建的 CloudTrail 组织跟踪和事件数据存储,因为无论,无论,管理账户始终是这些资源是由委托管理员还是管理账户创建的。
- 一个组织最多可以拥有三个 CloudTrail 委托管理员。
-
每个组织最多可以拥有三个 CloudTrail 委托管理员。有关移除委托管理员的更多信息,请参阅移除 CloudTrail 委托管理员。
下表显示了管理账户、委托管理员账户和 Amazon Organizations 组织内成员账户的功能。
| 功能 | 管理账户 | 委托管理员帐户 | 成员账户 |
|---|---|---|---|
|
添加或移除委托管理员账户。 |
|
|
|
|
创建组织跟踪。 |
|
|
|
|
查看组织跟踪的列表。 |
|
|
|
|
更新组织跟踪。 |
|
|
|
|
删除组织跟踪。 |
|
|
|
1 委派的管理员只能使用 Amazon CLI 或 CloudTrail CreateTrail或 UpdateTrail API 操作配置 CloudWatch 日志组。Lo CloudWatch gs 日志组和日志角色必须都存在于调用账户中。
2只有管理账户才能将组织跟踪或事件数据存储转换为账户级跟踪或事件数据存储,或者将账户级跟踪或事件数据存储转换为组织跟踪或事件数据存储。因为组织跟踪和事件数据存储仅存在于管理账户中,所以不允许委托管理员执行这些操作。当组织跟踪或事件数据存储转换为账户级跟踪或事件数据存储时,只有管理账户才能访问跟踪或事件数据存储。
3只有一个委托管理员账户或管理账户才能在组织事件数据存储上启用联合身份验证。其他委托管理员账户可以使用 Lake Formation 数据共享功能查询和共享信息。任何委托管理员账户以及组织的管理账户都可以禁用联合身份验证。