组织的委托管理员 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

组织的委托管理员

在 Amazon Organizations 组织中 CloudTrail 使用时,您可以将组织内的任何账户分配为 CloudTrail 委托管理员,代表该组织管理该组织的跟踪和事件数据存储。委派管理员是组织中的成员帐户,可以在中执行与管理帐户相同的管理任务(除非另有说明)。 CloudTrail

如果您选择委托管理员,则此成员账户将对组织中的所有组织跟踪和事件数据存储拥有管理权限。添加委托管理员不会该改变组织的跟踪或事件数据存储的管理或操作。

首次在 CloudTrail 控制台中或使用 Amazon CLI 或 CloudTrail API 添加委派管理员时, CloudTrail 会检查组织的管理账户是否具有服务相关角色。如果管理账户没有服务相关角色,则为管理账户 CloudTrail 创建服务相关角色。有关服务相关角色的更多信息,请参阅将服务相关角色用于 Amazon CloudTrail

注意

使用 Amazon Organizations CLI 或 API 操作添加委派管理员时,如果服务相关角色不存在,则不会创建该角色。只有当您从管理账户直接调用服务时,才会创建 CloudTrail 服务相关角色,例如添加委派管理员或使用 CloudTrail 控制台或 CloudTrail API 创建组织跟踪或事件数据存储时。 Amazon CLI

请注意以下因素,这些因素定义了委派管理员的操作方式 CloudTrail。

管理账户仍然是委派管理员创建的所有 CloudTrail 组织资源的所有者。

组织的管理账户仍然是授权管理员创建的任何 CloudTrail 组织资源的所有者,例如跟踪和事件数据存储。这可以在委托管理员发生更改时为组织提供连续性。

移除委派管理员账户并不会删除他们创建的任何 CloudTrail 组织资源。

移除委派管理员时,不会删除由委派管理员创建的组织跟踪和事件数据存储,因为无论 CloudTrail 组织资源是由委派的管理员还是管理账户创建的,管理账户始终充当组织资源的所有者。

一个组织最多可以有三个 CloudTrail 委托管理员。

每个组织最多可以有三个 CloudTrail 委派管理员。有关移除委托管理员的更多信息,请参阅移除 CloudTrail 委派的管理员

下表显示了管理账户、委派管理员账户和作为 Amazon Organizations 组织成员的账户的权能。

功能 管理帐户 委托管理员帐户 成员账户

添加或移除委托管理员账户。

创建组织跟踪。

1

查看组织跟踪的列表。

更新组织跟踪。

1、2

删除组织跟踪。

不支持

1 委派的管理员只能使用 Amazon CLI 或 CloudTrail CreateTrailUpdateTrail API 操作配置 CloudWatch 日志组。调用者 CloudWatch 账户中必须同时存在日志日志组和日志角色。

2 只有管理账户才能将组织跟踪或事件数据存储转换为账户级跟踪或事件数据存储,或者将账户级跟踪或事件数据存储转换为组织跟踪或事件数据存储。因为组织跟踪和事件数据存储仅存在于管理账户中,所以不允许委托管理员执行这些操作。当组织跟踪或事件数据存储转换为账户级跟踪或事件数据存储时,只有管理账户才能访问跟踪或事件数据存储。

3只有一个委托管理员账户或管理账户才能在组织事件数据存储上启用联合身份验证。其他委托管理员账户可以使用 Lake Formation 数据共享功能查询和共享信息。任何委托管理员账户以及组织的管理账户都可以禁用联合身份验证。