本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 组织的委托管理员 在 Amazon Organizations 组织中 CloudTrail 使用时,您可以将组织内的任何账户分配为 CloudTrail 委托管理员,代表该组织管理该组织的跟踪和事件数据存储。[委派管理员是组织中的成员帐户,可以在中执行与管理帐户相同的管理任务(除非另有说明)。](#cloudtrail-org-tasks) CloudTrail 如果您选择委托管理员,则此成员账户将对组织中的所有组织跟踪和事件数据存储拥有管理权限。添加委托管理员不会该改变组织的跟踪或事件数据存储的管理或操作。 首次在 CloudTrail 控制台中或使用 Amazon CLI 或 CloudTrail API 添加委派管理员时, CloudTrail 会检查组织的管理账户是否具有服务相关角色。如果管理账户没有服务相关角色,则为管理账户 CloudTrail 创建服务相关角色。有关服务关联角色的更多信息,请参阅[将服务相关角色用于 CloudTrail](using-service-linked-roles.md)。 **注意** 使用 Amazon Organizations CLI 或 API 操作添加委托管理员时,如果 CloudTrail 服务相关角色不存在,则不会自动创建这些角色。只有当你从管理账户直接向服务拨打电话时,才会创建与 CloudTrail 服务相关的角色。例如,当您使用 CloudTrail 控制台或 CloudTrail API 添加委派管理员或创建组织跟踪 Amazon CLI 或事件数据存储时,将创建AWSServiceRoleForCloudTrail服务相关角色。 当您使用 Amazon CloudTrail; CLI 或 API 操作添加委托管理员时, CloudTrail 将同时创建AWSServiceRoleForCloudTrail和AWSServiceRoleForCloudTrailEventContext服务相关角色。有关更多信息,请参阅[将服务相关角色用于 CloudTrail](using-service-linked-roles.md)。 请注意以下因素,这些因素定义了委派管理员的操作方式 CloudTrail。 **管理账户仍然是委派管理员创建的所有 CloudTrail 组织资源的所有者。** 组织的管理账户仍然是委派管理员创建的任何 CloudTrail 组织资源的所有者,例如跟踪和事件数据存储。这可以在委托管理员发生更改时为组织提供连续性。 **移除委派管理员账户并不会删除他们创建的任何 CloudTrail 组织资源。** 移除委派管理员时,不会删除由委派管理员创建的组织跟踪和事件数据存储,因为无论 CloudTrail 组织资源是由委派的管理员还是管理账户创建的,管理账户始终充当组织资源的所有者。 **一个组织最多可以有三个 CloudTrail 授权管理员。** 每个组织最多可以有三个 CloudTrail 委派管理员。有关移除委托管理员的更多信息,请参阅[移除 CloudTrail 委派的管理员](cloudtrail-remove-delegated-administrator.md)。 下表显示了管理账户、委派管理员账户和作为 Amazon Organizations 组织成员的账户的权能。 | 功能 | 管理账户 | 委派管理员帐户 | 成员账户 | | --- | --- | --- | --- | | 添加或移除委托管理员账户。 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 | | 创建组织跟踪。 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是1 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 | | 查看组织跟踪的列表。 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | | 更新组织跟踪。 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是1、2 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 | | 删除组织跟踪。 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/negative_icon.svg)没有 | 1 委派的管理员只能使用 Amazon CLI 或 CloudTrail `CreateTrail`或 `UpdateTrail` API 操作配置 CloudWatch 日志组。调用者 CloudWatch 账户中必须同时存在日志日志组和日志角色。 2只有管理账户才能将组织跟踪或事件数据存储转换为账户级跟踪或事件数据存储,或者将账户级跟踪或事件数据存储转换为组织跟踪或事件数据存储。因为组织跟踪和事件数据存储仅存在于管理账户中,所以不允许委托管理员执行这些操作。当组织跟踪或事件数据存储转换为账户级跟踪或事件数据存储时,只有管理账户才能访问跟踪或事件数据存储。 3只有一个委托管理员账户或管理账户才能在组织事件数据存储上启用联合身份验证。其他委托管理员账户可以使用 [Lake Formation 数据共享功能](https://docs.amazonaws.cn/lake-formation/latest/dg/data-sharing-overivew.html)查询和共享信息。任何委托管理员账户以及组织的管理账户都可以禁用联合身份验证。 **Topics** + [指定委托管理员所需的权限](cloudtrail-delegated-administrator-permissions.md) + [添加 CloudTrail 委派管理员](cloudtrail-add-delegated-administrator.md) + [移除 CloudTrail 委派的管理员](cloudtrail-remove-delegated-administrator.md)