Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

指定委托管理员所需的权限

在指定 CloudTrail 委托管理员时，您必须拥有在 CloudTrail 中添加和移除委托管理员的权限，以及以下策略声明中列出的某些 Amazon Organizations API 操作和 IAM 权限。

您可以将以下声明添加到 IAM policy 的末尾以授予这些权限：

{
    "Sid": "Permissions",
    "Effect": "Allow",
    "Action": [
        "cloudtrail:RegisterOrganizationDelegatedAdmin",
        "cloudtrail:DeregisterOrganizationDelegatedAdmin",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator",
        "organizations:ListAWSServiceAccessForOrganization",
        "iam:CreateServiceLinkedRole",
        "iam:GetRole"
    ],
    "Resource": "*"
}

将条件键与委派管理员权限的策略语句结合使用时的注意事项

为了增强安全性，当添加策略语句来在 CloudTrail 中添加和移除委派管理员时，您可以考虑使用 IAM 全局条件键。执行此操作时，请记得在条件中包含两个服务主体名称 (SPN)。例如：

{
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "context.cloudtrail.amazonaws.com",
            "cloudtrail.amazonaws.com"
          ]
        }
      },
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow"
}
        

有关更多信息，请参阅 适用于 Amazon CloudTrail 的 Identity and Access Management。