Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Delegierte Administratoren einer Organisation
Wenn Sie die Software CloudTrail zusammen mit einer AWS Organizations Organisation verwenden, können Sie jedem Konto innerhalb der Organisation die Rolle eines CloudTrail delegierten Administrators zuweisen, der die Trails und Event-Datenspeicher der Organisation im Namen der Organisation verwaltet. Ein delegierter Administrator ist ein Mitgliedskonto in einer Organisation, das dieselben Verwaltungsaufgaben (sofern nicht anders angegeben) ausführen kann CloudTrail wie das Verwaltungskonto.
Wenn Sie einen delegierten Administrator auswählen, verfügt das betreffende Mitgliedskonto über Administratorberechtigungen für alle Trails und Ereignisdatenspeicher in der Organisation. Das Hinzufügen eines delegierten Administrators hat keine Auswirkungen auf die Verwaltung oder Ausführung der Trails oder Ereignisdatenspeicher der Organisation.
Beim ersten Hinzufügen eines delegierten Administrators in der CloudTrail Konsole oder mithilfe von oder wird CloudTrail geprüft CloudTrail API, ob das AWS CLI Verwaltungskonto der Organisation eine dienstbezogene Rolle hat. Wenn das Verwaltungskonto keine dienstbezogene Rolle hat, CloudTrail erstellt es die dienstverknüpfte Rolle für das Verwaltungskonto. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS CloudTrail.
Anmerkung
Wenn Sie einen delegierten Administrator mithilfe der API Operation AWS Organizations CLI oder hinzufügen, wird die dienstbezogene Rolle nicht erstellt, sofern sie nicht vorhanden ist. Die dienstverknüpfte Rolle wird nur erstellt, wenn Sie vom Verwaltungskonto aus einen direkten Anruf an den CloudTrail Dienst tätigen, z. B. wenn Sie einen delegierten Administrator hinzufügen oder mithilfe der Konsole einen Organisationspfad- oder Ereignisdatenspeicher erstellen, oder. CloudTrail AWS CLI CloudTrail API
Beachten Sie die folgenden Faktoren, die die Arbeitsweise des delegierten Administrators definieren. CloudTrail
- Das Verwaltungskonto bleibt Eigentümer aller CloudTrail Organisationsressourcen, die der delegierte Administrator erstellt.
-
Das Verwaltungskonto der Organisation bleibt der Besitzer aller CloudTrail Organisationsressourcen, die der delegierte Administrator erstellt, wie z. B. Pfade und Ereignisdatenspeicher. Das sorgt für Kontinuität in der Organisation, falls der delegierte Administrator wechselt.
- Durch das Entfernen eines delegierten Administratorkontos werden keine vom Administrator erstellten CloudTrail Organisationsressourcen gelöscht.
-
Organisationspfade und Ereignisdatenspeicher, die vom delegierten Administrator erstellt wurden, werden nicht gelöscht, wenn Sie den delegierten Administrator entfernen, da das Verwaltungskonto immer als Besitzer der CloudTrail Organisationsressourcen fungiert, unabhängig davon, ob sie vom delegierten Administrator oder vom Verwaltungskonto erstellt wurden.
- Eine Organisation kann maximal drei CloudTrail delegierte Administratoren haben.
-
Sie können maximal drei CloudTrail delegierte Administratoren pro Organisation haben. Weitere Informationen zum Entfernen delegierter Administratoren finden Sie unter Entfernen Sie einen CloudTrail delegierten Administrator.
Die folgende Tabelle zeigt die Funktionen des Verwaltungskontos, der delegierten Administratorkonten und der Konten, die Mitglieder der AWS Organizations Organisation sind.
| Funktionen | Verwaltungskonto | Delegiertes Administratorkonto | Mitgliedskonten |
|---|---|---|---|
|
Delegierte Administratorkonten hinzufügen/entfernen |
|
|
|
|
Organisations-Trail erstellen |
|
|
|
|
Liste der Organisations-Trails ansehen |
|
|
|
|
Organisations-Trails aktualisieren |
|
|
|
|
Organisations-Trails löschen |
|
|
|
|
Erstellen Sie einen Organisationsereignisdatenspeicher für CloudTrail Ereignisse oder AWS Config Konfigurationselemente. |
|
|
|
|
Insights im Ereignisdatenspeicher einer Organisation aktivieren |
|
|
|
|
Ereignisdatenspeicher einer Organisation aktualisieren |
|
|
|
|
Startet und stoppt die Erfassung von Ereignissen in einem Ereignisdatenspeicher einer Organisation. |
|
|
|
|
Lake-Abfrageverbund im Ereignisdatenspeicher einer Organisation aktivieren3 |
|
|
|
|
Lake-Abfrageverbund im Ereignisdatenspeicher einer Organisation deaktivieren |
|
|
|
|
Ereignisdatenspeicher einer Organisation löschen |
|
|
|
|
Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation kopieren |
|
|
|
|
Abfragen in Ereignisdatenspeichern einer Organisation ausführen |
|
|
|
|
Zeigen Sie ein verwaltetes Dashboard für den Ereignisdatenspeicher einer Organisation an. |
|
|
|
|
Aktivieren Sie das Highlights-Dashboard für Datenspeicher von Organisationsereignissen. |
|
|
|
|
Erstellen Sie ein Widget für ein benutzerdefiniertes Dashboard, das den Datenspeicher eines Organisationsereignisses abfragt. |
|
|
|
1 Der delegierte Administrator kann eine CloudWatch Logs-Protokollgruppe nur mithilfe der UpdateTrail API Operationen AWS CLI oder CloudTrail CreateTrail oder konfigurieren. Sowohl die Protokollgruppe CloudWatch Logs als auch die Log-Rolle müssen im aufrufenden Konto vorhanden sein.
2 Nur das Verwaltungskonto kann einen Pfad- oder Ereignisdatenspeicher einer Organisation in einen Trail- oder Ereignisdatenspeicher auf Kontoebene oder einen Protokoll- oder Ereignisdatenspeicher auf Kontoebene in einen Pfad- oder Ereignisdatenspeicher für Organisationen konvertieren. Diese Aktionen sind für den delegierten Administrator nicht zulässig, da Trails und Ereignisdatenspeicher von Organisationen nur im Verwaltungskonto vorhanden sind. Wenn ein Trail- oder Event-Datenspeicher einer Organisation in einen Trail- oder Event-Datenspeicher auf Kontoebene konvertiert wird, hat nur das Verwaltungskonto Zugriff auf den Trail- oder Event-Datenspeicher.
3 Nur ein einziges delegiertes Administratorkonto oder das Verwaltungskonto können den Verbund für den Ereignisdatenspeicher einer Organisation aktivieren. Andere delegierte Administratorkonten können mithilfe des Lake-Formation-Datenfreigabefeatures Informationen abfragen und austauschen. Jedes delegierte Administratorkonto sowie das Verwaltungskonto der Organisation können den Verbund deaktivieren.
Themen
