Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Delegierte Administratoren einer Organisation
Wenn Sie CloudTrail mit einem verwenden AWS Organizations Sie können jedem beliebigen Konto innerhalb der Organisation die Rolle eines CloudTrail delegierten Administrators zuweisen, der im Namen der Organisation die Trails und Event-Datenspeicher verwaltet. Ein delegierter Administrator ist ein Mitgliedskonto in einer Organisation, das dieselben Verwaltungsaufgaben (sofern nicht anders angegeben) ausführen kann CloudTrail wie das Verwaltungskonto.
Wenn Sie einen delegierten Administrator auswählen, verfügt das betreffende Mitgliedskonto über Administratorberechtigungen für alle Trails und Ereignisdatenspeicher in der Organisation. Das Hinzufügen eines delegierten Administrators hat keine Auswirkungen auf die Verwaltung oder Ausführung der Trails oder Ereignisdatenspeicher der Organisation.
Wenn Sie zum ersten Mal einen delegierten Administrator in der CloudTrail Konsole hinzufügen, oder indem Sie AWS CLI oder CloudTrail prüft CloudTrail API, ob das Verwaltungskonto der Organisation über eine dienstbezogene Rolle verfügt. Wenn das Verwaltungskonto keine dienstbezogene Rolle hat, CloudTrail erstellt es die dienstverknüpfte Rolle für das Verwaltungskonto. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS CloudTrail.
Anmerkung
Wenn Sie einen delegierten Administrator hinzufügen, indem Sie AWS Organizations CLIFür den API Vorgang wird die mit dem Dienst verknüpfte Rolle nicht erstellt, wenn sie nicht vorhanden ist. Die dienstverknüpfte Rolle wird nur erstellt, wenn Sie vom Verwaltungskonto aus einen direkten Anruf an den CloudTrail Dienst tätigen, z. B. wenn Sie einen delegierten Administrator hinzufügen oder mithilfe der Konsole einen Organisationspfad- oder Ereignisdatenspeicher erstellen. CloudTrail AWS CLI oder. CloudTrail API
Beachten Sie die folgenden Faktoren, die definieren, wie der delegierte Administrator arbeitet. CloudTrail
- Das Verwaltungskonto bleibt Eigentümer aller CloudTrail Organisationsressourcen, die der delegierte Administrator erstellt.
-
Das Verwaltungskonto der Organisation bleibt der Besitzer aller CloudTrail Organisationsressourcen, die der delegierte Administrator erstellt, wie z. B. Pfade und Ereignisdatenspeicher. Das sorgt für Kontinuität in der Organisation, falls der delegierte Administrator wechselt.
- Durch das Entfernen eines delegierten Administratorkontos werden keine vom Administrator erstellten CloudTrail Organisationsressourcen gelöscht.
-
Organisationspfade und Ereignisdatenspeicher, die vom delegierten Administrator erstellt wurden, werden nicht gelöscht, wenn Sie den delegierten Administrator entfernen, da das Verwaltungskonto immer als Besitzer der CloudTrail Organisationsressourcen fungiert, unabhängig davon, ob sie vom delegierten Administrator oder vom Verwaltungskonto erstellt wurden.
- Eine Organisation kann maximal drei CloudTrail delegierte Administratoren haben.
-
Sie können maximal drei CloudTrail delegierte Administratoren pro Organisation haben. Weitere Informationen zum Entfernen delegierter Administratoren finden Sie unter Entfernen Sie einen CloudTrail delegierten Administrator.
Die folgende Tabelle zeigt die Funktionen des Verwaltungskontos, der delegierten Administratorkonten und der Konten, die Mitglieder des AWS Organizations Organisation.
| Funktionen | Verwaltungskonto | Delegiertes Administratorkonto | Mitgliedskonten |
|---|---|---|---|
|
Delegierte Administratorkonten hinzufügen/entfernen |
|
|
|
|
Organisations-Trail erstellen |
|
|
|
|
Liste der Organisations-Trails ansehen |
|
|
|
|
Organisations-Trails aktualisieren |
|
|
|
|
Organisations-Trails löschen |
|
|
|
|
Erstellen Sie einen Organisationsereignisdatenspeicher für CloudTrail Ereignisse oder AWS Config Konfigurationselemente. |
|
|
|
|
Insights im Ereignisdatenspeicher einer Organisation aktivieren |
|
|
|
|
Ereignisdatenspeicher einer Organisation aktualisieren |
|
|
|
|
Lake-Abfrageverbund im Ereignisdatenspeicher einer Organisation aktivieren3 |
|
|
|
|
Lake-Abfrageverbund im Ereignisdatenspeicher einer Organisation deaktivieren |
|
|
|
|
Ereignisdatenspeicher einer Organisation löschen |
|
|
|
|
Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation kopieren |
|
|
|
|
Abfragen in Ereignisdatenspeichern einer Organisation ausführen |
|
|
|
|
Lake-Dashboard für den Ereignisdatenspeicher einer Organisation ansehen |
|
|
|
1 Der delegierte Administrator kann eine CloudWatch Logs-Protokollgruppe nur mithilfe des AWS CLI oder CloudTrail CreateTrail oder UpdateTrail API Operationen. Sowohl die Protokollgruppe CloudWatch Logs als auch die Log-Rolle müssen im aufrufenden Konto vorhanden sein.
2 Nur das Verwaltungskonto kann einen Pfad- oder Ereignisdatenspeicher einer Organisation in einen Trail- oder Ereignisdatenspeicher auf Kontoebene oder einen Protokoll- oder Ereignisdatenspeicher auf Kontoebene in einen Pfad- oder Ereignisdatenspeicher für Organisationen konvertieren. Diese Aktionen sind für den delegierten Administrator nicht zulässig, da Trails und Ereignisdatenspeicher von Organisationen nur im Verwaltungskonto vorhanden sind. Wenn ein Trail- oder Event-Datenspeicher einer Organisation in einen Trail- oder Event-Datenspeicher auf Kontoebene konvertiert wird, hat nur das Verwaltungskonto Zugriff auf den Trail- oder Event-Datenspeicher.
3 Nur ein einziges delegiertes Administratorkonto oder das Verwaltungskonto können den Verbund für den Ereignisdatenspeicher einer Organisation aktivieren. Andere delegierte Administratorkonten können mithilfe des Lake-Formation-Datenfreigabefeatures Informationen abfragen und austauschen. Jedes delegierte Administratorkonto sowie das Verwaltungskonto der Organisation können den Verbund deaktivieren.
Themen
