Administrateur délégué de l'organisation - AWS CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Administrateur délégué de l'organisation

Lorsque vous l'utilisez CloudTrail avec un AWS Organizations organisation, vous pouvez désigner n'importe quel compte au sein de l'organisation pour agir en tant qu'administrateur CloudTrail délégué chargé de gérer les sentiers et les magasins de données sur les événements de l'organisation pour le compte de l'organisation. Un administrateur délégué est un compte membre d'une organisation qui peut effectuer les mêmes tâches administratives (sauf indication contraire) CloudTrail que le compte de gestion.

Si vous choisissez un administrateur délégué, ce compte membre dispose d'autorisations administratives sur tous les journaux de suivi et entrepôts de données d'événement d'organisation. L'ajout d'un administrateur délégué ne modifie pas la gestion ou le fonctionnement des journaux de suivi ou des entrepôts de données d'événement de l'organisation.

La première fois que vous ajoutez un administrateur délégué dans la CloudTrail console, ou en utilisant AWS CLI ou CloudTrail API CloudTrail vérifie si le compte de gestion de l'organisation possède un rôle lié à un service. Si le compte de gestion n'a pas de rôle lié à un service, CloudTrail crée le rôle lié au service pour le compte de gestion. Pour plus d’informations sur les rôles liés à un service, consultez Utilisation de rôles liés à un service pour AWS CloudTrail.

Note

Lorsque vous ajoutez un administrateur délégué à l'aide du AWS Organizations CLIou API opération, le rôle lié au service n'est pas créé s'il n'existe pas. Le rôle lié au service n'est créé que lorsque vous passez un appel directement au CloudTrail service depuis le compte de gestion, par exemple lorsque vous ajoutez un administrateur délégué ou que vous créez un journal d'organisation ou une banque de données d'événements à l'aide de la CloudTrail console, AWS CLI ou CloudTrail API.

Prenez note des facteurs suivants qui définissent le mode de fonctionnement de l'administrateur délégué CloudTrail.

Le compte de gestion reste propriétaire de toutes les ressources de CloudTrail l'organisation créées par l'administrateur délégué.

Le compte de gestion de l'organisation reste propriétaire de toutes les ressources de CloudTrail l'organisation créées par l'administrateur délégué, telles que les sentiers et les magasins de données sur les événements. Cela assure la continuité de l'organisation en cas de changement d'administrateur délégué.

La suppression d'un compte d'administrateur délégué ne supprime aucune des ressources d' CloudTrail organisation qu'il a créées.

Les traces d'organisation et les banques de données d'événements créées par l'administrateur délégué ne sont pas supprimées lorsque vous supprimez l'administrateur délégué, car le compte de gestion est toujours le propriétaire des ressources de CloudTrail l'organisation, qu'elles soient créées par l'administrateur délégué ou par le compte de gestion.

Une organisation peut avoir un maximum de trois administrateurs CloudTrail délégués.

Vous pouvez avoir un maximum de trois administrateurs CloudTrail délégués par organisation. Pour plus d’informations sur la suppression d’un compte administrateur délégué, consultez Supprimer un administrateur CloudTrail délégué.

Le tableau suivant présente les fonctionnalités du compte de gestion, des comptes d'administrateur délégué et des comptes membres du AWS Organizations organisation.

Fonctionnalités Compte de gestion Compte administrateur délégué Comptes membres

Ajouter ou supprimer des comptes administrateur délégué.

Oui

Non

Non

Créer un journal de suivi d’organisation.

Oui

Oui 1

Non

Afficher une liste des journaux de suivi d’organisation.

Oui

Oui

Oui

Mettre à jour un journal de suivi d’organisation.

Oui

Oui 1, 2

Non

Supprimer un journal de suivi d’organisation.

Oui

Oui

Non

Créez une banque de données sur les événements d'organisation pour les CloudTrail événements ou AWS Config éléments de configuration.

Oui

Oui

Non

Activer Insights sur le magasin de données d’événement d’organisation.

Oui

Non

Non

Mettre à jour un magasin de données d’événement d’organisation.

Oui

Oui 2

Non

Activer la fédération de requêtes Lake sur un magasin de données d’événement d’organisation3.

Oui

Oui

Non

Désactiver la fédération de requêtes Lake dans un magasin de données d’événement d’organisation.

Oui

Oui

Non

Supprimer un magasin de données d’événement d’organisation.

Oui

Oui

Non

Copier des événements de journal de suivi dans un magasin de données d’événement d’organisation.

Oui

Non

Non

Exécuter des requêtes sur des magasins de données d’événement d’organisation.

Oui

Oui

Non

Afficher le tableau de bord Lake d’un magasin de données d’événement d’organisation.

Oui

Oui

Non

1 L'administrateur délégué ne peut configurer un groupe de CloudWatch journaux Logs qu'à l'aide du AWS CLI CloudTrail CreateTrailou pour UpdateTrail API des opérations. Le groupe de CloudWatch journaux et le rôle de journal doivent tous deux exister dans le compte appelant.

2 Seul le compte de gestion peut convertir un magasin de données de suivi ou d'événement d'une organisation en un magasin de données de suivi ou d'événement au niveau du compte, ou convertir un magasin de données de suivi ou d'événement au niveau du compte en un journal d'organisation ou un magasin de données d'événements. Ces actions ne sont pas autorisées pour l'administrateur délégué, car les journaux de suivi et les entrepôts de données d'événements d'organisation n'existent que dans le compte de gestion. Lorsqu'un magasin de données de suivi ou d'événement d'une organisation est converti en un magasin de données de suivi ou d'événement au niveau du compte, seul le compte de gestion a accès au magasin de données de suivi ou d'événement.

3Un seul compte administrateur délégué ou le compte de gestion peut activer la fédération dans le magasin de données d’événement d’organisation. D’autres comptes administrateur délégué peuvent interroger et partager des informations à l’aide de la fonctionnalité de partage de données de Lake Formation. Tout compte administrateur délégué ainsi que le compte de gestion de l’organisation peuvent désactiver la fédération.