翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
組織の委任された管理者
AWS Organizations 組織で CloudTrail を使用する場合、組織内の任意のアカウントを CloudTrail の委任管理者として割り当てて、組織に代わって組織の証跡とイベントデータストアを管理できます。委任された管理者は、管理アカウントと同じ管理タスク (こちらに記載されている場合を除く) を CloudTrail で実行できる組織のメンバーアカウントです。
委任された管理者を選択した場合、このメンバーアカウントには組織内のすべての組織の証跡とイベントデータストアに対する管理許可が付与されます。委任された管理者を追加しても、組織の証跡やイベントデータストアの管理やオペレーションが変更されることはありません。
CloudTrail コンソールで、または AWS CLI または CloudTrail API を使用して初めて委任管理者を追加すると、CloudTrail は組織の管理アカウントにサービスにリンクされたロールがあるかどうかをチェックします。サービスにリンクされたロールが管理アカウントにない場合、CloudTrail は、サービスにリンクされたロールを管理アカウント用に作成します。サービスにリンクされたロールの詳細については、「のサービスにリンクされたロールの使用 AWS CloudTrail」を参照してください。
注記
CLI または API AWS Organizations オペレーションを使用して委任管理者を追加すると、サービスにリンクされたロールが存在しない場合、作成されません。サービスにリンクされたロールは、委任管理者を追加したり、CloudTrail コンソールまたは CloudTrail CloudTrail API を使用して組織の証跡またはイベントデータストアを作成したりするなど、管理アカウントから AWS CLI CloudTrail サービスに直接呼び出しを行う場合にのみ作成されます。
CloudTrail の委任された管理者が行う操作方法を定義する、次の要素に注意してください。
- 管理アカウントは、委任された管理者が作成する CloudTrail 組織リソースの所有者のままです。
-
組織の管理アカウントは、委任された管理者が作成する CloudTrail 組織リソース (証跡やイベントデータストアなど) の所有者のままです。これにより、委任された管理者が変更された場合でも組織の継続性が保たれます。
- 委任された管理者アカウントを削除しても、その管理者アカウントが作成した CloudTrail 組織リソースは削除されません。
-
委任された管理者を削除しても、その委任された管理者によって作成された組織の証跡やイベントデータストアは削除されません。これは、委任された管理者によって作成されたか、管理アカウントによって作成されたかにかかわらず、管理アカウントが常に CloudTrail 組織リソースの所有者として機能するためです。
- 1 つの組織につき、最大 3 名の CloudTrail の委任された管理者を置くことができます。
-
1 つの組織につき、最大 3 名の CloudTrail の委任された管理者を置くことができます。委任された管理者の削除の詳細については、「CloudTrail の委任された管理者を削除する」を参照してください。
次の表は、管理アカウント、委任管理者アカウント、および AWS Organizations 組織内のメンバーであるアカウントの機能を示しています。
| 機能 | 管理アカウント | 委任された管理者アカウント | メンバーアカウント |
|---|---|---|---|
|
委任された管理者アカウントの追加もしくは削除。 |
|
|
|
|
組織の証跡の作成。 |
|
|
|
|
組織の証跡の一覧の表示。 |
|
|
|
|
組織の証跡の更新。 |
|
|
|
|
組織の証跡の削除。 |
|
|
|
|
CloudTrail イベントまたは AWS Config 設定項目の組織イベントデータストアを作成します。 |
|
|
|
|
組織のイベントデータストアでの Insights の有効化。 |
|
|
|
|
組織のイベントデータストアの更新。 |
|
|
|
|
組織のイベントデータストアでイベントの取り込みを開始および停止します。 |
|
|
|
|
組織イベントデータストアでの Lake クエリフェデレーションの有効化 3。 |
|
|
|
|
組織のイベントデータストアでの Lake クエリフェデレーションの無効化。 |
|
|
|
|
組織のイベントデータストアの削除。 |
|
|
|
|
組織のイベントデータストアへの証跡イベントのコピー。 |
|
|
|
|
組織のイベントデータストアでのクエリ実行。 |
|
|
|
|
組織のイベントデータストアのマネージドダッシュボードを表示します。 |
|
|
|
|
組織のイベントデータストアの Highlights ダッシュボードを有効にします。 |
|
|
|
|
組織のイベントデータストアをクエリするカスタムダッシュボードのウィジェットを作成します。 |
|
|
|
1委任管理者は、 AWS CLI または CloudTrail または API オペレーションを使用してのみ CloudWatch Logs ロググループを設定できます。 CloudTrail CreateTrail UpdateTrail CloudWatch Logs ロググループとログロールの両方が、呼び出し元アカウントに存在している必要があります。
2 組織の証跡またはイベントデータストアをアカウントレベルの証跡またはイベントデータストアに変換したり、アカウントレベルの証跡またはイベントデータストアを組織の証跡またはイベントデータストアに変換したりできるのは管理アカウントだけです。組織の証跡とイベントデータストアは管理アカウントにのみ存在するため、委任された管理者はこれらのアクションを実行できません。組織の証跡またはイベントデータストアをアカウントレベルの証跡またはイベントデータストアに変換した場合、管理アカウントのみが証跡またはイベントデータストアにアクセスできます。
3組織のイベントデータストアでフェデレーションを有効にできるのは、委任された管理者アカウントの 1 つ、または管理アカウントだけです。他の委任管理者アカウントは、Lake Formation のデータ共有機能を使用すると、情報をクエリし共有することが可能です。組織の管理アカウントだけでなく委任された管理者アカウントも、フェデレーションを無効化することができます。
