As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Administrador delegado de organização
Ao usar CloudTrail com uma AWS Organizations organização, você pode atribuir qualquer conta dentro da organização para atuar como administrador CloudTrail delegado para gerenciar as trilhas e os armazenamentos de dados de eventos da organização em nome da organização. Um administrador delegado é uma conta membro em uma organização que pode realizar as mesmas tarefas administrativas (exceto conforme indicado) na CloudTrail conta de gerenciamento.
Se você escolher um administrador delegado, essa conta-membro terá permissões administrativas em todas as trilhas da organização e os armazenamentos de dados de eventos na organização. Adicionar um administrador delegado não altera o gerenciamento ou a operação das trilhas ou dos armazenamentos de dados de eventos da organização.
Na primeira vez que você adiciona um administrador delegado no CloudTrail console, ou usando o AWS CLI ou CloudTrail API, CloudTrail verifica se a conta de gerenciamento da organização tem uma função vinculada ao serviço. Se a conta de gerenciamento não tiver uma função vinculada ao serviço, CloudTrail cria a função vinculada ao serviço para a conta de gerenciamento. Para obter mais informações sobre funções vinculadas ao serviço, consulte Usar funções vinculadas ao serviço do AWS CloudTrail.
nota
Quando você adiciona um administrador delegado usando a API operação AWS Organizations CLI or, a função vinculada ao serviço não é criada se não existir. A função vinculada ao serviço só é criada quando você faz uma chamada da conta de gerenciamento diretamente para o CloudTrail serviço, como quando você adiciona um administrador delegado ou cria uma trilha da organização ou um armazenamento de dados de eventos usando o CloudTrail console, ou. AWS CLI CloudTrail API
Anote os seguintes fatores que definem como o administrador delegado opera em CloudTrail.
- A conta de gerenciamento continua sendo a proprietária de todos os recursos da CloudTrail organização criados pelo administrador delegado.
-
A conta de gerenciamento da organização continua sendo a proprietária de todos os recursos da CloudTrail organização criados pelo administrador delegado, como trilhas e armazenamentos de dados de eventos. Isso proporciona continuidade para a organização caso o administrador delegado mude.
- A remoção de uma conta de administrador delegado não exclui nenhum recurso CloudTrail da organização que eles criaram.
-
As trilhas da organização e os armazenamentos de dados de eventos criados pelo administrador delegado não são excluídos quando você remove o administrador delegado, porque a conta de gerenciamento sempre serve como proprietária dos recursos da CloudTrail organização, independentemente de serem criados pelo administrador delegado ou pela conta de gerenciamento.
- Uma organização pode ter no máximo três administradores CloudTrail delegados.
-
Você pode ter no máximo três administradores CloudTrail delegados por organização. Para obter mais informações sobre a remoção de um administrador delegado, consulte Remover um CloudTrail administrador delegado.
A tabela a seguir mostra os recursos da conta de gerenciamento, das contas de administrador delegado e das contas que são membros da AWS Organizations organização.
| Capacidades | Conta de gerenciamento | Conta de administrador delegado | Contas de membros |
|---|---|---|---|
|
Adicionar ou remover contas de administrador delegado. |
|
|
|
|
Criar uma trilha de organização. |
|
|
|
|
Visualizar uma lista de trilhas de organização. |
|
|
|
|
Atualizar uma trilha de organização. |
|
|
|
|
Excluir uma trilha de organização. |
|
|
|
|
Crie um armazenamento de dados de eventos da organização para CloudTrail eventos ou itens AWS Config de configuração. |
|
|
|
|
Habilitar o Insights em um armazenamento de dados de eventos da organização. |
|
|
|
|
Atualizar um armazenamento de dados de eventos da organização. |
|
|
|
|
Inicie e interrompa a ingestão de eventos em um armazenamento de dados de eventos da organização. |
|
|
|
|
Habilitar a federação de consultas do Lake em um armazenamento de dados de eventos da organização3. |
|
|
|
|
Desabilitar a federação de consultas do Lake em um armazenamento de dados de eventos da organização. |
|
|
|
|
Excluir um armazenamento de dados de eventos da organização. |
|
|
|
|
Copiar eventos de trilhas para um armazenamento de dados de eventos da organização. |
|
|
|
|
Executar consultas em armazenamentos de dados de eventos da organização. |
|
|
|
|
Visualize um painel gerenciado para um armazenamento de dados de eventos da organização. |
|
|
|
|
Ative o painel de destaques para armazenamentos de dados de eventos da organização. |
|
|
|
|
Crie um widget para um painel personalizado que consulta um armazenamento de dados de eventos da organização. |
|
|
|
1 O administrador delegado só pode configurar um grupo de CloudWatch registros de registros usando as UpdateTrail API operações AWS CLI ou CloudTrail CreateTrail ou. Tanto o grupo de CloudWatch registros de registros quanto a função de registro devem existir na conta de chamada.
2 Somente a conta de gerenciamento pode converter uma trilha ou armazenamento de dados de eventos da organização em uma trilha ou um armazenamento de dados de eventos no nível da conta ou vice-versa. Essas ações não são permitidas para o administrador delegado porque as trilhas e os armazenamentos de dados de eventos da organização só existem na conta de gerenciamento. Quando uma trilha ou um armazenamento de dados de eventos da organização é convertido em uma trilha ou um armazenamento de dados de eventos no nível da conta, somente a conta de gerenciamento tem acesso à trilha ou ao armazenamento de dados de eventos.
3Somente uma única conta de administrador delegado ou a conta de gerenciamento pode habilitar a federação em um armazenamento de dados de eventos da organização. Outras contas de administrador delegado podem consultar e compartilhar informações usando o recurso de compartilhamento de dados do Lake Formation. Qualquer conta de administrador delegado, bem como a conta de gerenciamento da organização, pode desabilitar a federação.
Tópicos
