Administrador delegado de organização - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Administrador delegado de organização

Quando você usa CloudTrail com um AWS Organizations organização, você pode atribuir qualquer conta dentro da organização para atuar como administrador CloudTrail delegado para gerenciar as trilhas e os armazenamentos de dados de eventos da organização em nome da organização. Um administrador delegado é uma conta membro em uma organização que pode realizar as mesmas tarefas administrativas (exceto conforme indicado) na CloudTrail conta de gerenciamento.

Se você escolher um administrador delegado, essa conta-membro terá permissões administrativas em todas as trilhas da organização e os armazenamentos de dados de eventos na organização. Adicionar um administrador delegado não altera o gerenciamento ou a operação das trilhas ou dos armazenamentos de dados de eventos da organização.

Na primeira vez em que você adiciona um administrador delegado no CloudTrail console ou usando o AWS CLI ou CloudTrail API CloudTrail verifica se a conta de gerenciamento da organização tem uma função vinculada ao serviço. Se a conta de gerenciamento não tiver uma função vinculada ao serviço, CloudTrail cria a função vinculada ao serviço para a conta de gerenciamento. Para obter mais informações sobre funções vinculadas ao serviço, consulte Usando funções vinculadas a serviços para AWS CloudTrail.

nota

Quando você adiciona um administrador delegado usando o AWS Organizations CLIPara API operação, a função vinculada ao serviço não é criada se não existir. A função vinculada ao serviço só é criada quando você faz uma chamada da conta de gerenciamento diretamente para o CloudTrail serviço, como quando você adiciona um administrador delegado ou cria uma trilha da organização ou um armazenamento de dados de eventos usando o console, CloudTrail AWS CLI ou CloudTrail API.

Anote os seguintes fatores que definem como o administrador delegado opera em CloudTrail.

A conta de gerenciamento continua sendo a proprietária de todos os recursos da CloudTrail organização criados pelo administrador delegado.

A conta de gerenciamento da organização continua sendo a proprietária de todos os recursos da CloudTrail organização criados pelo administrador delegado, como trilhas e armazenamentos de dados de eventos. Isso proporciona continuidade para a organização caso o administrador delegado mude.

A remoção de uma conta de administrador delegado não exclui nenhum recurso CloudTrail da organização que eles criaram.

As trilhas da organização e os armazenamentos de dados de eventos criados pelo administrador delegado não são excluídos quando você remove o administrador delegado, porque a conta de gerenciamento sempre serve como proprietária dos recursos da CloudTrail organização, independentemente de serem criados pelo administrador delegado ou pela conta de gerenciamento.

Uma organização pode ter no máximo três administradores CloudTrail delegados.

Você pode ter no máximo três administradores CloudTrail delegados por organização. Para obter mais informações sobre a remoção de um administrador delegado, consulte Remover um CloudTrail administrador delegado.

A tabela a seguir mostra os recursos da conta de gerenciamento, das contas de administrador delegado e das contas que são membros do AWS Organizations organização.

Capacidades Conta de gerenciamento Conta de administrador delegado Contas-membro

Adicionar ou remover contas de administrador delegado.

Sim

Não

Criar uma trilha de organização.

Sim

Sim 1

Visualizar uma lista de trilhas de organização.

Sim

Sim

Sim

Atualizar uma trilha de organização.

Sim

Sim 1, 2

Excluir uma trilha de organização.

Sim

Sim

Não

Crie um armazenamento de dados de eventos da organização para CloudTrail eventos ou AWS Config itens de configuração.

Sim

Sim

Não

Habilitar o Insights em um armazenamento de dados de eventos da organização.

Sim

Não

Atualizar um armazenamento de dados de eventos da organização.

Sim

Sim 2

Habilitar a federação de consultas do Lake em um armazenamento de dados de eventos da organização3.

Sim

Sim

Não

Desabilitar a federação de consultas do Lake em um armazenamento de dados de eventos da organização.

Sim

Sim

Não

Excluir um armazenamento de dados de eventos da organização.

Sim

Sim

Não

Copiar eventos de trilhas para um armazenamento de dados de eventos da organização.

Sim

Não

Executar consultas em armazenamentos de dados de eventos da organização.

Sim

Sim

Não

Visualizar o painel do Lake para um armazenamento de dados de eventos da organização.

Sim

Sim

Não

1 O administrador delegado só pode configurar um grupo de CloudWatch registros de registros usando o AWS CLI CloudTrail CreateTrailou para UpdateTrail API operações. Tanto o grupo de CloudWatch registros de registros quanto a função de registro devem existir na conta de chamada.

2 Somente a conta de gerenciamento pode converter uma trilha da organização ou armazenamento de dados de eventos em uma trilha em nível de conta ou armazenamento de dados de eventos, ou converter um armazenamento de dados de trilhas ou eventos em nível de conta em uma trilha organizacional ou armazenamento de dados de eventos. Essas ações não são permitidas para o administrador delegado porque as trilhas e os armazenamentos de dados de eventos da organização só existem na conta de gerenciamento. Quando um armazenamento de dados de trilhas ou eventos da organização é convertido em um armazenamento de dados de trilhas ou eventos em nível de conta, somente a conta de gerenciamento tem acesso ao armazenamento de dados de trilhas ou eventos.

3Somente uma única conta de administrador delegado ou a conta de gerenciamento pode habilitar a federação em um armazenamento de dados de eventos da organização. Outras contas de administrador delegado podem consultar e compartilhar informações usando o recurso de compartilhamento de dados do Lake Formation. Qualquer conta de administrador delegado, bem como a conta de gerenciamento da organização, pode desabilitar a federação.