本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
組織委派的管理員
當您 CloudTrail 搭配 AWS Organizations 組織使用 時,您可以指派組織內的任何帳戶做為 CloudTrail 委派管理員,以代表組織管理組織的追蹤和事件資料存放區。委派管理員是組織中的成員帳戶,可執行與管理帳戶相同的管理任務 CloudTrail (除非另有說明)。
如果您選擇委派的管理員,則此成員帳戶具有組織中所有組織追蹤和事件資料存放區的管理許可。新增委派的管理員不會改變組織追蹤或事件資料存放區的管理或操作。
當您第一次在 CloudTrail 主控台中新增委派管理員,或使用 AWS CLI 或 CloudTrail API, 會 CloudTrail 檢查組織的管理帳戶是否具有服務連結角色。如果管理帳戶沒有服務連結角色, 會 CloudTrail 建立管理帳戶的服務連結角色。如需服務連結角色的詳細資訊,請參閱使用服務連結角色 AWS CloudTrail。
注意
當您使用 或 AWS Organizations CLIAPI操作新增委派管理員時,如果服務連結角色不存在,則不會建立該角色。只有在您直接從管理帳戶呼叫 CloudTrail 服務時,才會建立服務連結角色,例如當您新增委派管理員,或使用 CloudTrail 主控台建立組織追蹤或事件資料存放區時, AWS CLI 或者 CloudTrail API。
請記下下列因素,這些因素會定義委派管理員的運作方式 CloudTrail。
- 管理帳戶仍是委派管理員建立之任何 CloudTrail 組織資源的擁有者。
-
組織的管理帳戶仍然是委派管理員建立的任何 CloudTrail 組織資源的擁有者,例如線索和事件資料存放區。如果委派的管理員變更,這可為組織提供連續性。
- 移除委派的管理員帳戶不會刪除他們建立的任何 CloudTrail 組織資源。
-
當您移除委派管理員時,不會刪除委派管理員建立的組織線索和事件資料存放區,因為管理帳戶一律做為 CloudTrail 組織資源的擁有者,無論它們是由委派管理員還是管理帳戶建立。
- 組織最多可有三個 CloudTrail 委派管理員。
-
每個組織最多可以有三個 CloudTrail 委派管理員。如需委派的管理員的詳細資訊,請參閱 移除 CloudTrail 委派管理員。
下表顯示管理帳戶、委派管理員帳戶和 AWS Organizations 組織中成員帳戶的功能。
| 功能 | 管理帳戶 | 委派管理員帳戶 | 成員帳戶 |
|---|---|---|---|
|
新增或移除委派的管理員帳戶 |
|
|
|
|
建立組織追蹤。 |
|
|
|
|
檢視組織追蹤清單。 |
|
|
|
|
更新組織追蹤。 |
|
|
|
|
刪除組織追蹤。 |
|
|
|
|
為事件或 AWS Config 組態項目建立組織 CloudTrail 事件資料存放區。 |
|
|
|
|
啟用組織事件資料存放區上的 Insights。 |
|
|
|
|
更新組織事件資料存放區。 |
|
|
|
|
在組織事件資料存放區上開始和停止事件擷取。 |
|
|
|
|
啟用組織事件資料存放區上的 Lake 查詢聯合3。 |
|
|
|
|
停用組織事件資料存放區上的 Lake 查詢聯合。 |
|
|
|
|
刪除組織事件資料存放區。 |
|
|
|
|
將追蹤事件複製到組織事件資料存放區。 |
|
|
|
|
對組織事件資料存放區執行查詢。 |
|
|
|
|
檢視組織事件資料存放區的受管儀表板。 |
|
|
|
|
啟用組織事件資料存放區的醒目提示儀表板。 |
|
|
|
|
為查詢組織事件資料存放區的自訂儀表板建立小工具。 |
|
|
|
1委派管理員只能使用 AWS CLI 或 CloudTrail CreateTrail 或 UpdateTrailAPI操作來設定 CloudWatch 日誌日誌群組。 CloudWatch Logs 日誌群組和日誌角色都必須存在於呼叫帳戶中。
2只有管理帳戶可以將組織追蹤或事件資料存放區轉換為帳戶層級追蹤或事件資料存放區,或將帳戶層級追蹤或事件資料存放區轉換為組織追蹤或事件資料存放區。委派的管理員不允許執行這些動作,因為組織追蹤和事件資料存放區僅存在於管理帳戶中。當組織線索或事件資料存放區轉換為帳戶層級的線索或事件資料存放區時,只有管理帳戶可以存取線索或事件資料存放區。
3只有一個委派管理員帳戶或管理帳戶可以在組織事件資料存放區上啟用聯合。其他委派管理員帳戶可以使用 Lake Formation 資料共用功能查詢和共享資訊。任何委派管理員帳戶和組織的管理帳戶都能停用聯合。
