Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erforderliche Berechtigungen zum Zuweisen delegierter Administratoren
Wenn Sie einen CloudTrail delegierten Administrator zuweisen, müssen Sie über die Berechtigungen zum Hinzufügen und Entfernen des delegierten Administrators sowie über bestimmte AWS Organizations API-Aktionen und IAM-Berechtigungen verfügen CloudTrail, die in der folgenden Richtlinienerklärung aufgeführt sind.
Sie können die folgende Anweisung am Ende einer vorhandenen IAM-Richtlinie hinzufügen, um diese Berechtigungen zu erteilen:
{ "Sid": "Permissions", "Effect": "Allow", "Action": [ "cloudtrail:RegisterOrganizationDelegatedAdmin", "cloudtrail:DeregisterOrganizationDelegatedAdmin", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListAWSServiceAccessForOrganization", "iam:CreateServiceLinkedRole", "iam:GetRole" ], "Resource": "*" }
Überlegungen zur Verwendung von Bedingungsschlüsseln mit Richtlinienanweisungen für delegierte Administratorberechtigungen
Sie könnten erwägen, globale IAM-Bedingungsschlüssel zu verwenden, wenn Sie Richtlinienanweisungen hinzufügen, um den delegierten Administrator hinzuzufügen oder zu entfernen, um zusätzliche Sicherheit CloudTrail zu gewährleisten. Denken Sie dabei daran, beide Dienstprinzipalnamen (SPNs) in die Bedingung aufzunehmen. Beispiel:
{ "Condition": { "StringLike": { "iam:AWSServiceName": [ "context.cloudtrail.amazonaws.com", "cloudtrail.amazonaws.com" ] } }, "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow" }
Weitere Informationen finden Sie unter Identity and Access Management für AWS CloudTrail.
