发布于: Nov 8, 2022
今天,AWS CloudTrail 宣布支持委派的管理员账户,这使客户能够从 AWS Organizations 中的管理账户以外的账户管理组织跟踪和 CloudTrail Lake 事件数据存储。委派管理员支持通过允许管理账户将 CloudTrail 管理操作委派给组织成员账户(例如其安全和日志记录成员账户),为客户实现灵活性。使用此功能,即使组织跟踪或 CloudTrail Lake 事件数据存储资源是通过委派的管理员账户创建和管理的,组织的管理账户也仍然是所有 CloudTrail 组织资源的所有者。这有助于客户保持组织范围内 CloudTrail 审计日志的连续性,从而避免在 AWS Organizations 中对其组织进行更改时出现任何中断。
管理账户可以从 CloudTrail 控制台的“设置”页面或者通过 AWS CLI 或 API,以 CloudTrail 的委派管理员的身份注册或取消注册成员账户。管理账户将成员账户指定为委派管理员后,委派管理员账户中的用户和角色可以对其组织的事件数据存储和组织跟踪执行管理操作(如创建、更新、查询和删除)。