Veröffentlicht am: Nov 8, 2022
AWS CloudTrail gibt heute Unterstützung für delegierte Administrator-Konten bekannt, mit denen Kunden Organisations-Trails und CloudTrail-Lake-Ereignisdatenspeicher von einem anderen Konto als dem Verwaltungskonto in AWS Organizations aus verwalten können. Mit der Unterstützung für delegierte Administratoren erhalten Kunden mehr Flexibilität, da das Verwaltungskonto administrative CloudTrail-Aktionen an ein Mitgliedskonto der Organisation delegieren kann, wie das Mitgliedskonto für Sicherheit und Protokollierung. Mit dieser Funktion bleibt das Verwaltungskonto einer Organisation der Eigentümer aller CloudTrail-Organisationsressourcen, selbst wenn diese Organisations-Trail- oder CloudTrail-Lake-Ereignisdaterspeicheressourcen über das delegierte Administratorkonto erstellt und verwaltet werden. Dadurch können Kunden die Kontinuität der organisationsweiten CloudTrail-Audit-Protokolle aufrechterhalten und jegliche Unterbrechung vermeiden, wenn in AWS Organizations Änderungen an ihrer Organisation vorgenommen werden.
Das Verwaltungskonto kann ein Mitgliedskonto als einen delegierten Administrator für CloudTrail über die Seite „Settings“ (Einstellungen) in der CloudTrail-Konsole oder über die AWS CLI oder API registrieren oder entfernen. Wenn das Verwaltungskonto ein Mitgliedskonto als einen delegierten Administrator ernennt, können Benutzer und Rollen im delegierten Administratorkonto administrative Vorgänge, wie Erstellen, Aktualisieren, Abfragen und Löschen, in den Ereignisdatenspeichern und Organisations-Trails ihrer Organisation durchführen.
Die Unterstützung für delegierte Administratoren ist in allen AWS-Regionen verfügbar, in denen AWS CloudTrail verfügbar ist, mit Ausnahme der Regionen China (Beijing, betrieben von Sinnet) und China (Ningxia, betrieben von NWCD). Für die Aktivierung dieser Funktion fallen keine zusätzlichen Gebühren an. Weitere Informationen über delegierte Administratoren in CloudTrail Lake und Trails finden Sie in unserer Dokumentation.