Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Permisos necesarios para designar un administrador delegado
Al asignar un administrador CloudTrail delegado, debe disponer de los permisos para añadir y eliminar al administrador delegado CloudTrail, así como de determinadas acciones de AWS Organizations API y permisos de IAM que se indican en la siguiente declaración de política.
Puede agregar la siguiente instrucción al final de una política de IAM para otorgar estos permisos:
```
{
"Sid": "Permissions",
"Effect": "Allow",
"Action": [
"cloudtrail:RegisterOrganizationDelegatedAdmin",
"cloudtrail:DeregisterOrganizationDelegatedAdmin",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListAWSServiceAccessForOrganization",
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "*"
}
```
## Consideraciones a la hora de utilizar las claves de condición con las instrucciones de la política para los permisos del administrador delegado
Podría considerar la posibilidad de utilizar claves de condición globales de IAM al añadir declaraciones de política para añadir o eliminar al administrador delegado y así aumentar la seguridad. CloudTrail Al hacerlo, recuerde incluir los dos nombres principales de servicio (SPNs) en la condición. Por ejemplo:
```
{
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"context.cloudtrail.amazonaws.com",
"cloudtrail.amazonaws.com"
]
}
},
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow"
}
```
Para obtener más información, consulte [Identity and Access Management para AWS CloudTrail](security-iam.md).