Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Administrador delegado de la organización
<a name="cloudtrail-delegated-administrator"></a>

Cuando lo utilizas CloudTrail con una AWS Organizations organización, puedes asignar cualquier cuenta de la organización para que actúe como administrador CloudTrail delegado y gestione las rutas y los almacenes de datos de eventos de la organización en nombre de la organización. Un administrador delegado es una cuenta de miembro de una organización que puede realizar las mismas tareas administrativas (salvo que se [indique lo contrario) que](#cloudtrail-org-tasks) la cuenta de administración. CloudTrail 

Si selecciona un administrador delegado, esa cuenta de miembro tendrá permisos administrativos en todos los registros de seguimiento de la organización y los almacenes de datos de eventos de la organización. Agregar un administrador delegado no altera la administración ni el funcionamiento de los registros de seguimiento ni de los almacenes de datos de eventos de la organización.

La primera vez que se agrega un administrador delegado a la CloudTrail consola, o mediante la CloudTrail API, se CloudTrail comprueba si la AWS CLI cuenta de administración de la organización tiene una función vinculada al servicio. Si la cuenta de administración no tiene un rol vinculado al servicio, CloudTrail crea el rol vinculado al servicio para la cuenta de administración. Para obtener más información acerca de los roles vinculados a servicios, consulte [Uso de roles vinculados a servicios para CloudTrail](using-service-linked-roles.md).

**nota**  
Al añadir un administrador delegado mediante la operación AWS Organizations CLI o API, los roles CloudTrail vinculados a servicios no se crearán automáticamente si no existen. Los roles vinculados al servicio solo se crean cuando realizas una llamada desde la cuenta de administración directamente al servicio. CloudTrail Por ejemplo, cuando agregas un administrador delegado o creas un registro de la organización o un almacén de datos de eventos mediante la CloudTrail consola AWS CLI o la CloudTrail API, se crea el rol vinculado al AWSServiceRoleForCloudTrail servicio.  
Cuando añada un administrador delegado mediante la AWS CloudTrail operación CLI o API, se CloudTrail crearán tanto las funciones vinculadas al servicio como AWSServiceRoleForCloudTrail las funciones vinculadas al AWSServiceRoleForCloudTrailEventContext servicio. Para obtener más información, consulte [Uso de roles vinculados a servicios para CloudTrail](using-service-linked-roles.md)..

Tenga en cuenta los siguientes factores que definen el funcionamiento del administrador delegado. CloudTrail

**La cuenta de administración sigue siendo la propietaria de todos los recursos de la CloudTrail organización que cree el administrador delegado.**  
La cuenta de administración de la organización sigue siendo la propietaria de todos los recursos de la CloudTrail organización que cree el administrador delegado, como los almacenes de datos de rutas y eventos. Esto proporciona continuidad a la organización en el caso de que el administrador delegado cambie.

**Al eliminar una cuenta de administrador delegado, no se elimina ningún recurso de CloudTrail la organización que haya creado.**  
Los registros de la organización y los almacenes de datos de eventos creados por el administrador delegado no se eliminan al eliminar al administrador delegado, ya que la cuenta de administración siempre actúa como propietaria de los recursos de la CloudTrail organización, independientemente de si los ha creado el administrador delegado o la cuenta de administración.

**Una organización puede tener un máximo de tres CloudTrail administradores delegados.**  
Puede tener un máximo de tres administradores CloudTrail delegados por organización. Para obtener más información acerca de cómo eliminar un administrador delegado, consulte [Eliminar un administrador CloudTrail delegado](cloudtrail-remove-delegated-administrator.md).

En la siguiente tabla se muestran las capacidades de la cuenta de administración, las cuentas de administrador delegado y las cuentas que son miembros de la AWS Organizations organización.


| Capacidades  | Cuenta de administración | Cuenta de administrador delegado | Cuentas de miembros | 
| --- | --- | --- | --- | 
|  Agregar o eliminar las cuentas de administrador delegado.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Crear un registro de seguimiento de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí1  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Ver una lista de los registros de seguimiento de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  | 
|  Actualizar un registro de seguimiento de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí1, 2  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Eliminar un registro de seguimiento de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Cree un almacén de datos de eventos de la organización para CloudTrail eventos o elementos AWS Config de configuración.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Habilite Insights en un almacén de datos de eventos de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Actualizar un almacén de datos de eventos de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí2  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Iniciar o detener la ingesta de eventos en un almacén de datos de eventos de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Habilitar la federación de consultas de Lake en un almacén de datos de eventos de la organización 3.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Deshabilitar la federación de consultas de Lake en un almacén de datos de eventos de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Eliminar un almacén de datos de eventos de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Copiar eventos de registro de seguimiento en un almacén de datos de eventos de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Ejecutar consultas en almacenes de datos de eventos de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Consultar el panel administrado de un almacén de datos de eventos de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Habilitar el panel de aspectos destacados para los almacenes de datos de eventos de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 
|  Crear un widget para un panel personalizado que consulte un almacén de datos de eventos de la organización.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/success_icon.svg) Sí  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  |  ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/negative_icon.svg) No  | 

1 El administrador delegado solo puede configurar un grupo de CloudWatch registros mediante las operaciones AWS CLI o CloudTrail `CreateTrail` o de la `UpdateTrail` API. Tanto el grupo de CloudWatch registros como la función de registro deben existir en la cuenta que realiza la llamada.

2Solo la cuenta de administración puede convertir un registro de seguimiento o almacén de datos de eventos de la organización en un registro de seguimiento o almacén de datos de eventos a nivel de cuenta, o convertir un registro de seguimiento o almacén de datos de eventos a nivel de cuenta en un registro de seguimiento o almacén de datos de eventos de la organización. Estas acciones no están permitidas para el administrador delegado porque los registros de seguimiento y los almacenes de datos de eventos de la organización solo existen en la cuenta de administración. Cuando un registro de seguimiento o almacén de datos de eventos de la organización se convierte en un registro de seguimiento o almacén de datos de eventos a nivel de cuenta, solo la cuenta de administración tiene acceso al registro de seguimiento o almacén de datos de eventos.

3 Solo una cuenta de administrador delegado o la cuenta de administración pueden habilitar la federación en el almacén de datos de eventos de una organización. Otras cuentas de administrador delegado pueden consultar y compartir información mediante la [característica de uso compartido de datos de Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html). Cualquier cuenta de administrador delegado, así como la cuenta de administración de la organización, pueden deshabilitar la federación.

**Topics**
+ [

# Permisos necesarios para designar un administrador delegado
](cloudtrail-delegated-administrator-permissions.md)
+ [

# Agregue un CloudTrail administrador delegado
](cloudtrail-add-delegated-administrator.md)
+ [

# Eliminar un administrador CloudTrail delegado
](cloudtrail-remove-delegated-administrator.md)

# Permisos necesarios para designar un administrador delegado
<a name="cloudtrail-delegated-administrator-permissions"></a>

Al asignar un administrador CloudTrail delegado, debe disponer de los permisos para añadir y eliminar al administrador delegado CloudTrail, así como de determinadas acciones de AWS Organizations API y permisos de IAM que se indican en la siguiente declaración de política.

Puede agregar la siguiente instrucción al final de una política de IAM para otorgar estos permisos:

```
{
    "Sid": "Permissions",
    "Effect": "Allow",
    "Action": [
        "cloudtrail:RegisterOrganizationDelegatedAdmin",
        "cloudtrail:DeregisterOrganizationDelegatedAdmin",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator",
        "organizations:ListAWSServiceAccessForOrganization",
        "iam:CreateServiceLinkedRole",
        "iam:GetRole"
    ],
    "Resource": "*"
}
```

## Consideraciones a la hora de utilizar las claves de condición con las instrucciones de la política para los permisos del administrador delegado
<a name="cloudtrail-delegated-administrator-permissions-condition-keys-spn"></a>

Podría considerar la posibilidad de utilizar claves de condición globales de IAM al añadir declaraciones de política para añadir o eliminar al administrador delegado y así aumentar la seguridad. CloudTrail Al hacerlo, recuerde incluir los dos nombres principales de servicio (SPNs) en la condición. Por ejemplo: 

```
{
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "context.cloudtrail.amazonaws.com",
            "cloudtrail.amazonaws.com"
          ]
        }
      },
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow"
}
```

Para obtener más información, consulte [Identity and Access Management para AWS CloudTrail](security-iam.md).

# Agregue un CloudTrail administrador delegado
<a name="cloudtrail-add-delegated-administrator"></a>

Puede añadir un administrador delegado para gestionar los CloudTrail recursos de una organización, como los almacenes de datos de rutas y eventos.

Puede añadir un administrador CloudTrail delegado para su AWS organización mediante la CloudTrail consola o el. AWS CLI

Antes de agregar un administrador delegado, asegúrese de tener una cuenta en la organización y de haber iniciado sesión con la cuenta de administración de la organización. Para obtener información sobre cómo crear una AWS cuenta nueva para su organización, consulte [Crear una AWS cuenta en su organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html). Para obtener información sobre cómo invitar a una AWS cuenta existente a su organización, consulte [Invitar una AWS cuenta a unirse a su organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).

------
#### [ CloudTrail console ]

El siguiente procedimiento muestra cómo añadir un administrador CloudTrail delegado mediante la CloudTrail consola.

1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Selecciona **Configuración** en el panel de navegación izquierdo de la CloudTrail consola.

1. En la sección **Organization delegated administrators** (Administradores delegados de la organización), seleccione **Register administrator** (Registrar administrador).

1. Introduzca el ID de AWS cuenta de doce dígitos de la cuenta que desee asignar como administrador CloudTrail delegado de los almacenes de datos de senderos y eventos de la organización.

1. Elija **Register administrator** (Registrar administrador).

------
#### [ AWS CLI ]

En el siguiente ejemplo, se agrega un administrador delegado CloudTrail .

```
aws cloudtrail register-organization-delegated-admin
  --member-account-id="memberAccountId"
```

Este comando no genera ningún resultado si se utiliza correctamente.

------

# Eliminar un administrador CloudTrail delegado
<a name="cloudtrail-remove-delegated-administrator"></a>

Puede eliminar un administrador CloudTrail delegado mediante la CloudTrail consola o el. AWS CLI

------
#### [ CloudTrail console ]

El siguiente procedimiento muestra cómo eliminar un administrador CloudTrail delegado mediante la CloudTrail consola.

1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Selecciona **Configuración** en el panel de navegación izquierdo de la CloudTrail consola.

1. En la sección **Organization delegated administrators** (Administradores delegados de la organización), elija el administrador delegado que desea eliminar.

1.  Seleccione **Remove administrator** (Eliminar administrador). 

1. Confirme que desea eliminar al administrador delegado y, a continuación, seleccione **Remove administrator** (Eliminar administrador).

------
#### [ AWS CLI ]

El siguiente comando elimina un administrador CloudTrail delegado.

```
aws cloudtrail deregister-organization-delegated-admin
  --delegated-admin-account-id="delegatedAdminAccountId"
```

Este comando no genera ningún resultado si se utiliza correctamente.

------