翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 委任された管理者を割り当てるために必要な許可
<a name="cloudtrail-delegated-administrator-permissions"></a>

CloudTrail の委任された管理者を割り当てるときは、CloudTrail で委任された管理者を追加および削除するための許可と、次のポリシーステートメントにリストされている特定の AWS Organizations API アクションおよび IAM の許可が必要です。

IAM ポリシーの最後に次のステートメントを追加することで、これらの許可を付与できます。

```
{
    "Sid": "Permissions",
    "Effect": "Allow",
    "Action": [
        "cloudtrail:RegisterOrganizationDelegatedAdmin",
        "cloudtrail:DeregisterOrganizationDelegatedAdmin",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator",
        "organizations:ListAWSServiceAccessForOrganization",
        "iam:CreateServiceLinkedRole",
        "iam:GetRole"
    ],
    "Resource": "*"
}
```

## 委任管理者アクセス許可のポリシーステートメントで条件キーを使用する場合の考慮事項
<a name="cloudtrail-delegated-administrator-permissions-condition-keys-spn"></a>

CloudTrail で委任された管理者を追加および削除するポリシーステートメントを追加するときは、IAM グローバル条件キーを使用してセキュリティを強化することを検討してください。その場合は、両方のサービスプリンシパル名 (SPN) を条件に含めてください。例えば、次のようになります。

```
{
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "context.cloudtrail.amazonaws.com",
            "cloudtrail.amazonaws.com"
          ]
        }
      },
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow"
}
```

詳細については、「[の Identity and Access Management AWS CloudTrail](security-iam.md)」を参照してください。