本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 指定委托管理员所需的权限
<a name="cloudtrail-delegated-administrator-permissions"></a>

分配 CloudTrail 委托管理员时，您必须拥有在中添加和删除委托管理员的权限 CloudTrail，以及以下策略声明中列出的某些 AWS Organizations API 操作和 IAM 权限。

您可以将以下声明添加到 IAM policy 的末尾以授予这些权限：

```
{
    "Sid": "Permissions",
    "Effect": "Allow",
    "Action": [
        "cloudtrail:RegisterOrganizationDelegatedAdmin",
        "cloudtrail:DeregisterOrganizationDelegatedAdmin",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator",
        "organizations:ListAWSServiceAccessForOrganization",
        "iam:CreateServiceLinkedRole",
        "iam:GetRole"
    ],
    "Resource": "*"
}
```

## 将条件键与委派管理员权限的策略语句结合使用时的注意事项
<a name="cloudtrail-delegated-administrator-permissions-condition-keys-spn"></a>

为了提高安全性，在添加策略语句时可以考虑使用 IAM 全局条件密钥来添加和删除委托管理员。 CloudTrail 执行此操作时，请记住在条件中同时包含两个服务主体名称 (SPNs)。例如：

```
{
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "context.cloudtrail.amazonaws.com",
            "cloudtrail.amazonaws.com"
          ]
        }
      },
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow"
}
```

有关更多信息，请参阅 [适用于 Identity and Access Managem AWS CloudTrail](security-iam.md)。