Отключить редактирование / удаление определенной облачной трассы OU для совокупной учетной записи для соответствия

У меня несколько команд в одной иерархии OU и одна основная учетная запись. Каждая группа использует роль администратора в своей учетной записи, к которой прикреплена управляемая политика AdministratorAccess, чтобы предоставить им свободу управления. Я собираю журналы облачного следа со всех этих субсчетов в одну корзину s3 для группы безопасности.

Как я могу предотвратить отключение / удаление / редактирование этой конкретной облачной трассы для корзины s3 из всех командных ролей, но позволить командам по-прежнему создавать дополнительные трассы, как обычно?

Что мы исследовали:

• SCP работает для предотвращения отключения / удаления / модификации, но не позволяет командам иметь свои собственные следы
• Прикрепите политику к учетной записи Admin, а также к учетной записи AdministratorAccess, которая запрещает роли отключать / удалять / модифицировать cloudtrail, а также не позволяет самому администратору удалять эту самую политику. Я не уверен, как это сделать, хотя

TLDR; Требуется политика управления службами (= SCP), где я могу указать ресурс или аналогичный эффект.