Permisos necesarios para designar una cuenta de GuardDuty administrador delegado - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos necesarios para designar una cuenta de GuardDuty administrador delegado

Para empezar a usar Amazon GuardDuty con AWS Organizations, la cuenta AWS Organizations de administración de la organización designa una cuenta como cuenta de GuardDuty administrador delegado. Esto se habilita GuardDuty como un servicio confiable en. AWS Organizations También habilita GuardDuty la cuenta de GuardDuty administrador delegado y también permite que la cuenta de administrador delegado active y gestione otras cuentas GuardDuty de la organización en la región actual. Para obtener información sobre cómo se conceden estos permisos, consulte Utilización AWS Organizations con otros AWS servicios.

Como cuenta de AWS Organizations administración, antes de designar la cuenta de GuardDuty administrador delegado para su organización, compruebe que puede realizar la siguiente GuardDuty acción:guardduty:EnableOrganizationAdminAccount. Esta acción le permite designar la cuenta de GuardDuty administrador delegado para su organización mediante. GuardDuty También debe asegurarse de que está autorizado a realizar las AWS Organizations acciones que le ayuden a recuperar información sobre su organización.

Para conceder estos permisos, incluye la siguiente declaración en una política AWS Identity and Access Management (IAM) de tu cuenta:

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

Si desea designar su cuenta AWS Organizations de administración como cuenta de GuardDuty administrador delegado, su cuenta también necesitará la siguiente IAM acción:CreateServiceLinkedRole. Esta acción le permite inicializar la cuenta GuardDuty de administración. Sin embargo, Consideraciones y recomendaciones para su uso con GuardDuty AWS Organizations revíselo antes de proceder a añadir los permisos.

Para continuar designando la cuenta de administración como cuenta de GuardDuty administrador delegado, añada la siguiente declaración a la IAM política y sustitúyala 111122223333 con el Cuenta de AWS ID de la cuenta de administración de su organización:

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}