Izin yang diperlukan untuk menunjuk akun administrator yang didelegasikan GuardDuty

Saat mendelegasikan akun GuardDuty administrator yang didelegasikan, Anda harus memiliki izin untuk mengaktifkan GuardDuty serta tindakan tertentu. AWS Organizations API Anda dapat menambahkan pernyataan berikut di akhir IAM kebijakan untuk memberikan izin ini:


{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

Selain itu, jika Anda ingin menetapkan akun AWS Organizations manajemen Anda sebagai akun GuardDuty administrator yang GuardDuty didelegasikan, entitas tersebut akan memerlukan CreateServiceLinkedRole izin untuk menginisialisasi. GuardDuty Untuk melakukan ini, tambahkan pernyataan berikut ke IAM kebijakan dan ganti 111122223333 dengan Akun AWS ID akun manajemen organisasi Anda:


{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengelola akun dengan AWS Organizations

Menunjuk akun GuardDuty administrator yang didelegasikan dan mengelola anggota menggunakan konsol