翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
委任された GuardDuty 管理者アカウントを指定するために必要なアクセス許可
GuardDuty で Amazon の使用を開始するには AWS Organizations、 AWS Organizations 組織の 管理アカウントは、アカウントを委任された GuardDuty 管理者アカウントとして指定します。これにより、 の信頼されたサービス GuardDuty として が有効になります。 AWS Organizations。 また、委任された GuardDuty 管理者アカウント GuardDuty に対して を有効にし、委任された管理者アカウントが現在のリージョンの組織内の他のアカウント GuardDuty に対して を有効化および管理できるようにします。これらのアクセス許可の付与方法については、「 の使用」を参照してください。 AWS Organizations 他の と AWS のサービス。
として AWS Organizations 管理アカウントは、組織の委任 GuardDuty 管理者アカウントを指定する前に、次の GuardDuty アクションを実行できることを確認します: guardduty:EnableOrganizationAdminAccount。このアクションでは、 を使用して組織の委任 GuardDuty 管理者アカウントを指定できます GuardDuty。また、 の実行が許可されていることを確認する必要があります。 AWS Organizations 組織に関する情報を取得するのに役立つ アクション。
これらのアクセス許可を付与するには、 に次のステートメントを含めます。 AWS Identity and Access Management アカウント用の (IAM) ポリシー:
{ "Sid": "PermissionsForGuardDutyAdmin", "Effect": "Allow", "Action": [ "guardduty:EnableOrganizationAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }
を指定する場合 AWS Organizations 管理アカウントを委任された GuardDuty 管理者アカウントとして使用する場合、アカウントには IAMアクションも必要ですCreateServiceLinkedRole。このアクションにより、管理アカウントの GuardDuty を初期化できます。ただし、アクセス許可を追加する GuardDuty で を使用する際の考慮事項と推奨事項 AWS Organizations前に、「」を確認してください。
管理アカウントを委任 GuardDuty 管理者アカウントとして指定し続けるには、次のステートメントをIAMポリシーに追加し、111122223333 と AWS アカウント 組織の管理アカウントの ID:
{ "Sid": "PermissionsToEnableGuardDuty" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }
