Permissões necessárias para designar uma conta de administrador delegado GuardDuty

Ao delegar uma conta de GuardDuty administrador delegado, você deve ter permissões para habilitar, bem GuardDuty como determinadas ações AWS Organizations da API. É possível adicionar a seguinte instrução ao final de uma política do IAM para conceder essas permissões:


{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

Além disso, se você quiser designar sua conta AWS Organizations de gerenciamento como a conta de GuardDuty administrador GuardDuty delegado, essa entidade precisará de CreateServiceLinkedRole permissões para inicializar. GuardDuty Para fazer isso, adicione a seguinte declaração à política do IAM e substitua 111122223333 pelo Conta da AWS ID da conta de gerenciamento da sua organização:


{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciando contas com o AWS Organizations

Designar uma conta de GuardDuty administrador delegado e gerenciar membros usando o console