Für die Benennung eines delegierten GuardDuty Administratorkontos sind Berechtigungen erforderlich - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Für die Benennung eines delegierten GuardDuty Administratorkontos sind Berechtigungen erforderlich

Um GuardDuty mit der Nutzung von Amazon zu beginnen AWS Organizations, legt das AWS Organizations Verwaltungskonto der Organisation ein Konto als delegiertes GuardDuty Administratorkonto fest. Dies wird GuardDuty als vertrauenswürdiger Service in aktiviert. AWS Organizations Es aktiviert GuardDuty auch das delegierte GuardDuty Administratorkonto und ermöglicht es dem delegierten Administratorkonto, andere Konten in der Organisation in der aktuellen Region zu aktivieren und zu verwalten GuardDuty . Informationen darüber, wie diese Berechtigungen gewährt werden, finden Sie unter Zusammen AWS Organizations mit anderen AWS Diensten verwenden.

Bevor Sie das delegierte GuardDuty Administratorkonto für Ihre Organisation als AWS Organizations Verwaltungskonto festlegen, stellen Sie sicher, dass Sie die folgende GuardDuty Aktion ausführen können:. guardduty:EnableOrganizationAdminAccount Mit dieser Aktion können Sie das delegierte GuardDuty Administratorkonto für Ihre Organisation festlegen, indem Sie. GuardDuty Sie müssen außerdem sicherstellen, dass Sie die AWS Organizations Aktionen ausführen dürfen, mit denen Sie Informationen über Ihre Organisation abrufen können.

Um diese Berechtigungen zu gewähren, fügen Sie die folgende Aussage in eine AWS Identity and Access Management (IAM) -Richtlinie für Ihr Konto ein:

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

Wenn Sie Ihr AWS Organizations Verwaltungskonto als delegiertes GuardDuty Administratorkonto festlegen möchten, benötigt Ihr Konto auch die folgende IAM Aktion:. CreateServiceLinkedRole Mit dieser Aktion können Sie das Verwaltungskonto initialisieren GuardDuty . Überprüfen Sie dies jedoch, Überlegungen und Empfehlungen zur Verwendung mit GuardDuty AWS Organizations bevor Sie die Berechtigungen hinzufügen.

Um mit der Festlegung des Verwaltungskontos als delegiertes GuardDuty Administratorkonto fortzufahren, fügen Sie der IAM Richtlinie die folgende Erklärung hinzu und ersetzen Sie 111122223333 mit der AWS-Konto ID des Verwaltungskontos Ihrer Organisation:

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}