Autorisations requises pour désigner un compte d' GuardDuty administrateur délégué - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations requises pour désigner un compte d' GuardDuty administrateur délégué

Pour commencer à utiliser Amazon GuardDuty AWS Organizations, le compte AWS Organizations de gestion de l'organisation désigne un compte en tant que compte d' GuardDuty administrateur délégué. Cela permet GuardDuty en tant que service fiable de AWS Organizations. Il active également le compte GuardDuty d' GuardDuty administrateur délégué et permet également au compte d'administrateur délégué d'activer et de gérer GuardDuty d'autres comptes de l'organisation dans la région actuelle. Pour plus d'informations sur la manière dont ces autorisations sont accordées, voir Utilisation AWS Organizations avec d'autres AWS services.

En tant que compte de AWS Organizations gestion, avant de désigner le compte d' GuardDuty administrateur délégué pour votre organisation, vérifiez que vous pouvez effectuer l' GuardDuty action suivante :guardduty:EnableOrganizationAdminAccount. Cette action vous permet de désigner le compte d' GuardDuty administrateur délégué pour votre organisation en utilisant GuardDuty. Vous devez également vous assurer que vous êtes autorisé à effectuer les AWS Organizations actions qui vous aident à récupérer des informations sur votre organisation.

Pour accorder ces autorisations, incluez la déclaration suivante dans une politique AWS Identity and Access Management (IAM) pour votre compte :

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

Si vous souhaitez désigner votre compte AWS Organizations de gestion comme compte d' GuardDuty administrateur délégué, votre compte aura également besoin de l'IAMaction :CreateServiceLinkedRole. Cette action vous permet d'initialiser le compte GuardDuty de gestion. Cependant, vérifiez Considérations et recommandations d'utilisation GuardDuty avec AWS Organizations avant de procéder à l'ajout des autorisations.

Pour continuer à désigner le compte de gestion comme compte d' GuardDuty administrateur délégué, ajoutez la déclaration suivante à la IAM politique et 111122223333 remplacez-la par l' Compte AWS ID du compte de gestion de votre organisation :

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}