Izin yang diperlukan untuk menunjuk akun administrator yang didelegasikan GuardDuty - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin yang diperlukan untuk menunjuk akun administrator yang didelegasikan GuardDuty

Untuk mulai menggunakan Amazon GuardDuty dengan AWS Organizations, akun AWS Organizations manajemen untuk organisasi menetapkan akun sebagai akun GuardDuty administrator yang didelegasikan. Ini memungkinkan GuardDuty sebagai layanan tepercaya di AWS Organizations. Ini juga memungkinkan GuardDuty akun GuardDuty administrator yang didelegasikan dan juga memungkinkan akun administrator yang didelegasikan untuk mengaktifkan dan mengelola GuardDuty akun lain di organisasi di Wilayah saat ini. Untuk informasi tentang cara izin ini diberikan, lihat Menggunakan AWS Organizations dengan AWS layanan lain.

Sebagai akun AWS Organizations manajemen, sebelum Anda menetapkan akun GuardDuty administrator yang didelegasikan untuk organisasi Anda, verifikasi bahwa Anda dapat melakukan GuardDuty tindakan berikut: guardduty:EnableOrganizationAdminAccount Tindakan ini memungkinkan Anda untuk menunjuk akun GuardDuty administrator yang didelegasikan untuk organisasi Anda dengan menggunakan. GuardDuty Anda juga harus memastikan bahwa Anda diizinkan untuk melakukan AWS Organizations tindakan yang membantu Anda mengambil informasi tentang organisasi Anda.

Untuk memberikan izin ini, sertakan pernyataan berikut dalam kebijakan AWS Identity and Access Management (IAM) untuk akun Anda:

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

Jika Anda ingin menetapkan akun AWS Organizations manajemen Anda sebagai akun GuardDuty administrator yang didelegasikan, akun Anda juga akan memerlukan IAM tindakan:. CreateServiceLinkedRole Tindakan ini memungkinkan Anda untuk menginisialisasi GuardDuty untuk akun manajemen. Namun, tinjau Pertimbangan dan rekomendasi untuk digunakan dengan GuardDuty AWS Organizations sebelum Anda melanjutkan untuk menambahkan izin.

Untuk melanjutkan penunjukan akun manajemen sebagai akun GuardDuty administrator yang didelegasikan, tambahkan pernyataan berikut ke IAM kebijakan dan ganti 111122223333 dengan Akun AWS ID akun manajemen organisasi Anda:

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}