Autorizzazioni necessarie per designare un account amministratore delegato GuardDuty - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni necessarie per designare un account amministratore delegato GuardDuty

Per iniziare a utilizzare Amazon GuardDuty con AWS Organizations, l'account di AWS Organizations gestione dell'organizzazione designa un account come account GuardDuty amministratore delegato. Ciò consente GuardDuty come servizio affidabile in. AWS Organizations Abilita inoltre GuardDuty l'account GuardDuty amministratore delegato e consente inoltre all'account amministratore delegato di abilitare e gestire GuardDuty altri account dell'organizzazione nella regione corrente. Per informazioni su come vengono concesse queste autorizzazioni, vedere Utilizzo AWS Organizations con altri servizi. AWS

Come account di AWS Organizations gestione, prima di designare l'account GuardDuty amministratore delegato per l'organizzazione, verificate di poter eseguire le seguenti GuardDuty azioni:. guardduty:EnableOrganizationAdminAccount Questa azione consente di designare l'account GuardDuty amministratore delegato per l'organizzazione utilizzando. GuardDuty È inoltre necessario assicurarsi di avere il permesso di eseguire le AWS Organizations azioni che consentono di recuperare informazioni sulla propria organizzazione.

Per concedere queste autorizzazioni, includi la seguente dichiarazione in una politica AWS Identity and Access Management (IAM) per il tuo account:

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

Se desideri designare il tuo account di AWS Organizations gestione come account GuardDuty amministratore delegato, anche il tuo account richiederà l'IAMazione:. CreateServiceLinkedRole Questa azione consente di inizializzare l'account GuardDuty di gestione. Tuttavia, controlla Considerazioni e consigli per l'utilizzo con GuardDuty AWS Organizations prima di procedere con l'aggiunta delle autorizzazioni.

Per continuare a designare l'account di gestione come account GuardDuty amministratore delegato, aggiungi la seguente dichiarazione alla politica e sostituisci IAM 111122223333 con l' Account AWS ID dell'account di gestione della tua organizzazione:

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}