翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
委任された GuardDuty 管理者アカウントを指定するために必要なアクセス許可
GuardDuty で Amazon の使用を開始するには AWS Organizations、組織の AWS Organizations 管理アカウントが、アカウントを委任された GuardDuty 管理者アカウントとして指定します。これにより、 の信頼されたサービス GuardDuty として が有効になります AWS Organizations。また、委任された GuardDuty 管理者アカウント GuardDuty に対して を有効にし、委任された管理者アカウントが現在のリージョンの組織内の他のアカウント GuardDuty に対して を有効化および管理できるようにします。これらのアクセス許可の付与方法については、「 を他の AWS OrganizationsAWS のサービスで使用する」を参照してください。
AWS Organizations 管理アカウントとして、組織の委任 GuardDuty 管理者アカウントを指定する前に、次の GuardDuty アクションを実行できることを確認します: guardduty:EnableOrganizationAdminAccount。このアクションでは、 を使用して組織の委任 GuardDuty 管理者アカウントを指定できます GuardDuty。また、組織に関する情報を取得するのに役立つ AWS Organizations アクションを実行できることを確認する必要があります。
これらのアクセス許可を付与するには、アカウントの AWS Identity and Access Management (IAM) ポリシーに次のステートメントを含めます。
{ "Sid": "PermissionsForGuardDutyAdmin", "Effect": "Allow", "Action": [ "guardduty:EnableOrganizationAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }
AWS Organizations 管理アカウントを委任された GuardDuty 管理者アカウントとして指定する場合は、アカウントにも IAMアクションが必要ですCreateServiceLinkedRole。このアクションにより、管理アカウントの GuardDuty を初期化できます。ただし、アクセス許可を追加する GuardDuty で を使用する際の考慮事項と推奨事項 AWS Organizations前に、「」を確認してください。
管理アカウントを委任 GuardDuty 管理者アカウントとして指定し続けるには、次のステートメントをIAMポリシーに追加し、111122223333 組織の管理アカウントの AWS アカウント ID を指定:
{ "Sid": "PermissionsToEnableGuardDuty" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }
