위임된 GuardDuty 관리자 계정을 지정하는 데 필요한 권한

GuardDuty 에서 Amazon 사용을 시작하려면 조직의 AWS Organizations AWS Organizations 관리 계정이 계정을 위임된 GuardDuty 관리자 계정으로 지정합니다. 이렇게 하면 GuardDuty 가에서 신뢰할 수 있는 서비스로 활성화됩니다 AWS Organizations. 또한 위임된 GuardDuty 관리자 계정에 GuardDuty 대해를 활성화하고 위임된 관리자 계정이 현재 리전의 조직 내 다른 계정에 GuardDuty 대해를 활성화하고 관리할 수 있도록 허용합니다. 이러한 권한이 부여되는 방법에 대한 자세한 내용은 다른 AWS 서비스와 함께 사용을 AWS Organizations참조하세요.

AWS Organizations 관리 계정으로 조직의 위임된 GuardDuty 관리자 계정을 지정하기 전에 다음 GuardDuty 작업을 수행할 수 있는지 확인합니다guardduty:EnableOrganizationAdminAccount. 이 작업을 사용하면를 사용하여 조직의 위임된 GuardDuty 관리자 계정을 지정할 수 있습니다 GuardDuty. 또한 조직에 대한 정보를 검색하는 데 도움이 되는 AWS Organizations 작업을 수행할 수 있는지 확인해야 합니다.

이러한 권한을 부여하려면 계정에 대한 AWS Identity and Access Management (IAM) 정책에 다음 문을 포함시킵니다.

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

AWS Organizations 관리 계정을 위임된 GuardDuty 관리자 계정으로 지정하려면 계정에 라는 IAM 작업도 필요합니다CreateServiceLinkedRole. 이 작업을 통해 관리 계정에 GuardDuty 대해를 초기화할 수 있습니다. 그러나 권한 추가를 진행하기 전에 GuardDuty 와 함께를 사용하기 위한 고려 사항 및 권장 사항 AWS Organizations를 검토합니다.

관리 계정을 위임된 GuardDuty 관리자 계정으로 계속 지정하려면 IAM 정책에 다음 문을 추가하고를 조직 관리 계정의 AWS 계정 ID111122223333로 바꿉니다.

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}