위임된 GuardDuty 관리자 계정을 지정하는 데 필요한 권한

GuardDuty 에서 Amazon 사용을 시작하려면 조직의 AWS Organizations AWS Organizations 관리 계정에서 계정을 위임된 GuardDuty 관리자 계정으로 지정합니다. 이를 통해 GuardDuty 는 에서 신뢰할 수 있는 서비스로 활성화됩니다 AWS Organizations. 또한 GuardDuty 위임된 GuardDuty 관리자 계정을 활성화하고 위임된 관리자 계정이 현재 리전의 조직 내 GuardDuty 다른 계정을 활성화하고 관리할 수 있습니다. 이러한 권한이 부여되는 방법에 대한 자세한 내용은 다른 AWS 서비스와 함께 사용을 AWS Organizations참조하세요.

AWS Organizations 관리 계정으로 조직의 위임된 GuardDuty 관리자 계정을 지정하기 전에 다음 GuardDuty 작업을 수행할 수 있는지 확인합니다guardduty:EnableOrganizationAdminAccount. 이 작업을 사용하면 를 사용하여 조직의 위임된 GuardDuty 관리자 계정을 지정할 수 있습니다 GuardDuty. 또한 조직에 대한 정보를 검색하는 데 도움이 되는 AWS Organizations 작업을 수행할 수 있는지 확인해야 합니다.

이러한 권한을 부여하려면 계정의 AWS Identity and Access Management (IAM) 정책에 다음 문을 포함하세요.

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

AWS Organizations 관리 계정을 위임된 GuardDuty 관리자 계정으로 지정하려면 계정에 라는 IAM 작업도 필요합니다CreateServiceLinkedRole. 이 작업을 사용하면 관리 계정에 GuardDuty 대해 초기화할 수 있습니다. 그러나 권한 추가를 진행하기 GuardDuty 와 함께 를 사용하기 위한 고려 사항 및 권장 사항 AWS Organizations 전에 를 검토합니다.

관리 계정을 위임된 GuardDuty 관리자 계정으로 지정하려면 IAM 정책에 다음 문을 추가하고 바꿉니다.111122223333 조직의 관리 계정 AWS 계정 ID:

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}