指定委派 GuardDuty 管理员账号所需的权限

要开始 GuardDuty 使用 Amazon AWS Organizations，该组织的 AWS Organizations 管理账户会将一个账户指定为委托 GuardDuty 管理员账户。这可以 GuardDuty 作为可信的服务在中启用 AWS Organizations。它还 GuardDuty 支持委派 GuardDuty 管理员账户，还允许委派管理员账户启用和管理 GuardDuty 当前区域组织中的其他账户。有关如何授予这些权限的信息，请参阅与其他 AWS 服务 AWS Organizations 一起使用。

作为 AWS Organizations 管理账户，在为组织指定委派 GuardDuty 管理员账户之前，请确认您可以执行以下 GuardDuty 操作：guardduty:EnableOrganizationAdminAccount。此操作允许您使用为您的组织指定委派 GuardDuty 管理员帐户 GuardDuty。您还必须确保允许您执行有助于检索组织信息的 AWS Organizations 操作。

要授予这些权限，请在账户的 AWS Identity and Access Management (IAM) 策略中加入以下声明：

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

如果您想将自己的 AWS Organizations 管理账号指定为委派 GuardDuty 管理员账号，您的账户还需要IAM执行以下操作：CreateServiceLinkedRole。此操作允许您为管理账户 GuardDuty 进行初始化。但是，在继续添加权限与 GuardDuty 一起使用的注意事项和建议 AWS Organizations之前，请先进行查看。

要继续将管理账号指定为委派 GuardDuty 管理员账户，请在IAM策略中添加以下语句并替换 111122223333 使用贵组织管理账户的 AWS 账户 ID：

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}