指定委派 GuardDuty 管理員帳戶所需的許可

若要開始使用 Amazon GuardDuty 搭配 AWS Organizations，組織的 AWS Organizations 管理帳戶會指定 帳戶做為委派的 GuardDuty 管理員帳戶。這會啟用 GuardDuty 做為 中的信任服務 AWS Organizations。它也 GuardDuty 啟用委派 GuardDuty 管理員帳戶的 ，並允許委派管理員帳戶 GuardDuty 為目前區域中組織中的其他帳戶啟用和管理 。如需如何授予這些許可的資訊，請參閱搭配使用 AWS Organizations 與其他 AWS 服務。

做為 AWS Organizations 管理帳戶，在您為組織指定委派 GuardDuty 管理員帳戶之前，請確認您可以執行下列 GuardDuty 動作：guardduty:EnableOrganizationAdminAccount。此動作可讓您使用 為您的組織指定委派 GuardDuty 管理員帳戶 GuardDuty。您還必須確保您可以執行 AWS Organizations 動作，協助您擷取組織的相關資訊。

若要授予這些許可，請在適用於您帳戶的 AWS Identity and Access Management (IAM) 政策中包含下列陳述式：

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

如果您想要將 AWS Organizations 管理帳戶指定為委派的 GuardDuty 管理員帳戶，您的帳戶也需要 IAM動作：CreateServiceLinkedRole。此動作可讓您 GuardDuty 初始化 管理帳戶。不過，請先檢閱 ， GuardDuty 搭配 使用的考量和建議 AWS Organizations再繼續新增許可。

若要繼續將管理帳戶指定為委派 GuardDuty 管理員帳戶，請將下列陳述式新增至IAM政策，並以組織的管理帳戶 111122223333 AWS 帳戶 ID 取代：

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}