Permisos necesarios para designar una cuenta de administrador delegado de GuardDuty

Para comenzar a utilizar Amazon GuardDuty con AWS Organizations, la cuenta de administración AWS Organizations de la organización designa una cuenta como cuenta de administrador delegado de GuardDuty. De este modo, GuardDuty se habilita como servicio de confianza en AWS Organizations. Además, habilita GuardDuty para la cuenta de administrador delegado de GuardDuty y también permite que la cuenta de administrador delegado habilite y administre GuardDuty para otras cuentas de la organización en la región actual. Para obtener información sobre cómo se conceden estos permisos, consulte Utilizar AWS Organizations con otros servicios de AWS.

Como cuenta de administración de AWS Organizations, antes de designar la cuenta de administrador delegado de GuardDuty de la organización, verifique que puede realizar la siguiente acción de GuardDuty: guardduty:EnableOrganizationAdminAccount. Esta acción permite designar la cuenta de administrador delegado de GuardDuty de la organización mediante GuardDuty. Además, debe asegurarse de que está autorizado a realizar las acciones AWS Organizations que le ayuden a recuperar información sobre la organización.

Para conceder estos permisos, incluya la siguiente instrucción en la política (de IAM) AWS Identity and Access Management de su cuenta:


{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

Si desea designar la cuenta de administración de AWS Organizations como la cuenta de administrador delegado de GuardDuty, la cuenta también necesitará la acción de IAM: CreateServiceLinkedRole. Esta acción permite inicializar GuardDuty para la cuenta de administración. Sin embargo, revise Consideraciones y recomendaciones para utilizar GuardDuty con AWS Organizations antes de proceder a agregar los permisos.

Para continuar con la designación de la cuenta de administración como la cuenta de administrador delegado de GuardDuty, agregue la siguiente instrucción a la política de IAM y reemplace 111122223333 con el ID de Cuenta de AWS de la cuenta de administración de la organización:


{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de cuentas con AWS Organizations

Designar cuenta de administrador delegado de GuardDuty