委任 GuardDuty 管理者アカウントの指定に必要な許可

AWS Organizations を用いて Amazon GuardDuty の使用を開始するには、組織の AWS Organizations 管理アカウントは、アカウントを委任 GuardDuty 管理者アカウントとして指定します。これにより GuardDuty は、AWS Organizations での信頼されたサービスとして有効になります。また、委任 GuardDuty 管理者アカウントの GuardDuty が有効になり、委任管理者アカウントが現在のリージョンの組織内の他のアカウントの GuardDuty を有効化および管理できるようになります。これらの許可が付与される方法については、「Using AWS Organizations with other AWS services」を参照してください。

組織の委任 GuardDuty 管理者アカウントを指定する前に、AWS Organizations 管理アカウントとして、GuardDuty アクション guardduty:EnableOrganizationAdminAccount を実行できることを確認します。このアクションにより、GuardDuty を使用して組織の委任 GuardDuty 管理者アカウントを指定できます。また、組織に関する情報を取得するのに役立つ AWS Organizations アクションの実行が許可されていることも確認する必要があります。

これらの許可を与えるには、アカウントのAWS Identity and Access Management(IAM)ポリシーに以下のステートメントを含める：

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

AWS Organizations 管理アカウントを委任 GuardDuty 管理者アカウントとして指定したい場合、アカウントには IAM アクション CreateServiceLinkedRole も必要です。このアクションにより、管理アカウントの GuardDuty を初期化できます。ただし、許可の追加に進む前に、「AWS Organizations を用いて GuardDuty を使用するための考慮事項とレコメンデーション」を確認してください。

管理アカウントの委任 GuardDuty 管理者アカウントとしての指定を続行するには、IAM ポリシーに以下のステートメントを追加し、111122223333 を組織の管理アカウントの AWS アカウント ID に置き換えます。

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}