委任 GuardDuty 管理者アカウントの指定に必要な許可

で Amazon GuardDuty の使用を開始するには AWS Organizations、組織の AWS Organizations 管理アカウントが アカウントを委任 GuardDuty 管理者アカウントとして指定します。これにより、GuardDuty を信頼されたサービスとして有効にします AWS Organizations。また、委任 GuardDuty 管理者アカウントの GuardDuty が有効になり、委任管理者アカウントが現在のリージョンの組織内の他のアカウントの GuardDuty を有効化および管理できるようになります。これらのアクセス許可の付与方法については、「 AWS Organizations を他の AWS サービスで使用する」を参照してください。

AWS Organizations 管理アカウントとして、組織の委任 GuardDuty 管理者アカウントを指定する前に、次の GuardDuty アクションを実行できることを確認します: guardduty:EnableOrganizationAdminAccount。このアクションにより、GuardDuty を使用して組織の委任 GuardDuty 管理者アカウントを指定できます。また、組織に関する情報を取得するのに役立つ AWS Organizations アクションを実行できることを確認する必要があります。

これらのアクセス許可を付与するには、アカウントの AWS Identity and Access Management (IAM) ポリシーに次のステートメントを含めます。

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

AWS Organizations 管理アカウントを委任 GuardDuty 管理者アカウントとして指定する場合、アカウントには IAM アクション も必要ですCreateServiceLinkedRole。このアクションにより、管理アカウントの GuardDuty を初期化できます。ただし、許可の追加に進む前に、「で GuardDuty を使用する際の考慮事項と推奨事項 AWS Organizations」を確認してください。

管理アカウントを委任 GuardDuty 管理者アカウントとして指定し続けるには、IAM ポリシーに次のステートメントを追加し、111122223333 を組織の管理アカウントの AWS アカウント ID に置き換えます。

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}