위임된 GuardDuty 관리자 계정을 지정하는 데 필요한 권한

AWS Organizations와 함께 Amazon GuardDuty를 사용하려면 조직의 AWS Organizations 관리 계정에서 계정을 위임된 GuardDuty 관리자 계정으로 지정합니다. 이를 통해 GuardDuty는 AWS Organizations에서 신뢰할 수 있는 서비스로 사용 설정되었습니다. 또한 위임된 GuardDuty 관리자 계정에 대해 GuardDuty를 활성화하고 위임된 관리자 계정이 현재 리전 내 조직의 다른 계정에 대해 GuardDuty를 활성화 및 관리할 수 있도록 합니다. 이러한 권한이 부여되는 방식에 대한 자세한 내용은 다른 AWS 서비스와 함께 AWS Organizations 사용을 참조하세요.

AWS Organizations 관리 계정으로서 조직에 대해 위임된 GuardDuty 관리자 계정을 지정하기 전에 guardduty:EnableOrganizationAdminAccount과 같은 GuardDuty 작업을 수행할 수 있는지 확인하세요. 이 작업을 수행하면 GuardDuty를 사용하여 조직의 위임된 GuardDuty 관리자 계정을 지정할 수 있습니다. 또한 조직에 대한 정보를 검색하는 데 도움이 되는 AWS Organizations 작업을 수행할 수 있도록 허용해야 합니다.

이러한 권한을 부여하려면 계정의 AWS Identity and Access Management(IAM) 정책에 다음 내용을 포함하세요.

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

AWS Organizations 관리 계정을 위임된 GuardDuty 관리자 계정으로 지정하려면 계정에도 IAM 작업 CreateServiceLinkedRole이 필요합니다. 이 작업을 통해 관리 계정에 대한 GuardDuty를 초기화할 수 있습니다. 그러나 권한 추가를 진행하기 전에 AWS Organizations와 함께 GuardDuty를 사용할 때 고려 사항 및 권장 사항를 검토합니다.

관리 계정을 위임된 GuardDuty 관리자 계정으로 지정하려면 IAM 정책에 다음 문을 추가하고 111122223333을 조직의 관리 계정 AWS 계정 ID로 바꿉니다.

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}