Permissões necessárias para designar uma conta de administrador delegado do GuardDuty

Para começar a usar o Amazon GuardDuty com AWS Organizations, AWS Organizations a conta de gerenciamento da organização designa uma conta como a conta de administrador delegado do GuardDuty. Isso permite que o GuardDuty seja um serviço confiável em AWS Organizations. Também habilita o GuardDuty para a conta do administrador do GuardDuty delegado e permite que a conta do administrador delegado habilite e gerencie o GuardDuty para outras contas da organização na região atual. Para obter informações sobre como essas permissões são concedidas, consulte Como usar AWS Organizations com outros AWS serviços.

Na qualidade de AWS Organizations conta de gerenciamento, antes de designar a conta de administrador delegado do GuardDuty para sua organização, verifique se você pode executar a seguinte ação do GuardDuty: guardduty:EnableOrganizationAdminAccount. Essa ação permite que a conta de administrador delegado do GuardDuty seja designada para a sua organização por meio do GuardDuty. Também é preciso garantir que se tenha permissão para executar as AWS Organizations ações que o ajudam a recuperar informações sobre sua organização.

Para conceder essas permissões, inclua a seguinte instrução em uma política AWS Identity and Access Management (IAM) da sua conta:


{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

Antes de designar uma conta AWS Organizations do administrador delegado do GuardDuty, sua conta também precisará da ação do IAM: CreateServiceLinkedRole. Essa ação permite que o GuardDuty seja inicializado para a conta de gerenciamento. No entanto, revise Considerações e recomendações para usar o GuardDuty com AWS Organizations antes de prosseguir com a adição das permissões.

Para continuar a designar a conta de gerenciamento como a conta de administrador delegado do GuardDuty, adicione a seguinte instrução à política do IAM e substitua 111122223333 pelo ID Conta da AWS da conta de gerenciamento da sua organização:


{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciar contas com o AWS Organizations

Designar conta de administrador delegado do GuardDuty