指定委派 GuardDuty 管理员账户所需的权限

要开始将 Amazon GuardDuty 与 Amazon Organizations 一起使用，组织的 Amazon Organizations 管理账户将指定一个账户作为委派 GuardDuty 管理员账户。这将在 Amazon Organizations 中将 GuardDuty 作为可信服务启用。此外还会为该委派 GuardDuty 管理员账户启用 GuardDuty，同时允许该委派 GuardDuty 管理员账户在当前区域中为该组织的其他账户启用和管理 GuardDuty。有关如何授予这些权限的信息，请参阅 Using Amazon Organizations with other Amazon services。

作为 Amazon Organizations 管理账户，在为组织指定委派 GuardDuty 管理员账户之前，请确认您是否可以执行以下 GuardDuty 操作：guardduty:EnableOrganizationAdminAccount。此操作将允许您使用 GuardDuty 为组织指定委派 GuardDuty 管理员账户。此外还必须确保您有权执行 Amazon Organizations 操作，这将有助您检索有关组织的信息。

要授予这些权限，请在您的账户的 Amazon Identity and Access Management (IAM) 策略中包括以下语句：

{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

如果要将您的 Amazon Organizations 管理账户指定为委派 GuardDuty 管理员账户，您的账户还需要执行以下 IAM 操作：CreateServiceLinkedRole。此操作将允许您为管理账户初始化 GuardDuty。但请首先检查将 GuardDuty 与 Amazon Organizations 结合使用的注意事项和建议，然后再继续添加权限。

要继续将管理账户指定为委派的 GuardDuty 管理员账户，请将以下语句添加到 IAM 策略中并将 111122223333 替换为组织管理账户的 Amazon Web Services 账户 ID：

{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}