翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 委任 GuardDuty 管理者アカウントの指定に必要な許可
<a name="organizations_permissions"></a>

で Amazon GuardDuty の使用を開始するには AWS Organizations、組織の AWS Organizations 管理アカウントが アカウントを委任 GuardDuty 管理者アカウントとして指定します。これにより、GuardDuty を信頼されたサービスとして有効にします AWS Organizations。また、委任 GuardDuty 管理者アカウントの GuardDuty が有効になり、委任管理者アカウントが現在のリージョンの組織内の他のアカウントの GuardDuty を有効化および管理できるようになります。これらのアクセス許可の付与方法については、[「 AWS Organizations を他の AWS サービスで使用する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。

 AWS Organizations 管理アカウントとして、組織の委任 GuardDuty 管理者アカウントを指定する前に、次の GuardDuty アクションを実行できることを確認します: `guardduty:EnableOrganizationAdminAccount`。このアクションにより、GuardDuty を使用して組織の委任 GuardDuty 管理者アカウントを指定できます。また、組織に関する情報を取得するのに役立つ AWS Organizations アクションを実行できることを確認する必要があります。

これらのアクセス許可を付与するには、アカウントの AWS Identity and Access Management (IAM) ポリシーに次のステートメントを含めます。

```
{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}
```

 AWS Organizations 管理アカウントを委任 GuardDuty 管理者アカウントとして指定する場合、アカウントには IAM アクション も必要です`CreateServiceLinkedRole`。このアクションにより、管理アカウントの GuardDuty を初期化できます。ただし、許可の追加に進む前に、「[で GuardDuty を使用する際の考慮事項と推奨事項 AWS Organizations](guardduty_organizations.md#delegated_admin_important)」を確認してください。

管理アカウントを委任 GuardDuty 管理者アカウントとして指定し続けるには、IAM ポリシーに次のステートメントを追加し、*111122223333* を組織の管理アカウントの AWS アカウント ID に置き換えます。

```
{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
```