As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Permissões necessárias para designar uma conta de administrador delegado GuardDuty Para começar a usar a Amazon GuardDuty com AWS Organizations, a conta AWS Organizations de gerenciamento da organização designa uma conta como a conta de GuardDuty administrador delegado. Isso permite GuardDuty , como um serviço confiável, em AWS Organizations. Também habilita GuardDuty a conta de GuardDuty administrador delegado e também permite que a conta de administrador delegado habilite e GuardDuty gerencie outras contas na organização na região atual. Para obter informações sobre como essas permissões são concedidas, consulte [Usando AWS Organizations com outros AWS serviços](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html). Como conta de AWS Organizations gerenciamento, antes de designar a conta de GuardDuty administrador delegado para sua organização, verifique se você pode realizar a seguinte GuardDuty ação:. `guardduty:EnableOrganizationAdminAccount` Essa ação permite que você designe a conta de GuardDuty administrador delegado para sua organização usando. GuardDuty Você também deve garantir que tenha permissão para realizar as AWS Organizations ações que ajudam a recuperar informações sobre sua organização. Para conceder essas permissões, inclua a seguinte declaração em uma política AWS Identity and Access Management (IAM) da sua conta: ``` { "Sid": "PermissionsForGuardDutyAdmin", "Effect": "Allow", "Action": [ "guardduty:EnableOrganizationAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ``` Se você quiser designar sua conta AWS Organizations de gerenciamento como conta de GuardDuty administrador delegado, sua conta também precisará da ação IAM:. `CreateServiceLinkedRole` Essa ação permite que você inicialize GuardDuty para a conta de gerenciamento. No entanto, revise [Considerações e recomendações para uso com GuardDuty AWS Organizations](guardduty_organizations.md#delegated_admin_important) antes de prosseguir com a adição das permissões. Para continuar a designar a conta de gerenciamento como a conta de GuardDuty administrador delegado, adicione a seguinte declaração à política do IAM e {{111122223333}} substitua pela Conta da AWS ID da conta de gerenciamento da sua organização: ``` { "Sid": "PermissionsToEnableGuardDuty" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::{{111122223333}}:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } } ```