本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 指定委派 GuardDuty 管理员账号所需的权限 要开始 GuardDuty 使用 Amazon AWS Organizations,该组织的 AWS Organizations 管理账户会将一个账户指定为委托 GuardDuty 管理员账户。这可以 GuardDuty 作为可信的服务在中启用 AWS Organizations。它还 GuardDuty 支持委派 GuardDuty 管理员账户,还允许委派管理员账户启用和管理 GuardDuty 当前区域组织中的其他账户。有关如何授予这些权限的信息,请参阅[与其他 AWS 服务 AWS Organizations 一起使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。 作为 AWS Organizations 管理账户,在为组织指定委派 GuardDuty 管理员账户之前,请确认您可以执行以下 GuardDuty 操作:`guardduty:EnableOrganizationAdminAccount`。此操作允许您使用为您的组织指定委派 GuardDuty 管理员帐户 GuardDuty。您还必须确保允许您执行有助于检索组织信息的 AWS Organizations 操作。 要授予这些权限,请在账户的 AWS Identity and Access Management (IAM) 策略中加入以下声明: ``` { "Sid": "PermissionsForGuardDutyAdmin", "Effect": "Allow", "Action": [ "guardduty:EnableOrganizationAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ``` 如果您想将自己的 AWS Organizations 管理账户指定为委派 GuardDuty 管理员账户,则您的账户还需要执行 IAM 操作:`CreateServiceLinkedRole`。此操作允许您为管理账户 GuardDuty 进行初始化。但请首先检查[与 GuardDuty 一起使用的注意事项和建议 AWS Organizations](guardduty_organizations.md#delegated_admin_important),然后再继续添加权限。 要继续将管理账户指定为委派 GuardDuty 管理员账户,请将以下语句添加到 IAM 策略中,并*111122223333*替换为组织管理账户的 AWS 账户 ID: ``` { "Sid": "PermissionsToEnableGuardDuty" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } } ```