本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 指定委派的 GuardDuty 管理員帳戶所需的許可 若要開始使用 Amazon GuardDuty 搭配 AWS Organizations,組織的 AWS Organizations 管理帳戶會將帳戶指定為委派的 GuardDuty 管理員帳戶。這可讓 GuardDuty 成為 中的信任服務 AWS Organizations。它還為委派的 GuardDuty 管理員帳戶啟用 GuardDuty,還允許委派的管理員帳戶為目前區域中組織的其他帳戶啟用和管理 GuardDuty。如需如何授予這些許可的資訊,請參閱[搭配使用 AWS Organizations 與其他 AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。 做為 AWS Organizations 管理帳戶,在您為組織指定委派的 GuardDuty 管理員帳戶之前,請確認您可以執行下列 GuardDuty 動作:`guardduty:EnableOrganizationAdminAccount`。此動作可讓您使用 GuardDuty 為您的組織指定委派的 GuardDuty 管理員帳戶。您還必須確保您可以執行可協助您擷取組織相關資訊 AWS Organizations 的動作。 若要授予這些許可,請在您帳戶的 AWS Identity and Access Management (IAM) 政策中包含下列陳述式: ``` { "Sid": "PermissionsForGuardDutyAdmin", "Effect": "Allow", "Action": [ "guardduty:EnableOrganizationAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ``` 如果您想要將 AWS Organizations 管理帳戶指定為委派的 GuardDuty 管理員帳戶,則您的帳戶也需要 IAM 動作:`CreateServiceLinkedRole`。此動作可讓您為管理帳戶初始化 GuardDuty。不過,請先檢閱 ,[搭配 使用 GuardDuty 的考量和建議 AWS Organizations](guardduty_organizations.md#delegated_admin_important)再繼續新增許可。 若要繼續將管理帳戶指定為委派的 GuardDuty 管理員帳戶,請將下列陳述式新增至 IAM 政策,並以組織的管理帳戶 AWS 帳戶 ID 取代 *111122223333*: ``` { "Sid": "PermissionsToEnableGuardDuty" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } } ```