事象
AWS Organizations を使用して組織で GuardDuty の管理を行なっており、委任された管理者アカウントからメンバーアカウントの Malware Protection を有効化しようとすると以下のようなエラーが発生する。
The request failed because you do not have required AWS Organizations master permission.
対応
以下のドキュメントに記載されているとおり、最初に組織の管理アカウントで Malware Protection の信頼されたアクセスを有効化する必要がある。
aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com
Enable Malware Protection when delegated administrator is not a management account in AWS Organizations
If the GuardDuty delegated administrator is not a management account in AWS Organizations, the management account must enable Malware Protection feature for their organization. This way, the delegated administrator can create the Service-linked role permissions for GuardDuty Malware Protection, in member accounts that are managed through AWS Organizations.
信頼されたアクセスを有効化後、委任された管理アカウントでメンバーアカウントの Malware Protection を有効化できます。
簡単ですが以上です。
参考になれば幸いです。