Permisos necesarios para designar una cuenta de administrador delegado de Respuesta ante incidentes de seguridad - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Permisos necesarios para designar una cuenta de administrador delegado de Respuesta ante incidentes de seguridad

Puede optar por configurar su membresía de Respuesta frente a incidencias de seguridad de AWS mediante el administrador delegado para AWS Organizations. Para obtener información sobre cómo se conceden estos permisos, consulte Utilizar AWS Organizations con otros servicios de AWS.

nota

Respuesta frente a incidencias de seguridad de AWS habilita automáticamente la relación de confianza de AWS Organizations al utilizar la consola para la configuración y la administración. Si usa la CLI o el SDK, debe habilitarla manualmente mediante la API de EnableAWSServiceAccess para confiar en security-ir.amazonaws.com.

Como administrador de AWS Organizations, antes de designar la cuenta de administrador delegado de Respuesta ante incidentes de seguridad de la organización, verifique que pueda llevar a cabo las siguientes acciones de Respuesta frente a incidencias de seguridad de AWS: security-ir:CreateMembership y security-ir:UpdateMembership. Estas acciones le permiten designar la cuenta de administrador delegado de Respuesta ante incidentes de seguridad para su organización mediante Respuesta frente a incidencias de seguridad de AWS. Además, debe asegurarse de que está autorizado a realizar las acciones AWS Organizations que le ayuden a recuperar información sobre la organización.

Para conceder estos permisos, incluya la siguiente instrucción en la política (de IAM) AWS Identity and Access Management de su cuenta:


{
    "Sid": "PermissionsForSIRAdmin",
    "Effect": "Allow",
    "Action": [
        "security-ir:CreateMembership",
        "security-ir:UpdateMembership",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

Si desea designar la cuenta de administración de AWS Organizations como cuenta de administrador delegado de Respuesta ante incidentes de seguridad, su cuenta también necesitará la acción de IAM: CreateServiceLinkedRole. Revise Consideraciones y recomendaciones para utilizar Respuesta frente a incidencias de seguridad de AWS con AWS Organizations antes de proceder a agregar los permisos.

Para continuar con la designación de su cuenta de administración de AWS Organizations como cuenta de administrador delegado de Respuesta ante incidentes de seguridad, agregue la siguiente instrucción a la política de IAM y reemplace 111122223333 por el ID de Cuenta de AWS de la cuenta de administración de AWS Organizations:


{
	"Sid": "PermissionsToEnableSecurityIncidentResponse"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "security-ir.amazonaws.com"
		}
	}
}