Selección de una cuenta de membresía - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Selección de una cuenta de membresía

Una cuenta de membresía es la cuenta de AWS que se usa para configurar los detalles de la cuenta y agregar y eliminar detalles de su equipo de respuesta ante incidentes y es el lugar donde se pueden crear y administrar todos los eventos de seguridad activos e históricos. Se recomienda que ajuste su cuenta de membresía de Respuesta frente a incidencias de seguridad de AWS a la misma cuenta que ha habilitado para servicios como Amazon GuardDuty y AWS Security Hub.

Tiene dos opciones para seleccionar su cuenta de membresía de Respuesta ante incidentes de seguridad de AWS mediante AWS Organizations. Puede crear una membresía en la cuenta de administración de Organizations o en una cuenta de administrador delegado de Organizations.

Uso de la cuenta de administrador delegado: las tareas administrativas y la administración de casos de Respuesta ante incidentes de seguridad de AWS se encuentran en la cuenta de administrador delegado. Se recomienda usar el mismo administrador delegado que haya configurado para otros servicios de seguridad y cumplimiento de AWS. Proporcione el ID de la cuenta de administrador delegado de 12 dígitos y, a continuación, inicie sesión en esa cuenta para continuar.

importante

Cuando utiliza una cuenta de administrador delegado como parte de la configuración, Respuesta frente a incidencias de seguridad de AWS no puede crear automáticamente el rol vinculado al servicio de clasificación requerido en su cuenta de administración de AWS Organizations.

Puede usar IAM para crear este rol en su cuenta de administración de AWS Organizations.

Para crear un rol vinculado a un servicio (consola)

  1. Inicie sesión en la cuenta de administración de AWS Organizations.

  2. Acceda a la ventana de AWS CloudShell o a la cuenta mediante la CLI con el método que prefiera.

  3. Utilice el comando de la CLI aws iam create-service-linked-role --aws-service-name triage.security-ir.amazonaws.com.

  4. (Opcional) Para comprobar que el comando ha funcionado, puede ejecutar el comando aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage.

  5. Revise el rol y, a continuación, seleccione Crear rol.

Uso de la cuenta que tiene la sesión iniciada actualmente: al seleccionar esta cuenta, la cuenta actual se designará como cuenta de membresía central para su membresía de Respuesta frente a incidencias de seguridad de AWS. Las personas de su organización deberán acceder al servicio a través de esta cuenta para acceder a los casos activos y resueltos, crearlos y administrarlos.

Asegúrese de tener los permisos suficientes para administrar Respuesta frente a incidencias de seguridad de AWS.

Consulte en Adición y eliminación de permisos de identidad de IAM los pasos específicos para agregar permisos.

Consulte Respuesta frente a incidencias de seguridad de AWS managed policies.

Para verificar los permisos de IAM, puede seguir estos pasos:

  • Comprobación de la política de IAM: revise la política de IAM adjunta a su usuario, grupo o rol para asegurarse de que concede los permisos necesarios. Para ello, vaya a https://console.aws.amazon.com/iam/, seleccione la opción Users, elija el usuario específico y, a continuación, en la página de resumen, vaya a la pestaña Permissions donde aparece una lista de todas las políticas adjuntas; puede expandir la fila de cada política para ver sus detalles.

  • Prueba de los permisos: intente llevar a cabo la acción necesaria para verificar los permisos. Por ejemplo, si necesita acceder a un caso, pruebe ListCases. Si no tiene los permisos necesarios, recibirá un mensaje de error.

  • Uso de la AWS CLI o el SDK: puede usar la AWS Command Line Interface o un AWS SDK en el lenguaje de programación que prefiera para probar los permisos. Por ejemplo, con la AWS Command Line Interface, puede ejecutar el comando aws sts get-caller-identity para verificar sus permisos de usuario actuales.

  • Comprobación de los registros de AWS CloudTrail: revise los registros de CloudTrail para comprobar si se están registrando las acciones que intenta llevar a cabo. Esto puede ayudarlo a identificar cualquier problema con los permisos.

  • Uso del simulador de política de IAM: el simulador de política de IAM es una herramienta que le permite probar las políticas de IAM y ver el efecto que tienen en sus permisos.

nota

Los pasos específicos pueden variar según el servicio de AWS y las acciones que intente llevar a cabo.