翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS セキュリティインシデント対応と AWS Organizations
AWS セキュリティインシデント対応は、お客様が認証情報の盗難やランサムウェア攻撃などのサイバーセキュリティインシデントに迅速に対応できるように、24 時間 365 日のライブで人的支援によるセキュリティインシデントサポートを提供するセキュリティサービスです。Organizations と統合することで、セキュリティカバレッジを組織全体に強化できます。詳細については、[AWS 「 Security Incident Response User Guide」の「Managing Security Incident Response accounts with AWS Organizations](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html) 」を参照してください。 **
次の情報は、 AWS セキュリティインシデント対応を と統合するのに役立ちます AWS Organizations。
## 統合を有効にする際に作成されるサービスにリンクされたロール
信頼されたアクセスを有効にすると、次の「サービスにリンクされたロール」が組織の管理アカウントに自動的に作成されます。
+ `AWSServiceRoleForSecurityIncidentResponse` - セキュリティインシデント対応メンバーシップ - を通じてサービスへのサブスクリプションを作成するために使用されます AWS Organizations。
+ `AWSServiceRoleForSecurityIncidentResponse_Triage` – サインアップ中にトリアージ機能を有効にした場合にのみ使用。
## Security Incident Response で使用されるサービスプリンシパル
前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Security Incident Response によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
+ `security-ir.amazonaws.com`
## Security Incident Response への信頼されたアクセスを有効にする
Security Incident Response への信頼されたアクセスを有効にすることで、サービスは組織の構造を追跡し、組織内のすべてのアカウントに有効なセキュリティインシデントカバレッジを提供することができます。また、トリアージ機能を有効にすることで、サービスがメンバーアカウントでサービスにリンクされたロールを使用してトリアージ機能を使用できるようになります。
信頼されたアクセスの有効化に必要な権限に関しては、[信頼されたアクセスを有効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_perms) を参照してください。
AWS セキュリティインシデント対応コンソールまたは コンソールを使用して、信頼された AWS Organizations アクセスを有効にできます。
**重要**
可能な限り、 AWS セキュリティインシデント対応コンソールまたはツールを使用して Organizations との統合を有効にすることを強くお勧めします。これにより、 AWS Security Incident Response は、サービスに必要なリソースの作成など、必要な設定を実行できます。これらのステップは、 AWS Security Incident Response が提供するツールを使用して統合を有効にできない場合にのみ実行してください。詳細については、[この注意](orgs_integrate_services.md#important-note-about-integration)を参照してください。
AWS セキュリティインシデント対応コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実行する必要はありません。
Organizations は、Security Incident Response コンソールを使用してセットアップと管理を行うときに、Organizations の信頼されたアクセスを自動的に有効にします。Security Incident Response CLI/SDK を使用する場合は、[EnableAWSServiceAccess API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) を使用して、信頼されたアクセスを手動で有効にする必要があります。セキュリティインシデント対応コンソールを使用して信頼されたアクセスを有効にする方法については、*「セキュリティインシデント対応ユーザーガイド*」の[AWS 「アカウント管理の信頼されたアクセスの有効化](https://docs.aws.amazon.com/security-ir/latest/userguide/using-orgs-trusted-access.html)」を参照してください。
信頼されたアクセスを有効にするには、 AWS Organizations コンソールを使用するか、 AWS CLI コマンドを実行するか、いずれかの AWS SDKs。
------
#### [ AWS マネジメントコンソール ]
**Organizations コンソールを使用して信頼されたアクセスを有効にするには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. ナビゲーションペインで [**Services (サービス)**] を選択します。
1. サービスのリストで **[AWS Security Incident Response]** を選択します。
1. [**Enable trusted access (信頼されたアクセスを有効にする)**] を選択します。
1. ** AWS セキュリティインシデント対応の信頼されたアクセスを有効にする**ダイアログボックスで、確認のために**有効化**と入力し、**信頼されたアクセスを有効にする**を選択します。
1. の管理者のみの場合は AWS Organizations、 AWS Security Incident Response の管理者に、サービスコンソール からそのサービスが と AWS Organizations 連携できるようになったことを知らせます。
------
#### [ AWS CLI, AWS API ]
**Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには**
信頼されたサービスアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
次のコマンドを実行して、Organizations の信頼されたサービスとして AWS Security Incident Response を有効にします。
```
$ aws organizations enable-aws-service-access \
--service-principal security-ir.amazonaws.com
```
このコマンドが成功した場合、出力は生成されません。
+ AWS API: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)
------
## Security Incident Response で信頼されたアクセスを無効にする
Security Incident Response で信頼されたアクセスを無効にできるのは、Organizations の管理アカウントの管理者だけです。
信頼されたアクセスは、Organizations ツールを使用してのみ無効にできます。
信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。
------
#### [ AWS マネジメントコンソール ]
**Organizations コンソールを使用して信頼されたアクセスを無効にするには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. ナビゲーションペインで [**Services (サービス)**] を選択します。
1. サービスのリストで **[AWS Security Incident Response]** を選択します。
1. **Disable trusted access** (信頼されたアクセスを無効にする) を選択します。
1. ** AWS セキュリティインシデント対応の信頼されたアクセスを無効にする**ダイアログボックスで、確認のために **disable** と入力し、**信頼されたアクセスを無効にする**を選択します。
1. の管理者のみの場合は AWS Organizations、 AWS Security Incident Response の管理者に、そのサービスがサービスコンソールまたはツール を使用して を操作する AWS Organizations ことを無効にできることを伝えます。
------
#### [ AWS CLI, AWS API ]
**Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには**
次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを無効にすることができます。
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
次のコマンドを実行して、Organizations の信頼されたサービスとして AWS Security Incident Response を無効にします。
```
$ aws organizations disable-aws-service-access \
--service-principal security-ir.amazonaws.com
```
このコマンドが成功した場合、出力は生成されません。
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## Security Incident Response の委任された管理者アカウントを有効にする
特定のメンバーアカウントを組織の委任管理者として指定することで、そのアカウントのユーザーおよびロールは、Security Incident Response の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Security Incident Response の管理を分離するのに有効です。詳細については、[AWS 「 Security Incident Response User Guide」の「Managing Security Incident Response accounts with AWS Organizations](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html) 」を参照してください。 **
**最小アクセス許可**
Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Security Incident Response の委任管理者としてメンバーアカウントを設定できます。
Security Incident Response コンソールを使用して委任管理者を設定する方法については、「*Security Incident Response ユーザーガイド*」の「[Designating a delegated Security Incident Response administrator account](https://docs.aws.amazon.com/security-ir/latest/userguide/delegated-admin-designate.html)」を参照してください。
------
#### [ AWS CLI, AWS API ]
CLI またはいずれかの AWS SDKs を使用して AWS 委任管理者アカウントを設定する場合は、次のコマンドを使用できます。
+ AWS CLI:
```
$ aws organizations register-delegated-administrator \
--account-id 123456789012 \
--service-principal security-ir.amazonaws.com
```
+ AWS SDK: Organizations `RegisterDelegatedAdministrator`オペレーションとメンバーアカウントの ID 番号を呼び出し、アカウントサービスをパラメータ`security-ir.amazonaws.com`として識別します。
------
## Security Incident Response の委任された管理者を無効にする
**重要**
メンバーシップが委任管理者アカウントから作成された場合、委任管理者の登録解除は破壊的なアクションであり、サービスの中断を引き起こします。DA を再登録するには:
Security Incident Response コンソール (https://console.aws.amazon.com/security-ir/home\#/membership/settings) にサインインします。
サービスコンソールからメンバーシップをキャンセルします。メンバーシップは、請求サイクルが終了するまでアクティブな状態のままです。
メンバーシップがキャンセルされたら、Organizations コンソール、CLI、または SDK を使用してサービスアクセスを無効にします。
Security Incident Response の委任管理者を削除できるのは、Organizations 管理アカウントの管理者だけです。Organizations の `DeregisterDelegatedAdministrator` CLI または SDK オペレーションを使用して、委任された管理者を削除できます。