委任 Security Incident Response 管理者アカウントの指定に必要なアクセス許可 - AWS Security Incident Response ユーザーガイド

委任 Security Incident Response 管理者アカウントの指定に必要なアクセス許可

AWS Organizations の委任管理者を使用して、AWS Security Incident Response メンバーシップを設定することもできます。これらの許可が付与される方法については、「Using AWS Organizations with other AWS services」を参照してください。

注記

AWS Security Incident Response は、コンソールを使用してセットアップや管理を行うときに、AWS Organizations 信頼関係を自動的に有効にします。CLI/SDK を使用する場合は、EnableAWSServiceAccess API を使用して security-ir.amazonaws.com を信頼することで、これを手動で有効にする必要があります。

AWS Organizations マネージャーとして、組織の委任 Security Incident Response 管理者アカウントを指定する前に、AWS Security Incident Response アクション security-ir:CreateMembershipsecurity-ir:UpdateMembership を実行できることを確認します。これらのアクションにより、AWS Security Incident Response を使用して組織の委任 Security Incident Response 管理者アカウントを指定できます。また、組織に関する情報を取得するのに役立つ AWS Organizations アクションの実行が許可されていることも確認する必要があります。

これらの許可を与えるには、アカウントのAWS Identity and Access Management(IAM)ポリシーに以下のステートメントを含める:

{ "Sid": "PermissionsForSIRAdmin", "Effect": "Allow", "Action": [ "security-ir:CreateMembership", "security-ir:UpdateMembership", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }

AWS Organizations 管理アカウントを委任 Security Incident Response 管理者アカウントとして指定する場合、アカウントには IAM アクション CreateServiceLinkedRole も必要です。アクセス許可の追加に進む前に、「AWS Organizations を用いて AWS Security Incident Response を使用するための考慮事項とレコメンデーション」を確認してください。

AWS Organizations 管理アカウントの委任 Security Incident Response 管理者アカウントとしての指定を続行するには、以下のステートメントを IAM ポリシーに追加し、111122223333 を AWS Organizations 管理アカウントの AWS アカウント ID に置き換えます。

{ "Sid": "PermissionsToEnableSecurityIncidentResponse" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse", "Condition": { "StringLike": { "iam:AWSServiceName": "security-ir.amazonaws.com" } } }