メンバーアカウントを選択する - AWS Security Incident Response ユーザーガイド

メンバーアカウントを選択する

メンバーシップアカウントは、アカウントの詳細の設定、インシデント対応チームの詳細の追加と削除、およびすべてのアクティブなセキュリティイベントと履歴セキュリティイベントの作成と管理に使用できる AWS アカウントです。AWS Security Incident Response メンバーシップアカウントは、Amazon GuardDuty および AWS Security Hub などのサービスで有効にしたのと同じアカウントに合わせることをお勧めします。

AWS Organizations を使用して AWS Security Incident Response メンバーシップアカウントを選択するには、2 つのオプションがあります。Organizations の管理アカウントまたは Organizations の委任管理者アカウントでメンバーシップを作成できます。

委任管理者アカウントを使用する: AWS Security Incident Response の管理タスクとケース管理は、委任管理者アカウントにあります。他の AWS セキュリティおよびコンプライアンスサービスに設定したのと同じ委任管理者を使用することをお勧めします。12 桁の委任管理者アカウント ID を指定し、そのアカウントにログインして続行します。

重要

セットアップの一環として委任管理者アカウントを使用する場合、AWS Security Incident Response は AWS Organizations 管理アカウントで必要なトリアージサービスにリンクされたロールを自動的に作成できません。

IAM を使用して、AWS Organizations 管理アカウントにこのロールを作成できます

サービスにリンクされたロールを作成するには (コンソール)

  1. AWS Organizations 管理アカウントにログインします。

  2. AWS CloudShell ウィンドウにアクセスするか、任意の方法で CLI 経由でアカウントにアクセスします。

  3. CLI コマンド aws iam create-service-linked-role --aws-service-name triage.security-ir.amazonaws.com を使用する

  4. (オプション) コマンドが機能したことを確認するには、コマンド aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage を実行できます

  5. ロール情報を確認し、ロールの作成 を選択します。

現在ログインしているアカウントを使用する: このアカウントを選択すると、現在のアカウントが AWS Security Incident Response メンバーシップの中心となるメンバーシップアカウントとして指定されます。組織内の個人は、このアカウントを通じてサービスにアクセスして、アクティブケースと解決済みケースを作成、アクセス、管理する必要があります。

AWS Security Incident Response を管理するための十分なアクセス許可があることを確認してください。

アクセス許可を追加する具体的な手順については、「IAM ID のアクセス許可の追加および削除」を参照してください。

AWS Security Incident Response managed policies」を参照してください。

IAM アクセス許可を確認するには、以下の手順に従います。

  • IAM ポリシーを確認する: ユーザー、グループ、またはロールに添付されている IAM ポリシーを確認して、必要なアクセス許可が付与されていることを確認します。これを行うには、https://console.aws.amazon.com/iam/ に移動し、Users オプションを選択し、特定のユーザーを選択し、概要ページで、添付されたすべてのポリシーのリストを表示できる Permissions タブに移動します。各ポリシー行を展開して詳細を表示できます。

  • アクセス許可をテストする: アクセス許可を検証するために必要なアクションを実行してみてください。例えば、ケースにアクセスする必要がある場合は、ListCases を実行してみてください。必要なアクセス許可がない場合は、エラーメッセージが表示されます。

  • AWS CLI または SDK を使用する: AWS Command Line Interface または、任意のプログラミング言語の AWS SDK を使用して、アクセス許可をテストできます。例えば、AWS Command Line Interface を使用している場合、aws sts get-caller-identity コマンドを実行して現在のユーザーのアクセス許可を確認できます。

  • AWS CloudTrail ログを確認する: CloudTrail ログを確認して、実行しようとしているアクションがログに記録されているかどうかを確認します。これにより、アクセス許可の問題を特定できます。

  • IAM ポリシーシミュレーターを使用する: IAM ポリシーシミュレーターは、IAM ポリシーをテストし、それがアクセス許可に与える影響を確認できるツールです。

注記

特定のステップは、AWS サービスや実行しようとしているアクションによって異なる場合があります。