위임된 Security Incident Response 관리자 계정을 지정하는 데 필요한 권한
AWS Organizations에 대해 위임 관리자를 사용하여 AWS 보안 인시던트 대응 멤버십을 설정하도록 선택할 수 있습니다. 이러한 권한이 부여되는 방식에 대한 자세한 내용은 다른 AWS 서비스와 함께 AWS Organizations 사용을 참조하세요.
참고
AWS 보안 인시던트 대응는 설정 및 관리를 위해 콘솔을 사용할 때 AWS Organizations의 신뢰 관계를 자동으로 활성화합니다. CLI/SDK를 사용하는 경우 EnableAWSServiceAccess API를 사용하여 security-ir.amazonaws.com을 신뢰하도록 이를 수동으로 활성화해야 합니다.
AWS Organizations 관리자로서 조직에 대해 위임된 Security Incident Response 관리자 계정을 지정하기 전에 AWS 보안 인시던트 대응 작업인 security-ir:CreateMembership 및 security-ir:UpdateMembership을 수행할 수 있는지 확인하세요. 이러한 작업을 통해 AWS 보안 인시던트 대응를 사용하여 조직의 위임된 Security Incident Response 관리자 계정을 지정할 수 있습니다. 또한 조직에 대한 정보를 검색하는 데 도움이 되는 AWS Organizations 작업을 수행할 수 있도록 허용해야 합니다.
이러한 권한을 부여하려면 계정의 AWS Identity and Access Management(IAM) 정책에 다음 내용을 포함하세요.
{ "Sid": "PermissionsForSIRAdmin", "Effect": "Allow", "Action": [ "security-ir:CreateMembership", "security-ir:UpdateMembership", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }
AWS Organizations 관리 계정을 위임된 Security Incident Response 관리자 계정으로 지정하려면 계정에도 IAM 작업 CreateServiceLinkedRole이 필요합니다. 권한 추가를 진행하기 전에 AWS Organizations와 함께 AWS 보안 인시던트 대응를 사용할 때 고려 사항 및 권장 사항을 검토합니다.
AWS Organizations 관리 계정을 위임된 Security Incident Response 관리자 계정으로 지정하려면 IAM 정책에 다음 문을 추가하고 111122223333을 AWS Organizations 관리 계정의 AWS 계정 ID로 바꿉니다.
{ "Sid": "PermissionsToEnableSecurityIncidentResponse" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse", "Condition": { "StringLike": { "iam:AWSServiceName": "security-ir.amazonaws.com" } } }
