Permissões necessárias para designar uma conta de administrador delegado da Resposta a Incidentes de Segurança - Guia do usuário do AWS Security Incident Response

Permissões necessárias para designar uma conta de administrador delegado da Resposta a Incidentes de Segurança

Você pode optar por configurar sua associação à AWS Security Incident Response usando um administrador delegado para o AWS Organizations. Para obter informações sobre como essas permissões são concedidas, consulte Como usar AWS Organizations com outros AWS serviços.

nota

A AWS Security Incident Response habilita automaticamente o relacionamento confiável com o AWS Organizations ao usar o console para configuração e gerenciamento. Se você usar a CLI ou o SDK, será necessário habilitar manualmente esse relacionamento por meio da API EnableAWSServiceAccess, confiando no domínio security-ir.amazonaws.com.

Na qualidade de gerente do AWS Organizations, antes de designar a conta de administrador delegado da Resposta a Incidentes de Segurança para sua organização, verifique se você pode executar as seguintes ações da AWS Security Incident Response: security-ir:CreateMembership e security-ir:UpdateMembership. Essas ações permitem que você designe a conta de administrador delegado da Resposta a Incidentes de Segurança para sua organização por meio da própria AWS Security Incident Response. Também é preciso garantir que se tenha permissão para executar as AWS Organizations ações que o ajudam a recuperar informações sobre sua organização.

Para conceder essas permissões, inclua a seguinte instrução em uma política AWS Identity and Access Management (IAM) da sua conta:


{
    "Sid": "PermissionsForSIRAdmin",
    "Effect": "Allow",
    "Action": [
        "security-ir:CreateMembership",
        "security-ir:UpdateMembership",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

Se você deseja designar sua conta gerencial do AWS Organizations como a conta de administrador delegado de Resposta a Incidentes de Segurança, sua conta também precisará da ação do IAM: CreateServiceLinkedRole. Analise a seção Considerações e recomendações para o uso da AWS Security Incident Response com o AWS Organizations antes de prosseguir com a adição das permissões.

Para continuar com a designação da sua conta gerencial do AWS Organizations como a conta de administrador delegado da Resposta a Incidentes de Segurança, adicione a seguinte declaração à política do IAM e substitua 111122223333 pelo ID da Conta da AWS de sua conta gerencial do AWS Organizations:


{
	"Sid": "PermissionsToEnableSecurityIncidentResponse"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "security-ir.amazonaws.com"
		}
	}
}