Permissões necessárias para designar uma conta de administrador delegado da Resposta a Incidentes de Segurança
Você pode optar por configurar sua associação à AWS Security Incident Response usando um administrador delegado para o AWS Organizations. Para obter informações sobre como essas permissões são concedidas, consulte Como usar AWS Organizations com outros AWS serviços.
nota
A AWS Security Incident Response habilita automaticamente o relacionamento confiável com o AWS Organizations ao usar o console para configuração e gerenciamento. Se você usar a CLI ou o SDK, será necessário habilitar manualmente esse relacionamento por meio da API EnableAWSServiceAccess, confiando no domínio security-ir.amazonaws.com
.
Na qualidade de gerente do AWS Organizations, antes de designar a conta de administrador delegado da Resposta a Incidentes de Segurança para sua organização, verifique se você pode executar as seguintes ações da AWS Security Incident Response: security-ir:CreateMembership
e security-ir:UpdateMembership
. Essas ações permitem que você designe a conta de administrador delegado da Resposta a Incidentes de Segurança para sua organização por meio da própria AWS Security Incident Response. Também é preciso garantir que se tenha permissão para executar as AWS Organizations ações que o ajudam a recuperar informações sobre sua organização.
Para conceder essas permissões, inclua a seguinte instrução em uma política AWS Identity and Access Management (IAM) da sua conta:
{ "Sid": "PermissionsForSIRAdmin", "Effect": "Allow", "Action": [ "security-ir:CreateMembership", "security-ir:UpdateMembership", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }
Se você deseja designar sua conta gerencial do AWS Organizations como a conta de administrador delegado de Resposta a Incidentes de Segurança, sua conta também precisará da ação do IAM: CreateServiceLinkedRole
. Analise a seção Considerações e recomendações para o uso da AWS Security Incident Response com o AWS Organizations antes de prosseguir com a adição das permissões.
Para continuar com a designação da sua conta gerencial do AWS Organizations como a conta de administrador delegado da Resposta a Incidentes de Segurança, adicione a seguinte declaração à política do IAM e substitua 111122223333
pelo ID da Conta da AWS de sua conta gerencial do AWS Organizations:
{ "Sid": "PermissionsToEnableSecurityIncidentResponse" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::
111122223333
:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse", "Condition": { "StringLike": { "iam:AWSServiceName": "security-ir.amazonaws.com" } } }