# Permissões necessárias para designar uma conta de administrador delegado da Resposta a Incidentes de Segurança
<a name="organizations_permissions"></a>

Você pode optar por configurar sua associação à AWS Security Incident Response usando um administrador delegado para o AWS Organizations. Para obter informações sobre como essas permissões são concedidas, consulte [Using AWS Organizations with other AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).

**nota**  
 A AWS Security Incident Response habilita automaticamente o relacionamento confiável com o AWS Organizations ao usar o console para configuração e gerenciamento. Se você usar a CLI ou o SDK, será necessário habilitar manualmente esse relacionamento por meio da [API EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html), confiando no domínio `security-ir.amazonaws.com`. 

Na qualidade de gerente do AWS Organizations, antes de designar a conta de administrador delegado da Resposta a Incidentes de Segurança para sua organização, verifique se você pode executar as seguintes ações da AWS Security Incident Response: `security-ir:CreateMembership` e `security-ir:UpdateMembership`. Essas ações permitem que você designe a conta de administrador delegado da Resposta a Incidentes de Segurança para sua organização por meio da própria AWS Security Incident Response. Também é preciso garantir que se tenha permissão para executar as AWS Organizations ações que o ajudam a recuperar informações sobre sua organização.

Para conceder essas permissões, inclua a seguinte instrução em uma política AWS Identity and Access Management (IAM) da sua conta:

```
        {
            "Sid": "PermissionsForSIRAdmin",
            "Effect": "Allow",
            "Action": [
                "security-ir:CreateMembership",
                "security-ir:UpdateMembership",
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
```

Se você deseja designar sua conta gerencial do AWS Organizations como a conta de administrador delegado de Resposta a Incidentes de Segurança, sua conta também precisará da ação do IAM: `CreateServiceLinkedRole`. Analise a seção [Considerações e recomendações para o uso da AWS Security Incident Response com o AWS Organizations](considerations_important.md) antes de prosseguir com a adição das permissões. 

Para continuar com a designação da sua conta gerencial do AWS Organizations como a conta de administrador delegado da Resposta a Incidentes de Segurança, adicione a seguinte declaração à política do IAM e substitua *111122223333* pelo ID da Conta da AWS de sua conta gerencial do AWS Organizations:

```
        {
        	"Sid": "PermissionsToEnableSecurityIncidentResponse"
        	"Effect": "Allow",
        	"Action": [
        		"iam:CreateServiceLinkedRole"
        	],
        	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse",
        	"Condition": {
        		"StringLike": {
        			"iam:AWSServiceName": "security-ir.amazonaws.com"
        		}
        	}
        }
```