Seleção de uma conta de associação - Guia do usuário do AWS Security Incident Response

Seleção de uma conta de associação

Uma conta de associação consiste na conta da AWS usada para configurar detalhes da conta, adicionar e remover informações para sua equipe de resposta a incidentes, além de ser destinada à criação e ao gerenciamento de todos os eventos de segurança, tanto ativos quanto históricos. É recomendável que a conta de associação da AWS Security Incident Response esteja alinhada com a mesma conta habilitada para serviços como o Amazon GuardDuty e o AWS Security Hub.

Você tem duas opções para selecionar sua conta de associação da Resposta a Incidentes de Segurança da AWS usando o AWS Organizations. É possível criar a associação na conta gerencial do Organizations ou em uma conta de administrador delegado do Organizations.

Uso da conta de administrador delegado: as tarefas administrativas e o gerenciamento de casos da Resposta a Incidentes de Segurança da AWS estão localizados na conta de administrador delegado. É recomendável usar o mesmo administrador delegado configurado para outros serviços de segurança e de conformidade da AWS. Forneça o ID da conta de administrador delegado, que contém 12 dígitos, e, em seguida, faça login nessa conta para continuar.

Importante

Quando você usa uma conta de administrador delegado como parte do processo de configuração, a AWS Security Incident Response não pode criar automaticamente o perfil vinculado ao serviço de triagem necessária em sua conta gerencial do AWS Organizations.

Você pode usar o IAM para criar esse perfil na conta gerencial do AWS Organizations.

Para criar uma função vinculada ao serviço (console)

  1. Faça login na sua conta gerencial do AWS Organizations.

  2. Acesse a janela do AWS CloudShell ou acesse a conta por meio da CLI usando o método de sua preferência.

  3. Use o comando da CLI: aws iam create-service-linked-role --aws-service-name triage.security-ir.amazonaws.com.

  4. (Opcional) Para verificar se o comando funcionou, realize a execução do comando: aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage.

  5. Revise a função e escolha Criar função.

Uso da conta atualmente conectada: selecionar esta conta significa que a conta atual será designada como a conta principal de associação para sua associação à AWS Security Incident Response. Os indivíduos da sua organização precisarão acessar o serviço por meio desta conta para criar, acessar e gerenciar casos ativos e resolvidos.

Certifique-se de ter permissões suficientes para administrar a AWS Security Incident Response.

Consulte Adicionar e remover permissões de identidade do IAM para obter etapas específicas sobre como adicionar permissões.

Consulte AWS Security Incident Response managed policies.

Para verificar as permissões do IAM, você pode seguir estas etapas:

  • Verificação da política do IAM: analise a política do IAM associada ao seu usuário, grupo ou perfil para garantir que ela conceda as permissões necessárias. É possível fazer isso ao acessar https://console.aws.amazon.com/iam/, selecionar a opção Users, escolher o usuário específico e, em seguida, na página de resumo, acessar a guia Permissions, em que você pode visualizar uma lista de todas as políticas anexadas. Você pode expandir cada linha da política para visualizar os detalhes.

  • Teste das permissões: tente executar a ação necessária para verificar se as permissões estão corretas. Por exemplo, se você precisa acessar um caso, tente usar o comando ListCases. Se você não tiver as permissões necessárias, receberá uma mensagem de erro.

  • Uso da AWS CLI ou de um SDK: você pode usar a AWS Command Line Interface ou um AWS SDK na linguagem de programação de sua preferência para testar as permissões. Por exemplo, com a AWS Command Line Interface, você pode executar o comando aws sts get-caller-identity para verificar as permissões do usuário atual.

  • Verificação dos logs do AWS CloudTrail: analise os logs do CloudTrail para verificar se as ações que você está tentando executar estão sendo registradas em log. Essa verificação pode auxiliar na identificação de problemas relacionados a permissões.

  • Uso do simulador de políticas do IAM: o simulador de políticas do IAM é uma ferramenta que permite o teste de políticas do IAM e visualizar o efeito que elas têm sobre suas permissões.

nota

As etapas específicas podem variar dependendo do serviço da AWS e das ações que você está tentando executar.