# Trabalhar com o CloudFormation StackSets
<a name="working-with-stacksets"></a>

Para obter instruções específicas sobre como criar um StackSet com permissões gerenciadas pelo serviço, consulte [Criar CloudFormation StackSets com permissões gerenciadas pelo serviço](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-associate-stackset-with-org.html) no *Guia do usuário do AWS CloudFormation*.

O AWS Security Incident Response fornece dois modelos do CloudFormation. Ambos os modelos criam os mesmos dois perfis do AWS Identity and Access Management, `AWSSecurityIncidentResponseContainment` e `AWSSecurityIncidentResponseContainmentExecution`. O modelo **Contenção com o EC2 Triage** adiciona o `AWSSecurityIncidentResponseInvestigationPolicy` ao perfil do `AWSSecurityIncidentResponseContainment`, o que concede permissões adicionais para o EC2 Triage. Escolha o modelo que corresponde aos seus requisitos de segurança:
+ [Somente contenção](containment-only-template.md): cria as permissões mínimas necessárias para ações de contenção.
+ [Contenção com EC2 Triage](containment-with-ec2-triage-template.md): inclui todas as permissões de contenção, além de permissões adicionais para EC2 Triage. Esse modelo permite ao AWS Security Incident Response executar o Run Command do AWS Systems Manager em suas instâncias do Amazon Elastic Compute Cloud durante investigações de segurança.

Para obter mais informações sobre o EC2 Triage, consulte [Detecção e análise](detect-and-analyze.md).