指定安全事件响应委托管理员账户所需的权限

您可以选择使用 AWS Organizations 委托管理员来设置 AWS 安全事件响应会员资格。有关如何授予这些权限的信息，请参阅 Using AWS Organizations with other AWS services。

注意

AWS 安全事件响应会在使用控制台进行设置和管理时，自动启用 AWS Organizations 信任关系。如果您使用 CLI/SDK，则必须使用 EnableAWSServiceAccess API 手动启用此功能才能信任 security-ir.amazonaws.com。

作为 AWS Organizations 管理员，在为组织指定安全事件响应委托管理员账户之前，请先验证您是否可以执行以下 AWS 安全事件响应操作：security-ir:CreateMembership 和 security-ir:UpdateMembership。这些操作可让您使用 AWS 安全事件响应为组织指定安全事件响应委托管理员账户。此外还必须确保您有权执行 AWS Organizations 操作，这将有助您检索有关组织的信息。

要授予这些权限，请在您的账户的 AWS Identity and Access Management (IAM) 策略中包括以下语句：



{
    "Sid": "PermissionsForSIRAdmin",
    "Effect": "Allow",
    "Action": [
        "security-ir:CreateMembership",
        "security-ir:UpdateMembership",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}

如果要将您的 AWS Organizations 管理账户指定为安全事件响应委托管理员账户，您的账户还需要执行以下 IAM 操作：CreateServiceLinkedRole。请先查看将 AWS 安全事件响应与 AWS Organizations 结合使用的注意事项和建议，然后再继续添加权限。

要继续将 AWS Organizations 管理账户指定为安全事件响应委托管理员账户，请将以下语句添加到 IAM 策略中并将 111122223333 替换为 AWS Organizations 管理账户的 AWS 账户 ID：



{
	"Sid": "PermissionsToEnableSecurityIncidentResponse"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "security-ir.amazonaws.com"
		}
	}
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

可信访问权限

指定 AWS 安全事件响应委托管理员账户