选择一个会员账户。
会员账户是用于配置账户详细信息、为事件响应团队添加和删除详细信息,以及可以在其中创建和管理所有活动和历史安全事件的 AWS 账户。建议您将 AWS 安全事件响应会员账户与您为 Amazon GuardDuty 和 AWS Security Hub 等服务启用的账户保持一致。
您有两个选项来使用 AWS Organizations 选择您的 AWS 安全事件响应会员资格账户。您可以在组织管理账户或组织委托管理员账户中创建会员资格。
使用委托管理员账户:AWS 安全事件响应管理任务和案例管理位于委托管理员账户中。建议选择您为其他 AWS 安全与合规服务使用的相同委托管理员账户。提供 12 位数的委托管理员账户 ID,然后登录该账户继续操作。
重要
如果在设置过程中使用委托管理员账户,AWS 安全事件响应无法在您的 AWS Organizations 管理账户中自动创建所需的分类服务相关角色。
您可以使用 IAM 在您的 AWS Organizations 管理账户中创建此角色
创建服务相关角色(控制台)
登录您的 AWS Organizations 管理账户。
使用您的首选方法访问 AWS CloudShell 窗口或通过 CLI 访问账户。
-
使用 CLI 命令
aws iam create-service-linked-role --aws-service-name triage.security-ir.amazonaws.com
。 -
(可选)要验证命令是否有效,可以执行命令
aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage
-
检查角色,然后选择创建角色。
使用当前登录的账户:选择此账户意味着当前账户将被指定为您 AWS 安全事件响应会员资格的中央会员账户。贵组织内的个人需要通过此账户访问该服务,才能创建、访问和管理处于活动状态的案例和已解决的案例。
确保您有权管理 AWS 安全事件响应。
有关添加权限的具体步骤,请参阅添加和删除 IAM 身份权限。
请参阅 AWS 安全事件响应托管策略。
要验证 IAM 权限,您可以按照以下步骤操作:
-
查看 IAM 策略:审查附加到用户、群组或角色的 IAM 策略,确保此策略授予了必要的权限。为此,您可以导航到 https://console.aws.amazon.com/iam/
,选择 Users
选项,选择特定用户,然后转到他们摘要页面上的Permissions
选项卡,查看所有附加策略列表;您可以展开每个策略行查看其详细信息。 -
测试权限:尝试执行验证权限所需的操作。例如,如果您需要访问案例,请尝试
ListCases
。如果您没有必要的权限,则会收到错误消息。 -
使用 AWS CLI 或 SDK:您可以使用首选编程语言的 AWS Command Line Interface 或 AWS SDK 来测试权限。例如,使用 AWS Command Line Interface,您可以运行
aws sts get-caller-identity
命令来验证您当前用户的权限。 -
查看 AWS CloudTrail 日志:审查 CloudTrail 日志,查看是否记录了您尝试执行的操作。这可以帮助您识别任何权限问题。
-
使用 IAM 策略模拟器:IAM 策略模拟器工具,可以让您测试 IAM 策略并查看它们对您权限的影响。
注意
具体步骤可能会有所不同,具体取决于 AWS 服务和您尝试执行的操作。