选择一个会员账户
会员账户是用于配置账户详细信息、为事件响应团队添加和删除详细信息,以及可以在其中创建和管理所有活动和历史安全事件的 AWS 账户。建议将 AWS 安全事件响应成员账户与您为 Amazon GuardDuty 和 AWS Security Hub CSPM 等服务启用的账户保持一致。
可通过两种方式来使用 AWS Organizations 选择 AWS 安全事件响应成员账户。您可以在组织管理账户或组织委托管理员账户中创建会员资格。
使用委托管理员账户:AWS 安全事件响应管理任务和案例管理在委托管理员账户中执行。建议使用您为其他 AWS 安全与合规服务设置的相同委派管理员。提供 12 位数的委托管理员账户 ID,然后登录该账户继续操作。
重要
如果在设置过程中使用委托管理员账户,AWS 安全事件响应无法在您的 AWS Organizations 管理账户中自动创建所需的分类服务相关角色。请完成下面的步骤以在您的 AWS Organizations 管理账户中手动创建此角色。
创建服务相关角色(控制台)
登录您的 AWS Organizations 管理账户。
使用您偏好的方法访问 AWS CloudShell 控制台
或通过 AWS Command Line Interface 访问账户。 -
使用
aws iam create-service-linked-role --aws-service-name "triage.security-ir.amazonaws.com" --no-cli-pagerCLI 命令。 -
(可选)要验证命令是否有效,请运行命令
aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage。
使用当前登录的账户:选择此账户意味着当前账户将被指定为您 AWS 安全事件响应会员资格的中央会员账户。贵组织内的个人需要通过此账户访问该服务,才能创建、访问和管理处于活动状态的案例和已解决的案例。
确保您有权管理 AWS 安全事件响应。
有关添加权限的具体步骤,请参阅添加和删除 IAM 身份权限。
请参阅 AWS 安全事件响应托管策略。
要验证 IAM 权限,您可以按照以下步骤操作:
-
查看 IAM 策略:审查附加到用户、群组或角色的 IAM 策略,确保此策略授予了必要的权限。为此,您可以导航到 https://console.aws.amazon.com/iam/
,选择 Users选项,选择特定用户,然后转到他们摘要页面上的Permissions选项卡,查看所有附加策略列表;您可以展开每个策略行查看其详细信息。 -
测试权限:尝试执行验证权限所需的操作。例如,如果您需要访问案例,请尝试
ListCases。如果您没有必要的权限,则会收到错误消息。 -
使用 AWS CLI 或 SDK:您可以使用首选编程语言的 AWS Command Line Interface 或 AWS SDK 来测试权限。例如,使用 AWS Command Line Interface,您可以运行
aws sts get-caller-identity命令来验证您当前用户的权限。 -
查看 AWS CloudTrail 日志:审查 CloudTrail 日志,查看是否记录了您尝试执行的操作。这可以帮助您识别任何权限问题。
-
使用 IAM 策略模拟器:IAM 策略模拟器工具,可以让您测试 IAM 策略并查看它们对您权限的影响。
注意
具体步骤可能会有所不同,具体取决于 AWS 服务和您尝试执行的操作。
