本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 安全事件回應和 AWS Organizations
<a name="services-that-can-integrate-security-ir"></a>

AWS 安全事件回應是一項安全服務，提供全年無休的即時、人力輔助安全事件支援，協助客戶快速回應憑證遭竊和勒索軟體攻擊等網路安全事件。透過與 Organizations 整合，您可以為整個組織啟用安全涵蓋範圍。如需詳細資訊，請參閱《[AWS 安全事件回應使用者指南》中的使用 管理 AWS Organizations](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html)*安全事件回應*帳戶。

使用以下資訊來協助您整合 AWS 安全事件回應 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-security-ir"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下服務連結角色。
+ `AWSServiceRoleForSecurityIncidentResponse` - 用於建立安全事件回應成員資格 - 透過 訂閱服務 AWS Organizations。
+ `AWSServiceRoleForSecurityIncidentResponse_Triage` - 僅在您在註冊期間啟用分類功能時使用。

## 安全事件回應所使用的服務主體
<a name="integrate-enable-svcprin-security-ir"></a>

 上一節中的服務連結角色只能由為角色定義的信任關係授權的服務主體擔任。安全事件回應使用的服務連結角色會將存取權授予下列服務委託人：
+ `security-ir.amazonaws.com`

## 啟用安全事件回應的受信任存取
<a name="integrate-enable-ta-security-ir"></a>

啟用安全事件回應的受信任存取權可讓服務追蹤組織的結構，並確保組織中的所有帳戶都有作用中的安全事件涵蓋範圍。當您啟用分類功能時，它還允許服務在成員帳戶中使用服務連結角色來分類功能。

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS 安全事件回應主控台或 主控台來啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 AWS 安全事件回應主控台或工具來啟用與 Organizations 的整合。這可讓 AWS 安全事件回應執行其所需的任何組態，例如建立服務所需的資源。只有在您無法使用 AWS 安全事件回應提供的工具啟用整合時，才能繼續進行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS 安全事件回應主控台或工具啟用受信任存取，則不需要完成這些步驟。

當您使用安全事件回應主控台進行設定和管理時，Organizations 會自動啟用 Organizations 受信任的存取。如果您使用安全事件回應 CLI/SDK，則必須使用 [EnableAWSServiceAccess API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 手動啟用受信任存取。若要了解如何透過安全事件回應主控台啟用受信任存取，請參閱*《安全事件回應使用者指南*》中的[為 AWS 帳戶管理啟用受信任存取](https://docs.aws.amazon.com/security-ir/latest/userguide/using-orgs-trusted-access.html)。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇**AWS 安全事件回應**。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用 AWS 安全事件回應的受信任存取**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 AWS 安全事件回應的管理員，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，將 AWS 安全事件回應啟用為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal security-ir.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用安全事件回應停用受信任存取
<a name="integrate-disable-ta-security-ir"></a>

只有 Organizations 管理帳戶中的管理員可以透過安全事件回應停用受信任存取。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇**AWS 安全事件回應**。

1. 選擇**停用受信任的存取**。

1. 在**停用 AWS 安全事件回應的受信任存取**對話方塊中，輸入**停用**進行確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 AWS 安全事件回應的管理員，他們現在可以使用服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，將 AWS 安全事件回應停用為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal security-ir.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 為安全事件回應啟用委派管理員帳戶
<a name="integrate-enable-da-security-ir"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以針對安全事件回應執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與安全事件回應的管理分開。如需詳細資訊，請參閱《[AWS 安全事件回應使用者指南》中的使用 管理 AWS Organizations](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html)*安全事件回應*帳戶。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色可以將成員帳戶設定為組織中安全事件回應的委派管理員

若要了解如何透過安全事件回應主控台設定委派管理員，請參閱[《安全事件回應使用者指南》中的指定委派的安全事件回應管理員帳戶](https://docs.aws.amazon.com/security-ir/latest/userguide/delegated-admin-designate.html)。 **

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal security-ir.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務識別`security-ir.amazonaws.com`為參數。

------

## 針對安全事件回應停用委派管理員
<a name="integrate-disable-da-security-ir"></a>

**重要**  
如果成員資格是從委派管理員帳戶建立的，則取消註冊委派管理員是一項破壞性動作，並會導致服務中斷。若要重新註冊 DA：  
在 https：//https://console.aws.amazon.com/security-ir/home\#/membership/settings 登入安全事件回應主控台
從服務主控台取消成員資格。成員資格會保持作用中狀態，直到帳單週期結束為止。
 一旦取消成員資格，請透過 Organizations 主控台、CLI 或 SDK 停用服務存取。

 只有 Organizations 管理帳戶中的管理員才能移除安全事件回應的委派管理員。您可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作來移除委派管理員。