AWS Reaktion auf Sicherheitsvorfälle und AWS Organizations - AWS Organizations
Service-verknüpfte RollenService-PrinzipalDen vertrauenswürdigen Zugriff aktivierenSo deaktivieren Sie den vertrauenswürdigen ZugriffDelegierten Administrator aktivierenDeaktivierung eines delegierten Administrators für die Reaktion auf Sicherheitsvorfälle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Reaktion auf Sicherheitsvorfälle und AWS Organizations

AWS Security Incident Response ist ein Sicherheitsservice, der rund um die Uhr Live-Support bei Sicherheitsvorfällen bietet und Kunden dabei unterstützt, schnell auf Cybersicherheitsvorfälle wie Diebstahl von Zugangsdaten und Ransomware-Angriffe zu reagieren. Durch die Integration mit Organizations ermöglichen Sie den Sicherheitsschutz für Ihr gesamtes Unternehmen. Weitere Informationen finden Sie unter Verwaltung von AWS Security Incident Response-Konten mit AWS Organizations im Security Incident Response-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, um Ihnen bei der Integration von AWS Security Incident Response zu helfen AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgenden serviceverknüpften Rollen werden automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren.

  • AWSServiceRoleForSecurityIncidentResponse— wird für die Erstellung einer Mitgliedschaft bei Security Incident Response verwendet — Ihr Abonnement für den Service über AWS Organizations.

  • AWSServiceRoleForSecurityIncidentResponse_Triage— wird nur verwendet, wenn Sie die Triage-Funktion bei der Registrierung aktivieren.

Von Security Incident Response verwendete Dienstprinzipale

Die dienstbezogenen Rollen im vorherigen Abschnitt können nur von den Dienstprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensbeziehungen autorisiert wurden. Die von Security Incident Response verwendeten dienstbezogenen Rollen gewähren Zugriff auf den folgenden Dienstprinzipal:

  • security-ir.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs auf Security Incident Response

Durch die Aktivierung des vertrauenswürdigen Zugriffs auf Security Incident Response kann der Service die Struktur Ihres Unternehmens verfolgen und sicherstellen, dass alle Konten in der Organisation aktiv gegen Sicherheitsvorfälle geschützt sind. Wenn Sie die Triage-Funktion aktivieren, kann der Service außerdem eine mit dem Dienst verknüpfte Rolle in Mitgliedskonten für Triaging-Funktionen verwenden.

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff entweder über die AWS Security Incident Response-Konsole oder die Konsole aktivieren. AWS Organizations

Wichtig

Wir empfehlen dringend, wann immer möglich, die AWS Security Incident Response-Konsole oder Tools zu verwenden, um die Integration mit Organizations zu ermöglichen. Auf diese Weise kann AWS Security Incident Response jede erforderliche Konfiguration durchführen, z. B. die Bereitstellung von Ressourcen, die für den Service benötigt werden. Fahren Sie mit diesen Schritten nur fort, wenn Sie die Integration mit den von AWS Security Incident Response bereitgestellten Tools nicht aktivieren können. Weitere Informationen sind in diesem Hinweis zu finden.

Wenn Sie den vertrauenswürdigen Zugriff mithilfe der AWS Security Incident Response-Konsole oder der Tools aktivieren, müssen Sie diese Schritte nicht ausführen.

Organizations aktiviert automatisch den vertrauenswürdigen Zugriff für Organizations, wenn Sie die Security Incident Response-Konsole für die Einrichtung und Verwaltung verwenden. Wenn Sie Security Incident ResponseCLI/verwenden, SDK müssen Sie den vertrauenswürdigen Zugriff mithilfe von E nableAWSService Access manuell aktivierenAPI. Informationen zum Aktivieren des vertrauenswürdigen Zugriffs über die Security Incident Response-Konsole finden Sie unter Vertrauenswürdigen Zugriff für die AWS Kontoverwaltung aktivieren im Security Incident Response-Benutzerhandbuch.

Sie können vertrauenswürdigen Zugriff aktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Befehl ausführen oder einen API Vorgang in einem der Befehle aufrufen AWS SDKs.

AWS Management Console
So aktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) im Verwaltungskonto der Organisation anmelden.

  2. Wählen Sie im Navigationsbereich Services.

  3. Wählen Sie in der Liste der Dienste die Option AWS Security Incident Response aus.

  4. Wählen Sie Vertrauenswürdigen Zugriff aktivieren.

  5. Geben Sie im Dialogfeld Vertrauenswürdigen Zugriff für AWS Security Incident Response aktivieren zur Bestätigung die Zeichenfolge enable ein, und wählen Sie dann Vertrauenswürdigen Zugriff aktivieren aus.

  6. Wenn Sie der Administrator von Only sind AWS Organizations, teilen Sie dem Administrator von AWS Security Incident Response mit, dass er diesen Dienst jetzt von der Servicekonsole AWS Organizations aus für die Arbeit mit diesem Dienst aktivieren kann.

AWS CLI, AWS API
Um den vertrauenswürdigen Dienstzugriff mithilfe der Organizations zu aktivierenCLI/SDK

Verwenden Sie die folgenden AWS CLI Befehle oder API Operationen, um den vertrauenswürdigen Dienstzugriff zu aktivieren:

  • AWS CLI: enable-aws-service-access

    Führen Sie den folgenden Befehl aus, um AWS Security Incident Response als vertrauenswürdigen Dienst für Organizations zu aktivieren.

    $ aws organizations enable-aws-service-access \ 
    --service-principal security-ir.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS API: E nableAWSService Access

Deaktivierung des vertrauenswürdigen Zugriffs mit Security Incident Response

Nur ein Administrator im Verwaltungskonto der Organizations kann den vertrauenswürdigen Zugriff mit Security Incident Response deaktivieren.

Sie können den vertrauenswürdigen Zugriff nur mit den Tools für Organizations deaktivieren.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Organizations-Befehl ausführen oder einen API Organizations-Vorgang in einem der AWS SDKs.

AWS Management Console
So deaktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) im Verwaltungskonto der Organisation anmelden.

  2. Wählen Sie im Navigationsbereich Services.

  3. Wählen Sie in der Liste der Dienste die Option AWS Security Incident Response aus.

  4. Wählen Sie Vertrauenswürdigen Zugriff deaktivieren.

  5. Geben Sie im Dialogfeld „Vertrauenswürdigen Zugriff für AWS Security Incident Response deaktivieren“ zur Bestätigung „Deaktivieren“ ein, und wählen Sie dann Vertrauenswürdigen Zugriff deaktivieren aus.

  6. Wenn Sie der Administrator von Only sind AWS Organizations, teilen Sie dem Administrator von AWS Security Incident Response mit, dass er diesen Dienst jetzt deaktivieren kann, damit er nicht mehr AWS Organizations mit der Servicekonsole oder den Tools funktioniert.

AWS CLI, AWS API
Um den Zugriff auf vertrauenswürdige Dienste mithilfe der Organizations zu deaktivierenCLI/SDK

Sie können die folgenden AWS CLI Befehle oder API Operationen verwenden, um den Zugriff auf vertrauenswürdige Dienste zu deaktivieren:

  • AWS CLI: disable-aws-service-access

    Führen Sie den folgenden Befehl aus, um AWS Security Incident Response als vertrauenswürdigen Dienst bei Organizations zu deaktivieren.

    $ aws organizations disable-aws-service-access \
    --service-principal security-ir.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS API: D isableAWSService Zugriff

Aktivierung eines delegierten Administratorkontos für die Reaktion auf Sicherheitsvorfälle

Wenn Sie ein Mitgliedskonto als delegierten Administrator für die Organisation festlegen, können Benutzer und Rollen dieses Kontos administrative Aktionen für Security Incident Response ausführen, die ansonsten nur von Benutzern oder Rollen im Verwaltungskonto der Organisation ausgeführt werden können. Auf diese Weise können Sie die Verwaltung der Organisation von der Verwaltung von Security Incident Response trennen. Weitere Informationen finden Sie unter AWS Security Incident Response-Konten verwalten mit AWS Organizations im Security Incident Response-Benutzerhandbuch.

Mindestberechtigungen

Nur ein Benutzer oder eine Rolle im Verwaltungskonto der Organizations kann ein Mitgliedskonto als delegierter Administrator für Security Incident Response in der Organisation konfigurieren.

Informationen zur Konfiguration eines delegierten Administrators über die Security Incident Response-Konsole finden Sie unter Benennen eines delegierten Security Incident Response-Administratorkontos im Security Incident Response-Benutzerhandbuch.

AWS CLI, AWS API

Wenn Sie ein delegiertes Administratorkonto mit dem AWS CLI oder einem der folgenden Befehle konfigurieren möchten AWS SDKs, können Sie die folgenden Befehle verwenden:

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal security-ir.amazonaws.com

  • AWS SDK: Rufen Sie den RegisterDelegatedAdministrator Betrieb Organizations und die ID-Nummer des Mitgliedskontos auf und identifizieren Sie den Kontoservice security-ir.amazonaws.com als Parameter.

Deaktivierung eines delegierten Administrators für die Reaktion auf Sicherheitsvorfälle

Wichtig

Wenn die Mitgliedschaft über das delegierte Administratorkonto erstellt wurde, ist die Abmeldung des delegierten Administrators eine destruktive Aktion und führt zu Dienstunterbrechungen. Um DA erneut zu registrieren:

  1. Melden Sie sich bei der Security Incident Response-Konsole an unter https://console.aws.amazon.com/security-ir/ home#/membership/settings

  2. Kündigen Sie die Mitgliedschaft über die Servicekonsole. Die Mitgliedschaft bleibt bis zum Ende des Abrechnungszeitraums aktiv.

  3. Sobald die Mitgliedschaft gekündigt wurde, deaktivieren Sie den Servicezugriff über die Organisationskonsole, CLI oderSDK.

Nur ein Administrator im Verwaltungskonto der Organizations kann einen delegierten Administrator für Security Incident Response entfernen. Sie können den delegierten Administrator mithilfe der Operation Organizations DeregisterDelegatedAdministrator CLI oder des SDK Vorgangs entfernen.