Rôles liés à un service Principaux de service Activer l'accès approuvé Désactiver l'accès approuvé Activer un administrateur délégué Désactivation d'un administrateur délégué pour la réponse aux incidents de sécurité

AWS Réponse aux incidents de sécurité et AWS Organizations

AWS Security Incident Response est un service de sécurité qui fournit une assistance en temps réel, 24 heures sur 24, 7 jours sur 7, pour aider les clients à réagir rapidement aux incidents de cybersécurité tels que le vol d'informations d'identification et les attaques par ransomware. En intégrant Organizations, vous offrez une couverture de sécurité à l'ensemble de votre organisation. Pour plus d'informations, consultez la section Gestion des comptes AWS de réponse aux incidents de sécurité AWS Organizations dans le Guide de l'utilisateur de réponse aux incidents de sécurité.

Utilisez les informations suivantes pour vous aider à intégrer AWS la réponse aux incidents de sécurité à AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Les rôles liés à un service suivant sont automatiquement créés dans le compte de gestion de votre organisation lorsque vous activez l'accès de confiance.

AWSServiceRoleForSecurityIncidentResponse- utilisé pour créer un abonnement Security Incident Response - votre abonnement au service via AWS Organizations.
AWSServiceRoleForSecurityIncidentResponse_Triage- utilisé uniquement lorsque vous activez la fonction de triage lors de l'inscription.

Principes de service utilisés par Security Incident Response

Les rôles liés au service décrits dans la section précédente ne peuvent être assumés que par les principaux de service autorisés par les relations de confiance définies pour le rôle. Les rôles liés au service utilisés par Security Incident Response accordent l'accès au principal de service suivant :

security-ir.amazonaws.com

Permettre un accès fiable à la réponse aux incidents de sécurité

L'activation d'un accès fiable à Security Incident Response permet au service de suivre la structure de votre organisation et de garantir que tous les comptes de l'organisation bénéficient d'une couverture active en cas d'incident de sécurité. Cela permet également au service d'utiliser un rôle lié au service dans les comptes des membres pour les fonctionnalités de tri lorsque vous activez la fonctionnalité de triage.

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Vous pouvez activer l'accès sécurisé à l'aide de la console AWS Security Incident Response ou de la AWS Organizations console.

Important

Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la console ou les outils de réponse aux incidents de AWS sécurité pour permettre l'intégration avec les Organizations. Cela permet à AWS Security Incident Response d'effectuer toutes les configurations requises, telles que la création des ressources nécessaires au service. Procédez comme suit uniquement si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Security Incident Response. Pour plus d'informations, consultez cette note.

Si vous activez l'accès sécurisé à l'aide de la console ou des outils de réponse aux incidents de AWS sécurité, vous n'avez pas besoin de suivre ces étapes.

Organizations active automatiquement l'accès sécurisé des Organizations lorsque vous utilisez la console Security Incident Response pour la configuration et la gestion. Si vous utilisez la réponse aux incidents de sécuritéCLI/SDK, vous devez activer manuellement l'accès sécurisé à l'aide de l'E nableAWSService Access API. Pour savoir comment activer un accès sécurisé via la console Security Incident Response, consultez la section Activation de l'accès sécurisé pour la gestion des AWS comptes dans le Guide de l'utilisateur de Security Incident Response.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une API opération dans l'un des AWS SDKs.

AWS Management Console

Pour activer l'accès approuvé aux services à l'aide de la console Organizations

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans le panneau de navigation, choisissez Services.
Choisissez AWS Security Incident Response dans la liste des services.
Choisissez Enable trusted access (Activer l'accès approuvé).
Dans la boîte de dialogue Activer l'accès sécurisé pour AWS la réponse aux incidents de sécurité, tapez enable pour confirmer, puis sélectionnez Activer l'accès sécurisé.
Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur de AWS Security Incident Response qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

AWS CLI, AWS API

Pour permettre un accès fiable aux services à l'aide des OrganizationsCLI/SDK

Utilisez les AWS CLI commandes ou API opérations suivantes pour activer l'accès sécurisé aux services :

AWS CLI: enable-aws-service-access

Exécutez la commande suivante pour activer AWS Security Incident Response en tant que service fiable auprès des Organizations.
```
$ aws organizations enable-aws-service-access \ 
    --service-principal security-ir.amazonaws.com
```
Cette commande ne produit aucune sortie lorsqu'elle réussit.
AWS API: nableAWSServiceAccès E

Désactivation de l'accès sécurisé avec Security Incident Response

Seul un administrateur du compte de gestion des Organizations peut désactiver l'accès sécurisé avec Security Incident Response.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une API opération Organizations dans l'un des AWS SDKs.

AWS Management Console

Pour désactiver l'accès approuvé à l'aide de la console Organizations

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans le panneau de navigation, choisissez Services.
Choisissez AWS Security Incident Response dans la liste des services.
Choisissez Disable trusted access (Désactiver l'accès approuvé).
Dans la boîte de dialogue Désactiver l'accès sécurisé pour la réponse aux incidents de AWS sécurité, tapez désactiver pour confirmer, puis choisissez Désactiver l'accès sécurisé.
Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur de AWS Security Incident Response qu'il peut désormais désactiver ce service à l' AWS Organizations aide de la console de service ou des outils.

AWS CLI, AWS API

Pour désactiver l'accès aux services sécurisés à l'aide des OrganizationsCLI/SDK

Vous pouvez utiliser les AWS CLI commandes ou API opérations suivantes pour désactiver l'accès aux services sécurisés :

AWS CLI: disable-aws-service-access

Exécutez la commande suivante pour désactiver AWS Security Incident Response en tant que service fiable auprès des Organizations.
```
$ aws organizations disable-aws-service-access \
    --service-principal security-ir.amazonaws.com
```
Cette commande ne produit aucune sortie lorsqu'elle réussit.
AWS API: isableAWSService Accès

Activation d'un compte d'administrateur délégué pour la réponse aux incidents de sécurité

Lorsque vous désignez un compte membre en tant qu'administrateur délégué de l'organisation, les utilisateurs et les rôles associés à ce compte peuvent effectuer des actions administratives pour la réponse aux incidents de sécurité qui, autrement, ne peuvent être effectuées que par les utilisateurs ou les rôles du compte de gestion de l'organisation. Cela vous permet de séparer la gestion de l'organisation de la gestion de la réponse aux incidents de sécurité. Pour plus d'informations, consultez la section Gestion des comptes AWS de réponse aux incidents de sécurité AWS Organizations dans le Guide de l'utilisateur de réponse aux incidents de sécurité.

Autorisations minimales

Seul un utilisateur ou un rôle dans le compte de gestion des Organisations peut configurer un compte membre en tant qu'administrateur délégué pour la réponse aux incidents de sécurité dans l'organisation

Pour savoir comment configurer un administrateur délégué via la console Security Incident Response, voir Désignation d'un compte administrateur délégué de réponse aux incidents de sécurité dans le Guide de l'utilisateur de Security Incident Response.

Désactivation d'un administrateur délégué pour la réponse aux incidents de sécurité

Important

Si l'adhésion a été créée à partir du compte d'administrateur délégué, la désinscription de l'administrateur délégué est une action destructrice et entraînera une interruption du service. Pour réenregistrer DA :

Connectez-vous à la console Security Incident Response à l'adresse https://console.aws.amazon.com/security-ir/ home#/membership/settings
Annulez l'adhésion depuis la console de service. L'adhésion reste active jusqu'à la fin du cycle de facturation.
Une fois l'adhésion annulée, désactivez l'accès au service via la console Organizations, CLI ouSDK.

Seul un administrateur du compte de gestion des Organizations peut supprimer un administrateur délégué pour Security Incident Response. Vous pouvez supprimer l'administrateur délégué à l'aide de l'SDKopération Organizations DeregisterDelegatedAdministrator CLI ou Organizations.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon S3 Storage Lens

Amazon Security Lake