AWS セキュリティインシデント対応と AWS Organizations - AWS Organizations
サービスにリンクされたロールサービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にする委任管理者を有効にするセキュリティインシデント対応の委任管理者の無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS セキュリティインシデント対応と AWS Organizations

AWS Security Incident Response は、24 時間 365 日のライブセキュリティインシデントサポートを提供するセキュリティサービスで、認証情報の盗難やランサムウェア攻撃などのサイバーセキュリティインシデントにお客様が迅速に対応できるようにします。Organizations と統合することで、組織全体のセキュリティカバレッジが可能になります。詳細については、AWS 「 セキュリティインシデント対応ユーザーガイド」の「 によるセキュリティインシデント対応アカウントの管理 AWS Organizations」を参照してください。

次の情報は、 AWS セキュリティインシデント対応を と統合するのに役立ちます AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、次の「サービスにリンクされたロール」が組織の管理アカウントに自動的に作成されます。

  • AWSServiceRoleForSecurityIncidentResponse - Security Incident Response メンバーシップの作成に使用されます - を通じたサービスへのサブスクリプション AWS Organizations。

  • AWSServiceRoleForSecurityIncidentResponse_Triage - サインアップ中にトリアージ機能を有効にした場合にのみ使用されます。

Security Incident Response で使用されるサービスプリンシパル

前のセクションのサービスにリンクされたロールは、ロールに定義された信頼関係によって承認されたサービスプリンシパルによってのみ引き受けることができます。Security Incident Response で使用されるサービスにリンクされたロールは、次のサービスプリンシパルへのアクセスを許可します。

  • security-ir.amazonaws.com

Security Incident Response への信頼されたアクセスの有効化

Security Incident Response への信頼されたアクセスを有効にすると、サービスが組織の構造を追跡し、組織内のすべてのアカウントにアクティブなセキュリティインシデントカバレッジがあることを確認できます。また、トリアージ機能を有効にすると、サービスがメンバーアカウントでサービスにリンクされたロールを使用してトリアージ機能を使用できるようになります。

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

AWS セキュリティインシデント対応コンソールまたは コンソールを使用して、信頼された AWS Organizations アクセスを有効にできます。

重要

可能な限り、 AWS セキュリティインシデント対応コンソールまたはツールを使用して Organizations との統合を有効にすることを強くお勧めします。これにより、 AWS Security Incident Response は、サービスに必要なリソースの作成など、必要な設定を実行できます。 AWS Security Incident Response が提供するツールを使用して統合を有効にできない場合にのみ、これらのステップに進みます。詳細については、この注意を参照してください。

AWS Security Incident Response コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実行する必要はありません。

Organizations は、セットアップと管理に Security Incident Response コンソールを使用するときに、 Organizations の信頼されたアクセスを自動的に有効にします。Security Incident Response CLI/SDK を使用する場合は、E nableAWSServiceAccess APIを使用して信頼されたアクセスを手動で有効にする必要があります。セキュリティインシデント対応コンソールを使用して信頼されたアクセスを有効にする方法については、「セキュリティインシデント対応ユーザーガイド」のAWS 「アカウント管理の信頼されたアクセスの有効化」を参照してください。

信頼されたアクセスを有効にするには、 AWS Organizations コンソールを使用するか、 AWS CLI コマンドを実行するか、 のいずれかで APIオペレーションを呼び出します AWS SDKs。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストでAWS セキュリティインシデント対応を選択します。

  4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  5. AWS セキュリティインシデント対応の信頼されたアクセスを有効にするダイアログボックスで、確認のために有効化と入力し、信頼されたアクセスを有効にするを選択します。

  6. の管理者のみの場合は AWS Organizations、 AWS Security Incident Response の管理者に、そのサービスがサービスコンソール から AWS Organizations と連携できるようにしたことを伝えます。

AWS CLI, AWS API
OrganizationsCLI/ を使用して信頼されたサービスアクセスを有効にするにはSDK

次の AWS CLI コマンドまたはAPIオペレーションを使用して、信頼されたサービスアクセスを有効にします。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行して、 AWS セキュリティインシデント対応を Organizations の信頼されたサービスとして有効にします。

    $ aws organizations enable-aws-service-access \ 
    --service-principal security-ir.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: E nableAWSServiceアクセス

Security Incident Response による信頼されたアクセスの無効化

セキュリティインシデント対応による信頼されたアクセスを無効にすることができるのは、Organizations 管理アカウントの管理者のみです。

信頼されたアクセスを無効にするには、Organizations ツールのみを使用できます。

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの で Organizations APIオペレーションを呼び出します AWS SDKs。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソール にサインインします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストでAWS セキュリティインシデント対応を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. AWS Security Incident Response の信頼されたアクセスを無効にするダイアログボックスで、「Disable」と入力して確認し、「Disable trusted access」を選択します。

  6. の管理者のみの場合は AWS Organizations、 AWS Security Incident Response の管理者に、サービスコンソールまたはツール を使用して、そのサービスが で AWS Organizations 動作することを無効にできることを伝えます。

AWS CLI, AWS API
Organizations CLI/ を使用して信頼されたサービスアクセスを無効にするにはSDK

次の AWS CLI コマンドまたはAPIオペレーションを使用して、信頼されたサービスへのアクセスを無効にできます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行して、Organizations の信頼されたサービスとして AWS Security Incident Response を無効にします。

    $ aws organizations disable-aws-service-access \
    --service-principal security-ir.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: D isableAWSServiceアクセス

セキュリティインシデント対応の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーとロールは、組織の管理アカウントのユーザーまたはロールのみが実行できるセキュリティインシデント対応の管理アクションを実行できます。これにより、組織の管理とセキュリティインシデント対応の管理を分離できます。詳細については、AWS 「 セキュリティインシデント対応ユーザーガイド」の「 によるセキュリティインシデント対応アカウントの管理 AWS Organizations」を参照してください。

最小アクセス許可

Organizations 管理アカウントのユーザーまたはロールのみが、組織内のセキュリティインシデント対応の委任管理者としてメンバーアカウントを設定できます。

セキュリティインシデント対応コンソールを使用して委任管理者を設定する方法については、「セキュリティインシデント対応ユーザーガイド」の「委任セキュリティインシデント対応管理者アカウントの指定」を参照してください。

AWS CLI, AWS API

CLI または のいずれかを使用して AWS 委任管理者アカウントを設定する場合は AWS SDKs、次のコマンドを使用できます。

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal security-ir.amazonaws.com

  • AWS SDK: Organizations RegisterDelegatedAdministratorオペレーションとメンバーアカウントの ID 番号を呼び出し、アカウントサービスをパラメータsecurity-ir.amazonaws.comとして識別します。

セキュリティインシデント対応の委任管理者の無効化

重要

メンバーシップが委任された管理者アカウントから作成された場合、委任された管理者の登録解除は破壊的なアクションであり、サービスの中断を引き起こします。DA を再登録するには:

  1. でセキュリティインシデント対応コンソールにサインインする https://console.aws.amazon.com/security-ir/home#/membership/settings

  2. サービスコンソールからメンバーシップをキャンセルします。メンバーシップは、請求サイクルが終了するまでアクティブなままになります。

  3. メンバーシップがキャンセルされると、Organizations コンソールCLI、または を使用してサービスアクセスを無効にしますSDK。

セキュリティインシデント対応の委任された管理者を削除できるのは、Organizations 管理アカウントの管理者のみです。Organizations DeregisterDelegatedAdministratorCLIまたは SDKオペレーションを使用して、委任された管理者を削除できます。