AWS 安全事件响应和 AWS Organizations

AWS Security Incident Response 是一项安全服务，可提供全天候的人工辅助安全事件支持，以帮助客户快速响应证书盗用和勒索软件攻击等网络安全事件。通过与 Organizations 集成，您可以为整个组织提供安全保障。有关更多信息，请参阅《AWS 安全事件响应用户指南》 AWS Organizations中的 “使用管理安全事件响应帐户”。

使用以下信息来帮助您将 AWS 安全事件响应与集成 AWS Organizations。

启用集成时，创建了一个服务相关角色

当您启用信任访问权限后，您组织的管理账户中会自动创建以下服务相关角色。

AWSServiceRoleForSecurityIncidentResponse-用于创建安全事件响应会员资格-您通过订阅该服务 AWS Organizations。
AWSServiceRoleForSecurityIncidentResponse_Triage-仅在注册期间启用分类功能时使用。

安全事件响应使用的服务主体

上一节中的服务相关角色只能由通过为该角色定义的信任关系授权的服务主体担任。安全事件响应使用的服务相关角色向以下服务主体授予访问权限：

security-ir.amazonaws.com

启用对安全事件响应的可信访问权限

启用对安全事件响应的可信访问权限使该服务能够跟踪您的组织结构，并确保组织中的所有账户都有有效的安全事件保障。当您启用会审功能时，它还允许服务使用成员账户中的服务关联角色来实现分类功能。

有关启用信任访问权限所需权限的信息，请参阅允许可信访问所需的权限。

您可以使用 AWS 安全事件响应控制台或控制台启用可信访问。 AWS Organizations

重要

我们强烈建议您尽可能使用 AWS 安全事件响应控制台或工具来启用与 Organizations 的集成。这允许 AWS 安全事件响应执行其所需的任何配置，例如创建服务所需的资源。只有在无法使用 AWS 安全事件响应提供的工具启用集成时，才能继续执行这些步骤。有关更多信息，请参阅此说明。

如果您使用 AWS 安全事件响应控制台或工具启用可信访问，则无需完成这些步骤。

当您使用安全事件响应控制台进行设置和管理时，Organizations 会自动启用 Organizations 的可信访问权限。如果您使用安全事件响应CLI/，SDK则必须使用 E Access 手动启用可信nableAWSService访问API。要了解如何通过安全事件响应控制台启用可信访问，请参阅《安全事件响应用户指南》中的 “为 AWS 账户管理启用可信访问”。

您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用API操作来启用可信访问 AWS SDKs。

AWS Management Console

要使用 Organizations 控制台启用信任服务访问权限，请执行以下操作：

登录 AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录（不推荐）在组织的管理账户中登录。
在导航窗格中，选择服务。
在服务列表中选择 “AWS 安全事件响应”。
选择 Enable trusted access (启用可信访问)。
在 “为 AWS 安全事件响应启用可信访问” 对话框中，键入 en ab le 进行确认，然后选择 “启用可信访问”。
如果您仅是的管理员 AWS Organizations，请告知 AWS 安全事件响应的管理员，他们现在可以 AWS Organizations 从服务控制台启用该服务。

AWS CLI, AWS API

使用 OrganizationsCLI/启用可信服务访问权限 SDK

使用以下 AWS CLI 命令或API操作启用可信服务访问权限：

AWS CLI: enable-aws-service-access

运行以下命令，将 “ AWS 安全事件响应” 作为 Organizations 的可信服务启用。
```
$ aws organizations enable-aws-service-access \ 
    --service-principal security-ir.amazonaws.com
```
如果成功，此命令不会产生任何输出。
AWS API: E A nableAWSService ccess

使用 “安全事件响应” 禁用可信访问

只有 Organizations 管理帐户中的管理员才能通过 “安全事件响应” 禁用可信访问权限。

您只能使用 Organizations 工具禁用可信访问。

您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。

AWS Management Console

使用 Organizations 控制台禁用信任服务访问权限

登录 AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录（不推荐）在组织的管理账户中登录。
在导航窗格中，选择服务。
在服务列表中选择 “AWS 安全事件响应”。
选择 Disable trusted access（禁用信任访问权限）。
在 “为 AWS 安全事件响应禁用可信访问” 对话框中，键入 dis able 进行确认，然后选择 “禁用可信访问”。
如果您仅是的管理员 AWS Organizations，请告诉 “ AWS 安全事件响应” 的管理员，他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。

AWS CLI, AWS API

使用 OrganizationsCLI/禁用可信服务访问权限 SDK

您可以使用以下 AWS CLI 命令或API操作来禁用可信服务访问权限：

AWS CLI: disable-aws-service-access

运行以下命令将 AWS 安全事件响应作为 Organizations 的可信服务禁用。
```
$ aws organizations disable-aws-service-access \
    --service-principal security-ir.amazonaws.com
```
如果成功，此命令不会产生任何输出。
AWS API: D A isableAWSService ccess

为安全事件响应启用委派管理员帐户

当您将成员账户指定为组织的委托管理员时，该账户中的用户和角色可以对安全事件响应执行管理操作，否则只能由组织管理账户中的用户或角色执行这些操作。这可以帮助您将组织管理与安全事件响应管理分开。有关更多信息，请参阅《AWS 安全事件响应用户指南》 AWS Organizations中的 “使用管理安全事件响应帐户”。

最小权限

只有 Organizations 管理账户中的用户或角色才能将成员账户配置为组织中安全事件响应的委托管理员

要了解如何通过安全事件响应控制台配置委派管理员，请参阅《安全事件响应用户指南》中的指定委派安全事件响应管理员帐户。

禁用安全事件响应的委托管理员

重要

如果成员资格是通过委派的管理员帐户创建的，则取消注册委派管理员是一种破坏性操作，并且会导致服务中断。要重新注册 DA，请执行以下操作：

登录安全事件响应控制台，网址为 https://console.aws.amazon.com/security-ir/ home#/membership/settings
从服务控制台取消成员资格。会员资格在账单周期结束之前一直有效。
取消成员资格后，通过 Organizations 控制台禁用服务访问权限，CLI或者SDK。

只有 Organizations 管理账户中的管理员才能移除安全事件响应的委派管理员。您可以使用 Organizations DeregisterDelegatedAdministrator CLI 或SDK操作移除委派的管理员。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Amazon S3 Storage Lens 存储统计管理工具

Amazon Security Lake