# 遏制 AWS 安全事件响应会与您协同遏制安全事件。您可以将该服务配置为在您的账户中主动执行遏制措施,以响应安全调查发现。您可以自行执行遏制措施,也可以使用[支持的遏制措施](https://docs.aws.amazon.com/security-ir/latest/userguide/supported-containment-actions.html)中所述的 [SSM 文档](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html),与第三方合作伙伴协同执行遏制措施。 **重要** 默认情况下,AWS 安全事件响应不会启用遏制功能。 需要完成两个步骤才能启用主动遏制功能: 使用 IAM 角色向服务**授予必要的权限**。您可以为每个账户分别创建这些角色,也可使用 AWS CloudFormation 堆栈集为整个组织创建这些角色(这些堆栈集将会创建所需角色)。 为每个账户或整个组织**定义遏制首选项**,以授权主动执行遏制措施。账户级别的首选项会取代组织级别的首选项。这可以通过创建 AWS Support 案例(技术:安全事件响应服务/其他)来完成。可用的遏制首选项如下: **需要审批(默认):**除非针对具体案例获得显式授权,否则不对任何资源执行主动遏制。 **遏制已确认:**主动遏制已确认泄露的资源。 **遏制疑似:**根据 AWS 安全事件响应工程所执行的分析,主动遏制泄漏可能性高的资源。