本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
指定委派的安全事件响应管理员帐户所需的权限
您可以选择使用委派的管理员来设置您的 AWS 安全事件响应成员资格 AWS Organizations。有关如何授予这些权限的信息,请参阅与其他 AWS 服务 AWS Organizations 一起使用。
注意
AWS 使用控制台进行设置和管理时,“安全事件响应” 会自动启用 AWS Organizations 信任关系。如果您使用CLI/SDK,则必须使用 E A nableAWSService cces s 进行信任API来手动启用此功能security-ir.amazonaws.com。
作为经 AWS Organizations 理,在为组织指定委派的安全事件响应管理员帐户之前,请确认您可以执行以下 AWS 安全事件响应操作:sir:CreateMembership和sir:UpdateMembership。这些操作允许您使用安全事件响应为您的组织指定委派 AWS 的安全事件响应管理员帐户。您还必须确保允许您执行有助于检索组织信息的 AWS Organizations 操作。
要授予这些权限,请在账户的 AWS Identity and Access Management (IAM) 策略中加入以下声明:
{ "Sid": "PermissionsForSIRAdmin", "Effect": "Allow", "Action": [ "security-ir:CreateMembership", "security-ir:UpdateMembership", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }
如果您想将您的 AWS Organizations 管理层指定为委派的安全事件响应管理员帐户,则您的账户还需要IAM执行以下操作:CreateServiceLinkedRole。此操作允许您为管理层初始化 AWS 安全事件响应。但请首先检查将 AWS 安全事件响应与配合使用时的注意事项和建议 AWS Organizations,然后再继续添加权限。
要继续将管理层指定为委派的安全事件响应管理员帐户,请在IAM策略中添加以下声明并111122223333替换为组织管理层的 AWS 账户 ID:
{ "Sid": "PermissionsToEnablesir" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForAmazonsir", "Condition": { "StringLike": { "iam:AWSServiceName": "security-ir.amazonaws.com" } } }
