AWS 安全事件回應和 AWS Organizations - AWS Organizations
服務連結角色服務主體啟用受信任存取停用受信任存取啟用委派的管理員針對安全事件回應停用委派管理員

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 安全事件回應和 AWS Organizations

AWS 安全事件回應是一項安全服務,提供全年無休的即時、人為輔助安全事件支援,協助客戶快速回應憑證遭竊和勒索軟體攻擊等網路安全事件。透過與 Organizations 整合,您可以為整個組織啟用安全涵蓋範圍。如需詳細資訊,請參閱《AWS 安全事件回應使用者指南》中的使用 管理 AWS Organizations安全事件回應帳戶。

使用下列資訊協助您整合 AWS 安全事件回應 AWS Organizations。

當您啟用整合時,即會建立服務連結角色。

當您啟用受信任存取時,會在您組織的管理帳戶中自動建立以下服務連結角色。

  • AWSServiceRoleForSecurityIncidentResponse - 用於建立安全事件回應成員資格 - 透過 訂閱服務 AWS Organizations。

  • AWSServiceRoleForSecurityIncidentResponse_Triage - 只有在您註冊期間啟用分類功能時使用。

安全事件回應所使用的服務主體

上一節中的服務連結角色只能由為角色定義的信任關係授權的服務主體擔任。安全事件回應所使用的服務連結角色會授予下列服務主體存取權:

  • security-ir.amazonaws.com

啟用安全事件回應的信任存取

啟用安全事件回應的受信任存取權,可讓服務追蹤組織的結構,並確保組織中的所有帳戶都有作用中的安全事件涵蓋範圍。當您啟用分類功能時,它也允許服務在成員帳戶中使用服務連結角色來分類功能。

如需啟用受信任存取所需許可的資訊,請參閱啟用信任的存取所需的許可

您可以使用 AWS 安全事件回應主控台或主控台來啟用受信任存取 AWS Organizations 。

重要

我們強烈建議您盡可能使用 AWS 安全事件回應主控台或工具來啟用與 Organizations 的整合。這可讓 AWS 安全事件回應執行其所需的任何組態,例如建立服務所需的資源。只有在您無法使用 AWS 安全事件回應提供的工具啟用整合時,才能繼續執行這些步驟。如需詳細資訊,請參閱本說明

如果您使用 AWS 安全事件回應主控台或工具啟用受信任存取,則不需要完成這些步驟。

當您使用安全事件回應主控台進行設定和管理時, Organizations 會自動啟用 Organizations 受信任的存取。如果您使用安全事件回應 CLI/SDK,則必須使用 E Access 手動啟用信任nableAWSService存取API。若要了解如何透過安全事件回應主控台啟用受信任存取,請參閱《安全事件回應使用者指南》中的為 AWS 帳戶管理啟用受信任存取

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令或呼叫其中一個 中的 API操作,來啟用受信任存取 AWS SDKs。

AWS Management Console
使用 Organizations 主控台來啟用受信任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以IAM使用者身分登入、擔任 IAM角色,或以組織的管理帳戶中的根使用者身分登入 (不建議)。

  2. 在導覽窗格中,選擇服務

  3. 在 服務清單中選擇AWS 安全事件回應

  4. 選擇 Enable trusted access (啟用信任存取)

  5. 啟用 AWS 安全事件回應的信任存取對話方塊中,輸入啟用以進行確認,然後選擇啟用信任存取

  6. 如果您只是 的管理員 AWS Organizations,請告訴 AWS 安全事件回應的管理員,他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

AWS CLI, AWS API
使用 OrganizationsCLI/ 啟用信任的服務存取SDK

使用以下 AWS CLI 命令或API操作來啟用信任的服務存取:

  • AWS CLI: enable-aws-service-access

    執行下列命令,以使用 Organizations 將 AWS 安全事件回應啟用為信任的服務。

    $ aws organizations enable-aws-service-access \ 
    --service-principal security-ir.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:E nableAWSServiceAccess

使用安全事件回應停用受信任存取

只有 Organizations 管理帳戶中的管理員可以使用安全事件回應來停用受信任的存取。

您只能使用 Organizations 工具停用受信任的存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令,或呼叫其中一個 中的 Organizations API操作,來停用受信任的存取 AWS SDKs。

AWS Management Console
使用 Organizations 主控台來受信停用任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以IAM使用者身分登入、擔任 IAM角色,或以組織的管理帳戶中的根使用者身分登入 (不建議)。

  2. 在導覽窗格中,選擇服務

  3. 在服務清單中選擇AWS 安全事件回應

  4. 選擇停用受信任的存取

  5. 停用 AWS 安全事件回應的受信任存取對話方塊中,輸入停用進行確認,然後選擇停用受信任存取

  6. 如果您只是 的管理員 AWS Organizations,請告訴 AWS 安全事件回應的管理員,他們現在可以使用服務 AWS Organizations 主控台或工具 停用該服務。

AWS CLI, AWS API
使用 Organizations CLI/ 停用信任的服務存取SDK

您可以使用下列 AWS CLI 命令或API操作來停用信任的服務存取:

  • AWS CLI: disable-aws-service-access

    執行下列命令,將 AWS 安全事件回應停用為 Organizations 的信任服務。

    $ aws organizations disable-aws-service-access \
    --service-principal security-ir.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:D isableAWSService存取

為安全事件回應啟用委派管理員帳戶

當您將成員帳戶指定為組織的委派管理員時,該帳戶的使用者和角色可以針對安全事件回應執行管理動作,否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與安全事件回應的管理分開。如需詳細資訊,請參閱《AWS 安全事件回應使用者指南》中的使用 管理 AWS Organizations安全事件回應帳戶。

最低許可

只有 Organizations 管理帳戶中的使用者或角色才能將成員帳戶設定為組織中安全事件回應的委派管理員

若要了解如何透過安全事件回應主控台設定委派的管理員,請參閱《安全事件回應使用者指南》中的指定委派的安全事件回應管理員帳戶

AWS CLI, AWS API

如果您想要使用 CLI或其中一個 AWS 設定委派管理員帳戶 AWS SDKs,您可以使用下列命令:

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal security-ir.amazonaws.com

  • AWS SDK:呼叫 Organizations RegisterDelegatedAdministrator操作和成員帳戶的 ID 號碼,並將帳戶服務識別security-ir.amazonaws.com為參數。

針對安全事件回應停用委派管理員

重要

如果從委派管理員帳戶建立成員資格,則取消註冊委派管理員是一項破壞性動作,並會導致服務中斷。若要重新註冊 DA:

  1. 在 登入安全事件回應主控台 https://console.aws.amazon.com/security-ir/home#/membership/settings

  2. 從服務主控台取消成員資格。成員資格會保持作用中狀態,直到帳單週期結束為止。

  3. 一旦取消會員資格,請透過 Organizations 主控台CLI或 停用服務存取SDK。

只有 Organizations 管理帳戶中的管理員才能移除安全事件回應的委派管理員。您可以使用 Organizations DeregisterDelegatedAdministratorCLI或 SDK操作來移除委派管理員。