翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS セキュリティインシデント対応と AWS Organizations
AWS セキュリティインシデント対応は、お客様が認証情報の盗難やランサムウェア攻撃などのサイバーセキュリティインシデントに迅速に対応できるように、24 時間 365 日のライブで人的支援によるセキュリティインシデントサポートを提供するセキュリティサービスです。Organizations と統合することで、セキュリティカバレッジを組織全体に強化できます。詳細については、AWS 「 Security Incident Response User Guide」の「Managing Security Incident Response accounts with AWS Organizations 」を参照してください。
次の情報は、 AWS セキュリティインシデント対応を と統合するのに役立ちます AWS Organizations。
統合を有効にする際に作成されるサービスにリンクされたロール
信頼されたアクセスを有効にすると、次の「サービスにリンクされたロール」が組織の管理アカウントに自動的に作成されます。
-
AWSServiceRoleForSecurityIncidentResponse- セキュリティインシデント対応メンバーシップ - を通じてサービスへのサブスクリプションを作成するために使用されます AWS Organizations。 -
AWSServiceRoleForSecurityIncidentResponse_Triage– サインアップ中にトリアージ機能を有効にした場合にのみ使用。
Security Incident Response で使用されるサービスプリンシパル
前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Security Incident Response によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
-
security-ir.amazonaws.com
Security Incident Response への信頼されたアクセスを有効にする
Security Incident Response への信頼されたアクセスを有効にすることで、サービスは組織の構造を追跡し、組織内のすべてのアカウントに有効なセキュリティインシデントカバレッジを提供することができます。また、トリアージ機能を有効にすることで、サービスがメンバーアカウントでサービスにリンクされたロールを使用してトリアージ機能を使用できるようになります。
信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。
AWS セキュリティインシデント対応コンソールまたは コンソールを使用して、信頼された AWS Organizations アクセスを有効にできます。
重要
可能な限り、 AWS セキュリティインシデント対応コンソールまたはツールを使用して Organizations との統合を有効にすることを強くお勧めします。これにより、 AWS Security Incident Response は、サービスに必要なリソースの作成など、必要な設定を実行できます。これらのステップは、 AWS Security Incident Response が提供するツールを使用して統合を有効にできない場合にのみ実行してください。詳細については、この注意を参照してください。
AWS セキュリティインシデント対応コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実行する必要はありません。
Organizations は、Security Incident Response コンソールを使用してセットアップと管理を行うときに、Organizations の信頼されたアクセスを自動的に有効にします。Security Incident Response CLI/SDK を使用する場合は、EnableAWSServiceAccess API を使用して、信頼されたアクセスを手動で有効にする必要があります。セキュリティインシデント対応コンソールを使用して信頼されたアクセスを有効にする方法については、「セキュリティインシデント対応ユーザーガイド」のAWS 「アカウント管理の信頼されたアクセスの有効化」を参照してください。
信頼されたアクセスを有効にするには、 AWS Organizations コンソールを使用するか、 AWS CLI コマンドを実行するか、いずれかの AWS SDKs。
Security Incident Response で信頼されたアクセスを無効にする
Security Incident Response で信頼されたアクセスを無効にできるのは、Organizations の管理アカウントの管理者だけです。
信頼されたアクセスは、Organizations ツールを使用してのみ無効にできます。
信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。
Security Incident Response の委任された管理者アカウントを有効にする
特定のメンバーアカウントを組織の委任管理者として指定することで、そのアカウントのユーザーおよびロールは、Security Incident Response の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Security Incident Response の管理を分離するのに有効です。詳細については、AWS 「 Security Incident Response User Guide」の「Managing Security Incident Response accounts with AWS Organizations 」を参照してください。
最小アクセス許可
Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Security Incident Response の委任管理者としてメンバーアカウントを設定できます。
Security Incident Response コンソールを使用して委任管理者を設定する方法については、「Security Incident Response ユーザーガイド」の「Designating a delegated Security Incident Response administrator account」を参照してください。
Security Incident Response の委任された管理者を無効にする
重要
メンバーシップが委任管理者アカウントから作成された場合、委任管理者の登録解除は破壊的なアクションであり、サービスの中断を引き起こします。DA を再登録するには:
Security Incident Response コンソール (https://console.aws.amazon.com/security-ir/home#/membership/settings) にサインインします。
サービスコンソールからメンバーシップをキャンセルします。メンバーシップは、請求サイクルが終了するまでアクティブな状態のままです。
メンバーシップがキャンセルされたら、Organizations コンソール、CLI、または SDK を使用してサービスアクセスを無効にします。
Security Incident Response の委任管理者を削除できるのは、Organizations 管理アカウントの管理者だけです。Organizations の DeregisterDelegatedAdministrator CLI または SDK オペレーションを使用して、委任された管理者を削除できます。
