# AWS Organizations を使用した AWS Security Incident Response アカウントの管理
AWS Security Incident Response は AWS Organizations と統合されています。組織の AWS Organizations 管理アカウントは、AWS Security Incident Response の委任管理者としてアカウントを指定できます。このアクションにより、AWS Security Incident Response は AWS Organizations で信頼できるサービスとして有効になります。これらの許可が付与される方法については、「[Using AWS Organizations with other AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。
以下のセクションでは、委任 Security Incident Response 管理者アカウントとして実行できるさまざまなタスクについて説明します。
**Topics**
+ [AWS Organizations を用いて AWS Security Incident Response を使用するための考慮事項とレコメンデーション](considerations_important.md)
+ [AWS アカウント管理 の信頼されたアクセスの有効化](using-orgs-trusted-access.md)
+ [委任 Security Incident Response 管理者アカウントの指定に必要なアクセス許可](organizations_permissions.md)
+ [AWS Security Incident Response の委任管理者を指定する](delegated-admin-designate.md)
+ [AWS Security Incident Response の組織単位 (OU) によるメンバーシップの管理](managing-membership-with-ou.md)
+ [AWS Security Incident Response へのメンバーの追加](add-member-accounts.md)
+ [AWS Security Incident Response からのメンバーの削除](remove-member-account.md)
# AWS Organizations を用いて AWS Security Incident Response を使用するための考慮事項とレコメンデーション
以下の考慮事項と推奨事項は、委任 Security Incident Response 管理者アカウントが AWS Security Incident Response でどのように機能するかを理解するのに役立ちます。
**AWS Security Incident Response の委任管理者アカウント。**
1 つのメンバーアカウントを委任 Security Incident Response 管理者アカウントとして指定できます。例えば、*欧州 (アイルランド)* でメンバーアカウント *111122223333* を指定する場合、*カナダ (中部)* で別のメンバーアカウント *555555555555* を指定することはできません。他のすべてのリージョンで委任 Security Incident Response 管理者アカウントと同じアカウントを使用する必要があります。
**委任 Security Incident Response 管理者アカウントを特定の AWS リージョン に設定します。**
AWS リージョン 初期設定時に、委任 Security Incident Response 管理者アカウントとして指定できます。設定はリージョン限定ですが、AWS Security Incident Response はサポートされているすべての AWS リージョン において組織全体をカバーします。Amazon GuardDuty と AWS Security Hub CSPM のセキュリティ検出結果は、サポートされているすべての AWS リージョン から取り込まれ、ケースはサブスクリプションをアクティブ化したリージョンで一元管理されます。委任 Security Incident Response 管理者アカウントとメンバーアカウントは、AWS Organizations を通じて追加する必要があります。
**組織の管理アカウントを委任 Security Incident Response 管理者アカウントとして設定することは推奨されません。**
組織の管理アカウントは、委任 Security Incident Response 管理者アカウントとして使用できます。ただし、AWS のセキュリティのベストプラクティスは最小特権の原則に従っており、この設定は推奨されていません。
**ライブサブスクリプションから委任 Security Incident Response 管理者アカウントを削除すると、サブスクリプションは直ちにキャンセルされます。**
委任 Security Incident Response 管理者アカウントを削除すると、AWS Security Incident Response はこの委任 Security Incident Response 管理者アカウントに関連付けられているすべてのメンバーアカウントを削除します。AWS Security Incident Response は、すべてのメンバーアカウントで有効化されなくなります。
# AWS アカウント管理 の信頼されたアクセスの有効化
AWS Security Incident Response の信頼されたアクセスを有効にすると、管理アカウントの委任管理者は、AWS Organizations の各メンバーアカウントに固有の情報とメタデータ (主要連絡先や代替連絡先の詳細など) を変更できるようになります。
組織内の AWS Security Incident Response の信頼されたアクセスを有効にするには、次の手順を使用します。
**最小アクセス許可**
これらのタスクを実行するには、以下の要件を満たす必要があります。
これは、組織の管理アカウントからのみ実行できます。
組織で、[すべての機能が有効になっている](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) 必要があります。
------
#### [ Console ]
**AWS Security Incident Response の信頼されたアクセスを有効にするには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。
1. ナビゲーションペインで、**[Services]** (サービス) を選択します。
1. サービスのリストで **[AWS Security Incident Response]** を選択します。
1. [**Enable trusted access (信頼されたアクセスを有効にする)**] を選択します。
1. **[AWS Security Incident Response の信頼されたアクセスを有効にする]** ダイアログボックスで、**[有効にする]** と入力して確定し、**[信頼されたアクセスを有効にする]** を選択します。
------
#### [ API/CLI ]
**AWS アカウント管理 の信頼されたアクセスを有効にするには**
次のコマンドの実行後に、組織の管理アカウントの認証情報を使用して、`--accountId` パラメータを使用するアカウント管理 API オペレーションを呼び出し、組織内のメンバーアカウントを参照するすことができます。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/organizations/latest/userguide/enable-aws-service-access.html)
次の例では、呼び出し側アカウントの組織内の AWS Security Incident Response 用に信頼されたアクセスを有効にします。
```
$ aws organizations enable-aws-service-access \
--service-principal security-ir.amazonaws.com
```
このコマンドは成功時に出力を生成しません。
------
# 委任 Security Incident Response 管理者アカウントの指定に必要なアクセス許可
AWS Organizations の委任管理者を使用して、AWS Security Incident Response メンバーシップを設定することもできます。これらの許可が付与される方法については、「[Using AWS Organizations with other AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。
**注記**
AWS Security Incident Response は、コンソールを使用してセットアップや管理を行うときに、AWS Organizations 信頼関係を自動的に有効にします。CLI/SDK を使用する場合は、[EnableAWSServiceAccess API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) を使用して `security-ir.amazonaws.com` を信頼することで、これを手動で有効にする必要があります。
AWS Organizations マネージャーとして、組織の委任 Security Incident Response 管理者アカウントを指定する前に、AWS Security Incident Response アクション `security-ir:CreateMembership` と `security-ir:UpdateMembership` を実行できることを確認します。これらのアクションにより、AWS Security Incident Response を使用して組織の委任 Security Incident Response 管理者アカウントを指定できます。また、組織に関する情報を取得するのに役立つ AWS Organizations アクションの実行が許可されていることも確認する必要があります。
これらの許可を与えるには、アカウントの AWS Identity and Access Management (IAM) ポリシーに以下のステートメントを含める:
```
{
"Sid": "PermissionsForSIRAdmin",
"Effect": "Allow",
"Action": [
"security-ir:CreateMembership",
"security-ir:UpdateMembership",
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
}
```
AWS Organizations 管理アカウントを委任 Security Incident Response 管理者アカウントとして指定する場合、アカウントには IAM アクション `CreateServiceLinkedRole` も必要です。アクセス許可の追加に進む前に、[AWS Organizations を用いて AWS Security Incident Response を使用するための考慮事項とレコメンデーション](considerations_important.md) を確認してください。
AWS Organizations 管理アカウントの委任 Security Incident Response 管理者アカウントとしての指定を続行するには、以下のステートメントを IAM ポリシーに追加し、*111122223333* を AWS Organizations 管理アカウントの AWS アカウント ID に置き換えます。
```
{
"Sid": "PermissionsToEnableSecurityIncidentResponse"
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "security-ir.amazonaws.com"
}
}
}
```
# AWS Security Incident Response の委任管理者を指定する
このセクションでは、AWS Security Incident Response 組織の委任管理者を指定する手順について説明します。
AWS 組織のマネージャーとして、委任 Security Incident Response 管理者アカウントの運用方法に関する [考慮事項とレコメンデーション](considerations_important.md) を必ずお読みください。続行する前に、[委任 Security Incident Response 管理者アカウントの指定に必要なアクセス許可](organizations_permissions.md) があることを確認してください。
任意のアクセス方法を選択して、組織の委任 Security Incident Response 管理者アカウントを指定します。管理アカウントのみがこの手順を実行できます。
------
#### [ Console ]
1. https://console.aws.amazon.com/security-ir/ の Security Incident Response コンソールを開きます
サインインするには、AWS Organizations 組織の管理アカウントの認証情報を使用します。
1. ページの右上隅にある AWS リージョン セレクターを使用して、組織の委任 Security Incident Response 管理者アカウントを指定するリージョンを選択します。
1. セットアップウィザードに従って、委任管理者アカウントを含むメンバーシップを作成します。
------
#### [ API/CLI ]
+ 組織の管理アカウントの AWS アカウント の認証情報を使用して CreateMembership を実行します。
+ あるいは、AWS Command Line Interface を使用してこれを実行することもできます。次の AWS CLI コマンドは、委任 Security Incident Response 管理者アカウントを指定します。メンバーシップの設定に使用できる文字列オプションは以下のとおりです。
```
{
"customerAccountId": "stringstring",
"membershipName": "stringstring",
"customerType": "Standalone",
"organizationMetadata": {
"organizationId": "string",
"managementAccountId": "stringstring",
"delegatedAdministrators": [
"stringstring"
]
},
"membershipAccountsConfigurations": {
"autoEnableAllAccounts": true,
"organizationalUnits": [
"string"
]
},
"incidentResponseTeam": [
{
"name": "string",
"jobTitle": "stringstring",
"email": "stringstring"
}
],
"internalIdentifier": "string",
"membershipId": "stringstring",
"optInFeatures": [
{
"featureName": "RuleForwarding",
"isEnabled": true
}
]
}
```
委任 Security Incident Response 管理者アカウントのために AWS Security Incident Response が有効になっていない場合、いかなるアクションも実行できません。まだそのようにしていない場合は、新しく指定された委任 Security Incident Response 管理者アカウントのために AWS Security Incident Response を必ず有効にしてください。
------
# AWS Security Incident Response の組織単位 (OU) によるメンバーシップの管理
AWS Security Incident Response は、個々の組織単位 (OU) のメンバーシップカバレッジをサポートしています。メンバーシップは、特定の OU をカバーするようにいつでも更新できます。子 OU 下にあるアカウントを含め、選択した OU 内のすべてのアカウントがメンバーシップの対象となります。
メンバーシップの関連付けを更新する場合、更新は一度に最大 5 つの OU に適用できます。5 つ以上の OU に変更を加える場合は、5 OU のバッチごとに関連付けの変更を実施し、すべての更新が完了するまでこれを行います。
------
#### [ Console ]
1. https://console.aws.amazon.com/security-ir/ の Security Incident Response コンソールを開きます
サインインするには、AWS Organizations 組織の管理アカウントの認証情報を使用します。
1. **[メンバーシップを管理]** > [アカウント] に移動する
1. **[関連付けを更新]** をクリックします
1. **[Organizational Unit (OU) を選択]** を選択する
1. **[OU を追加]** または **[OU を削除]** を選択する
1. 更新する OU を最大 5 つ選択します。OU を同時に追加および削除することはできません。
**注記**
選択した OU のすべてのアカウントと子 OU が関連付けられます。
1. **[関連付けを更新]** をクリックします
1.
**注記**
5 つ以上の OU に変更を加える場合は、すべての OU が関連付けられるまでステップ 5 と 6 を繰り返します。
------
お使いの AWS Organization での OU の変更の詳細については、「[Managing organizational units (OUs) with AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html)」を参照してください。
# AWS Security Incident Response へのメンバーの追加
AWS Organizations と AWS Security Incident Response メンバーシップには 1 対 1 の関係があります。Organizations または組織単位 (OU) からアカウントが追加 (または削除) されると、これらの変更は AWS Security Incident Response メンバーシップの対象アカウントに反映されます。
メンバーシップにアカウントを追加するには、「[Managing accounts in an organization with AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)」のオプションのいずれかに従います。
また、メンバーシップにいつでも OU を追加できます – 「[Managing membership with organizational units (OUs)](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html)」を参照してください。
# AWS Security Incident Response からのメンバーの削除
メンバーシップからアカウントを削除するには、組織からメンバーアカウントを削除するか、選択した OU からアカウントを移動するか、メンバーシップから OU を削除します。
メンバーシップからアカウントを削除するには、「[Removing a member account from an organization](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)」の手順に従います。
OU からアカウントを移動するには、「[Moving accounts to an organizational unit (OU) or between the root and OUs with AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/move_account_to_ou.html)」の手順に従います。
メンバーシップから OU を削除するには、「[Managing membership with organizational units (OUs)](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html)」の手順に従ってください。