Considerações e recomendações para o uso da AWS Security Incident Response com o AWS Organizations - AWS Security Incident ResponseGuia do usuário do

Considerações e recomendações para o uso da AWS Security Incident Response com o AWS Organizations

As considerações e recomendações apresentadas a seguir podem ajudar você a compreender como uma conta de administrador delegado da Resposta a Incidentes de Segurança opera na AWS Security Incident Response:

Conta de administrador delegado para a AWS Security Incident Response.

Você pode designar uma única conta de membro como a conta de administrador delegado do Security Incident Response. Por exemplo, ao designar uma conta-membro 111122223333 na Europa (Irlanda), não é possível designar outra conta-membro 555555555555 no Canadá (Central). É necessário usar a mesma conta como conta de administrador delegado da Resposta a Incidentes de Segurança em todas as demais regiões.

Você configura a conta de administrador delegado do Security Incident Response em uma Região da AWS específica.

Você pode designar uma conta de membro como a conta de administrador delegado do Security Incident Response em uma Região da AWS durante a configuração inicial. Embora a configuração seja regional, o AWS Security Incident Response fornece cobertura a toda a organização em todas as Regiões da AWS compatíveis. As descobertas de segurança do Amazon GuardDuty e do AWS Security Hub CSPM são ingeridas de todas as Regiões da AWS compatíveis, e os casos são gerenciados centralmente na região em que você ativou sua assinatura. A conta de administrador delegado da Resposta a Incidentes de Segurança e as contas de membros devem ser adicionadas por meio do AWS Organizations.

Não é recomendável configurar a conta gerencial da organização como a conta de administrador delegado do Security Incident Response.

A conta gerencial da organização pode ser designada como a conta de administrador delegado do Security Incident Response. Porém, as práticas recomendadas de segurança da AWS seguem o princípio do privilégio mínimo e não recomendam essa configuração.

A remoção de uma conta de administrador delegado da Resposta a Incidentes de Segurança de uma assinatura ativa cancela a assinatura imediatamente.

Se você remover uma conta de administrador delegado do Security Incident Response, a AWS Security Incident Response removerá todas as contas de membros associadas a essa conta de administrador delegado do Security Incident Response. A AWS Security Incident Response não estará mais habilitada para todas as contas de membros.