# Gerenciamento de contas da AWS Security Incident Response com o AWS Organizations
AWS Security Incident Response O é integrado ao AWS Organizations. A conta gerencial do AWS Organizations para a organização pode designar uma conta como administrador delegado da AWS Security Incident Response. Essa ação habilita a AWS Security Incident Response como um serviço confiável dentro do AWS Organizations. Para obter informações sobre como essas permissões são concedidas, consulte [Using AWS Organizations with other AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).
As seções apresentadas a seguir orientam você sobre diversas tarefas que podem ser executadas como uma conta de administrador delegado da Resposta a Incidentes de Segurança.
**Topics**
+ [
# Considerações e recomendações para o uso da AWS Security Incident Response com o AWS Organizations
](considerations_important.md)
+ [
# Habilitação do acesso confiável para o AWS Gerenciamento de contas
](using-orgs-trusted-access.md)
+ [
# Permissões necessárias para designar uma conta de administrador delegado da Resposta a Incidentes de Segurança
](organizations_permissions.md)
+ [
# Designação de um administrador delegado para a AWS Security Incident Response
](delegated-admin-designate.md)
+ [
# Gerenciar a associação com unidades organizacionais (UOs) para o AWS Security Incident Response
](managing-membership-with-ou.md)
+ [
# Adição de membros à AWS Security Incident Response
](add-member-accounts.md)
+ [
# Remoção de membros da AWS Security Incident Response
](remove-member-account.md)
# Considerações e recomendações para o uso da AWS Security Incident Response com o AWS Organizations
As considerações e recomendações apresentadas a seguir podem ajudar você a compreender como uma conta de administrador delegado da Resposta a Incidentes de Segurança opera na AWS Security Incident Response:
**Conta de administrador delegado para a AWS Security Incident Response.**
Você pode designar uma única conta de membro como a conta de administrador delegado do Security Incident Response. Por exemplo, ao designar uma conta-membro *111122223333* na *Europa (Irlanda)*, não é possível designar outra conta-membro *555555555555* no *Canadá (Central)*. É necessário usar a mesma conta como conta de administrador delegado da Resposta a Incidentes de Segurança em todas as demais regiões.
**Você configura a conta de administrador delegado do Security Incident Response em uma Região da AWS específica.**
Você pode designar uma conta de membro como a conta de administrador delegado do Security Incident Response em uma Região da AWS durante a configuração inicial. Embora a configuração seja regional, o AWS Security Incident Response fornece cobertura a toda a organização em todas as Regiões da AWS compatíveis. As descobertas de segurança do Amazon GuardDuty e do AWS Security Hub CSPM são ingeridas de todas as Regiões da AWS compatíveis, e os casos são gerenciados centralmente na região em que você ativou sua assinatura. A conta de administrador delegado da Resposta a Incidentes de Segurança e as contas de membros devem ser adicionadas por meio do AWS Organizations.
**Não é recomendável configurar a conta gerencial da organização como a conta de administrador delegado do Security Incident Response.**
A conta gerencial da organização pode ser designada como a conta de administrador delegado do Security Incident Response. Porém, as práticas recomendadas de segurança da AWS seguem o princípio do privilégio mínimo e não recomendam essa configuração.
**A remoção de uma conta de administrador delegado da Resposta a Incidentes de Segurança de uma assinatura ativa cancela a assinatura imediatamente.**
Se você remover uma conta de administrador delegado do Security Incident Response, a AWS Security Incident Response removerá todas as contas de membros associadas a essa conta de administrador delegado do Security Incident Response. A AWS Security Incident Response não estará mais habilitada para todas as contas de membros.
# Habilitação do acesso confiável para o AWS Gerenciamento de contas
Habilitar o acesso confiável para a AWS Security Incident Response permite que o administrador delegado da conta gerencial modifique as informações e os metadados (por exemplo, os detalhes de contato principais ou alternativos) específicos para cada conta de membro no AWS Organizations.
Use o procedimento apresentado a seguir para habilitar o acesso confiável para a AWS Security Incident Response em sua organização.
**Permissões mínimas**
Para executar essas tarefas, você deve atender aos seguintes requisitos:
Você só pode executar essas tarefas na conta de gerenciamento da organização.
A organização deve ter [todos os recursos habilitados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).
------
#### [ Console ]
**Para habilitar o acesso confiável para a AWS Security Incident Response**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations). É necessário fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário root (não recomendado) na conta de gerenciamento da organização.
1. No painel de navegação, escolha **Serviços**.
1. Escolha **AWS Security Incident Response** na lista de serviços.
1. Escolha **Enable trusted access (Habilitar acesso confiável)**.
1. Na caixa de diálogo **Habilitar o acesso confiável para o AWS Security Incident Response**, digite **habilitar** para confirmar e, em seguida, escolha **Habilitar o acesso confiável**.
------
#### [ API/CLI ]
**Para habilitar o acesso confiável para a AWS Gerenciamento de contas**
Depois de executar o comando a seguir, você pode usar as credenciais da conta de gerenciamento da organização para chamar as operações da API de Gerenciamento de Contas que usam o parâmetro `--accountId` para fazer referência às contas-membro de uma organização.
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/organizations/latest/userguide/enable-aws-service-access.html)
O exemplo apresentado a seguir habilita o acesso confiável para a AWS Security Incident Response na organização da conta que está realizando a chamada.
```
$ aws organizations enable-aws-service-access \
--service-principal security-ir.amazonaws.com
```
Se for bem-sucedido, esse comando não produzirá uma saída.
------
# Permissões necessárias para designar uma conta de administrador delegado da Resposta a Incidentes de Segurança
Você pode optar por configurar sua associação à AWS Security Incident Response usando um administrador delegado para o AWS Organizations. Para obter informações sobre como essas permissões são concedidas, consulte [Using AWS Organizations with other AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).
**nota**
A AWS Security Incident Response habilita automaticamente o relacionamento confiável com o AWS Organizations ao usar o console para configuração e gerenciamento. Se você usar a CLI ou o SDK, será necessário habilitar manualmente esse relacionamento por meio da [API EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html), confiando no domínio `security-ir.amazonaws.com`.
Na qualidade de gerente do AWS Organizations, antes de designar a conta de administrador delegado da Resposta a Incidentes de Segurança para sua organização, verifique se você pode executar as seguintes ações da AWS Security Incident Response: `security-ir:CreateMembership` e `security-ir:UpdateMembership`. Essas ações permitem que você designe a conta de administrador delegado da Resposta a Incidentes de Segurança para sua organização por meio da própria AWS Security Incident Response. Também é preciso garantir que se tenha permissão para executar as AWS Organizations ações que o ajudam a recuperar informações sobre sua organização.
Para conceder essas permissões, inclua a seguinte instrução em uma política AWS Identity and Access Management (IAM) da sua conta:
```
{
"Sid": "PermissionsForSIRAdmin",
"Effect": "Allow",
"Action": [
"security-ir:CreateMembership",
"security-ir:UpdateMembership",
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
}
```
Se você deseja designar sua conta gerencial do AWS Organizations como a conta de administrador delegado de Resposta a Incidentes de Segurança, sua conta também precisará da ação do IAM: `CreateServiceLinkedRole`. Analise a seção [Considerações e recomendações para o uso da AWS Security Incident Response com o AWS Organizations](considerations_important.md) antes de prosseguir com a adição das permissões.
Para continuar com a designação da sua conta gerencial do AWS Organizations como a conta de administrador delegado da Resposta a Incidentes de Segurança, adicione a seguinte declaração à política do IAM e substitua *111122223333* pelo ID da Conta da AWS de sua conta gerencial do AWS Organizations:
```
{
"Sid": "PermissionsToEnableSecurityIncidentResponse"
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "security-ir.amazonaws.com"
}
}
}
```
# Designação de um administrador delegado para a AWS Security Incident Response
Esta seção apresenta as etapas para designar um administrador delegado na organização da AWS Security Incident Response.
Na qualidade de gerente da organização da AWS, certifique-se de ler atentamente as [Considerações e recomendações](considerations_important.md) sobre o funcionamento de uma conta de administrador delegado da Resposta a Incidentes de Segurança. Antes de continuar, verifique se você tem [Permissões necessárias para designar uma conta de administrador delegado da Resposta a Incidentes de Segurança](organizations_permissions.md).
Selecione o método de acesso de sua preferência para designar uma conta de administrador delegado de Resposta a Incidentes de Segurança para sua organização. Somente uma conta gerencial pode executar esta etapa.
------
#### [ Console ]
1. Acesse o console de Resposta a Incidentes de Segurança em https://console.aws.amazon.com/security-ir/.
Para fazer login, use as credenciais de gerenciamento da sua organização do AWS Organizations.
1. Ao usar o seletor de Região da AWS, localizado no canto superior direito da página, selecione a região na qual deseja designar a conta de administrador delegado da Resposta a Incidentes de Segurança para sua organização.
1. Siga o assistente de configuração para criar sua associação, incluindo a conta de administrador delegado.
------
#### [ API/CLI ]
+ Execute o comando CreateMembership usando as credenciais da Conta da AWS destinada ao gerenciamento da organização.
+ Outra alternativa é definir isso como AWS Command Line Interface. O comando da AWS CLI apresentado a seguir designa uma conta de administrador delegado da Resposta a Incidentes de Segurança. A seguir, apresentamos as opções de string disponíveis para configurar sua associação:
```
{
"customerAccountId": "stringstring",
"membershipName": "stringstring",
"customerType": "Standalone",
"organizationMetadata": {
"organizationId": "string",
"managementAccountId": "stringstring",
"delegatedAdministrators": [
"stringstring"
]
},
"membershipAccountsConfigurations": {
"autoEnableAllAccounts": true,
"organizationalUnits": [
"string"
]
},
"incidentResponseTeam": [
{
"name": "string",
"jobTitle": "stringstring",
"email": "stringstring"
}
],
"internalIdentifier": "string",
"membershipId": "stringstring",
"optInFeatures": [
{
"featureName": "RuleForwarding",
"isEnabled": true
}
]
}
```
Se a AWS Security Incident Response não estiver habilitada para a sua conta de administrador delegado da Resposta a Incidentes de Segurança, ela não poderá executar nenhuma ação. Caso ainda não tenha sido feito, certifique-se de habilitar a AWS Security Incident Response para a conta de administrador delegado da Resposta a Incidentes de Segurança designada recentemente.
------
# Gerenciar a associação com unidades organizacionais (UOs) para o AWS Security Incident Response
O AWS Security Incident Response oferece suporte à cobertura de associação para unidades organizacionais (UOs) individuais. É possível atualizar sua associação para cobrir UOs específicas a qualquer momento. Todas as contas nas UOs selecionadas, incluindo contas em UOs secundárias, serão cobertas pela associação.
Ao atualizar sua associação de membros, é possível aplicar atualizações para até 5 UOs de cada vez. Se quiser fazer alterações em mais de 5 UOs, conclua as alterações de associação em lotes de 5 UOs, até que todas as atualizações sejam concluídas.
------
#### [ Console ]
1. Acesse o console de Resposta a Incidentes de Segurança em https://console.aws.amazon.com/security-ir/.
Para fazer login, use as credenciais de gerenciamento da sua organização do AWS Organizations.
1. Navegue até **Gerenciar associação** > Contas.
1. Clique em **Atualizar associação**.
1. Selecione **Escolher unidades organizacionais (UOs)**.
1. Selecione **Adicionar UOs** ou **Remover UOs**.
1. Selecione até 5 UOs que você deseja atualizar. Não é possível adicionar e remover UOs ao mesmo tempo.
**nota**
Todas as contas e UOs secundárias em uma UO selecionada serão associadas.
1. Clique em **Atualizar associação**.
1.
**nota**
Se quiser fazer alterações em mais de 5 UOs, repita as etapas 5 e 6 até que todas as UOs tenham sido associadas.
------
Para saber mais sobre como fazer alterações em UOs na sua organização da AWS, consulte [Gerenciar unidades organizacionais (UOs) com o AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html).
# Adição de membros à AWS Security Incident Response
Existe uma correspondência direta entre o AWS Organizations e sua associação à AWS Security Incident Response. À medida que contas são adicionadas (ou removidas) de suas organizações ou unidades organizacionais (UOs), essas alterações serão refletidas nas contas cobertas pela sua associação do AWS Security Incident Response.
Para adicionar uma conta à sua associação, siga uma das opções apresentadas na seção [Managing accounts in an organization with AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html).
Também é possível acrescentar UOs adicionais à sua associação a qualquer momento. Consulte [Gerenciar a associação com unidades organizacionais (UOs)](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html).
# Remoção de membros da AWS Security Incident Response
Para remover uma conta da sua associação, você pode remover uma conta de membro da sua organização, mover contas de suas UOs selecionadas ou remover UOs da sua associação.
Para remover uma conta da sua associação, siga os procedimentos para a [remoção de uma conta de membro de uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html).
Para mover contas das suas UOs, siga os procedimentos de como [Mover contas para uma unidade organizacional (OU) ou entre a raiz e as UOs com o AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/move_account_to_ou.html).
Para remover a UU da sua associação, siga os procedimentos de como [Gerenciar a associação com unidades organizacionais (UOs)](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html).