将 AWS 安全事件响应与 AWS Organizations 结合使用的注意事项和建议

以下注意事项和建议有助您了解安全事件响应委托管理员账户在 AWS 安全事件响应中的工作原理：

AWS 安全事件响应委托管理员账户。

您可以将某个成员账户指定为安全事件响应委托管理员账户。例如，假设您在欧洲地区（爱尔兰）区域指定了一个成员账户 111122223333，则无法在加拿大（中部）区域指定另一个成员账户 555555555555。但您必须在所有其他区域将同一账户作为安全事件响应委托管理员账户。

您可以在特定 AWS 区域 中设置安全事件响应委托管理员账户。

在初始设置期间，您可以在一个 AWS 区域 中指定委托的安全事件响应管理员账户。尽管设置是区域性的，但 AWS 安全事件响应 在所有支持的 AWS 区域 中提供组织范围的覆盖。从所有支持的 AWS 区域 中提取来自 Amazon GuardDuty 和 AWS Security Hub CSPM 的安全调查发现，并且在您激活订阅的区域中集中管理案例。必须通过 AWS Organizations 添加安全事件响应委托管理员账户和成员账户。

不建议将组织的管理账户设置为安全事件响应委托管理员账户。

组织的管理账户可以是委托的安全事件响应管理员账户。但是，AWS 安全最佳实践遵循最低权限原则，不建议使用此配置。

从实时订阅中删除安全事件响应委托管理员账户会立即取消订阅。

如果您删除安全事件响应委托管理员账户，AWS 安全事件响应 将删除与该安全事件响应委托管理员账户关联的所有成员账户。将不再为所有成员账户启用 AWS 安全事件响应。