# 指定安全事件响应委托管理员账户所需的权限 您可以选择使用 AWS Organizations 委托管理员来设置 AWS 安全事件响应会员资格。有关如何授予这些权限的信息,请参阅 [Using AWS Organizations with other AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。 **注意** AWS 安全事件响应会在使用控制台进行设置和管理时,自动启用 AWS Organizations 信任关系。如果您使用 CLI/SDK,则必须使用 [EnableAWSServiceAccess API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 手动启用此功能才能信任 `security-ir.amazonaws.com`。 作为 AWS Organizations 管理员,在为组织指定安全事件响应委托管理员账户之前,请先验证您是否可以执行以下 AWS 安全事件响应操作:`security-ir:CreateMembership` 和 `security-ir:UpdateMembership`。这些操作可让您使用 AWS 安全事件响应为组织指定安全事件响应委托管理员账户。此外还必须确保您有权执行 AWS Organizations 操作,这将有助您检索有关组织的信息。 要授予这些权限,请在您的账户的 AWS Identity and Access Management (IAM) 策略中包括以下语句: ``` { "Sid": "PermissionsForSIRAdmin", "Effect": "Allow", "Action": [ "security-ir:CreateMembership", "security-ir:UpdateMembership", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ``` 如果要将您的 AWS Organizations 管理账户指定为安全事件响应委托管理员账户,您的账户还需要执行以下 IAM 操作:`CreateServiceLinkedRole`。请先查看[将 AWS 安全事件响应与 AWS Organizations 结合使用的注意事项和建议](considerations_important.md),然后再继续添加权限。 要继续将 AWS Organizations 管理账户指定为安全事件响应委托管理员账户,请将以下语句添加到 IAM 策略中并将 *111122223333* 替换为 AWS Organizations 管理账户的 AWS 账户 ID: ``` { "Sid": "PermissionsToEnableSecurityIncidentResponse" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse", "Condition": { "StringLike": { "iam:AWSServiceName": "security-ir.amazonaws.com" } } } ```