# 使用 AWS Organizations 管理 AWS 安全事件响应账户
AWS 安全事件响应 已与 AWS Organizations 集成。只有组织的 AWS Organizations 管理账户可以指定某个账户作为 AWS 安全事件响应的委托管理员账户。此操作会启用 AWS 安全事件响应作为 AWS Organizations 中的可信服务。有关如何授予这些权限的信息,请参阅 [Using AWS Organizations with other AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。
以下章节将介绍安全事件响应委托管理员账户可以执行的各种任务。
**Topics**
+ [
# 将 AWS 安全事件响应与 AWS Organizations 结合使用的注意事项和建议
](considerations_important.md)
+ [
# 启用 AWS 账户管理的可信访问权限
](using-orgs-trusted-access.md)
+ [
# 指定安全事件响应委托管理员账户所需的权限
](organizations_permissions.md)
+ [
# 指定 AWS 安全事件响应委托管理员账户
](delegated-admin-designate.md)
+ [
# 使用 AWS 安全事件响应 的组织单元(OU)管理会员资格
](managing-membership-with-ou.md)
+ [
# 向 AWS 安全事件响应添加成员
](add-member-accounts.md)
+ [
# 从 AWS 安全事件响应中删除成员
](remove-member-account.md)
# 将 AWS 安全事件响应与 AWS Organizations 结合使用的注意事项和建议
以下注意事项和建议有助您了解安全事件响应委托管理员账户在 AWS 安全事件响应中的工作原理:
**AWS 安全事件响应委托管理员账户。**
您可以将某个成员账户指定为安全事件响应委托管理员账户。例如,假设您在*欧洲地区(爱尔兰)*区域指定了一个成员账户 *111122223333*,则无法在*加拿大(中部)*区域指定另一个成员账户 *555555555555*。但您必须在所有其他区域将同一账户作为安全事件响应委托管理员账户。
**您可以在特定 AWS 区域 中设置安全事件响应委托管理员账户。**
在初始设置期间,您可以在一个 AWS 区域 中指定委托的安全事件响应管理员账户。尽管设置是区域性的,但 AWS 安全事件响应 在所有支持的 AWS 区域 中提供组织范围的覆盖。从所有支持的 AWS 区域 中提取来自 Amazon GuardDuty 和 AWS Security Hub CSPM 的安全调查发现,并且在您激活订阅的区域中集中管理案例。必须通过 AWS Organizations 添加安全事件响应委托管理员账户和成员账户。
**不建议将组织的管理账户设置为安全事件响应委托管理员账户。**
组织的管理账户可以是委托的安全事件响应管理员账户。但是,AWS 安全最佳实践遵循最低权限原则,不建议使用此配置。
**从实时订阅中删除安全事件响应委托管理员账户会立即取消订阅。**
如果您删除安全事件响应委托管理员账户,AWS 安全事件响应 将删除与该安全事件响应委托管理员账户关联的所有成员账户。将不再为所有成员账户启用 AWS 安全事件响应。
# 启用 AWS 账户管理的可信访问权限
启用 AWS 安全事件响应的可信访问权限可让管理账户的委托管理员修改 AWS Organizations 中每个成员账户的特定信息和元数据(例如,主要联系人或备用联系人详细信息)。
请按照以下步骤在组织中启用 AWS 安全事件响应的可信访问权限。
**最小权限**
要执行这些任务,您必须满足以下要求:
只能从组织的管理账户执行此操作。
您的组织必须[已启用所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
------
#### [ Console ]
**启用 AWS 安全事件响应的可信访问权限**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
1. 在导航窗格中,选择**服务**。
1. 在服务列表中选择 **AWS 安全事件响应**。
1. 选择 **Enable trusted access (启用可信访问)**。
1. 在**为 AWS 安全事件响应 启用可信访问**对话框中,键入**启用**进行确认,然后选择**启用可信访问**。
------
#### [ API/CLI ]
**启用 AWS 账户管理的可信访问权限**
运行以下命令后,就可以使用组织管理账户中的凭证调用账户管理 API 操作,这些操作使用 `--accountId` 参数来引用组织中的成员账户。
+ AWS CLI:[enable-aws-service-access](https://docs.aws.amazon.com/organizations/latest/userguide/enable-aws-service-access.html)
以下示例在调用账户的组织中启用了 AWS 安全事件响应的可信访问权限。
```
$ aws organizations enable-aws-service-access \
--service-principal security-ir.amazonaws.com
```
如果成功,此命令不会产生任何输出。
------
# 指定安全事件响应委托管理员账户所需的权限
您可以选择使用 AWS Organizations 委托管理员来设置 AWS 安全事件响应会员资格。有关如何授予这些权限的信息,请参阅 [Using AWS Organizations with other AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。
**注意**
AWS 安全事件响应会在使用控制台进行设置和管理时,自动启用 AWS Organizations 信任关系。如果您使用 CLI/SDK,则必须使用 [EnableAWSServiceAccess API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 手动启用此功能才能信任 `security-ir.amazonaws.com`。
作为 AWS Organizations 管理员,在为组织指定安全事件响应委托管理员账户之前,请先验证您是否可以执行以下 AWS 安全事件响应操作:`security-ir:CreateMembership` 和 `security-ir:UpdateMembership`。这些操作可让您使用 AWS 安全事件响应为组织指定安全事件响应委托管理员账户。此外还必须确保您有权执行 AWS Organizations 操作,这将有助您检索有关组织的信息。
要授予这些权限,请在您的账户的 AWS Identity and Access Management (IAM) 策略中包括以下语句:
```
{
"Sid": "PermissionsForSIRAdmin",
"Effect": "Allow",
"Action": [
"security-ir:CreateMembership",
"security-ir:UpdateMembership",
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
}
```
如果要将您的 AWS Organizations 管理账户指定为安全事件响应委托管理员账户,您的账户还需要执行以下 IAM 操作:`CreateServiceLinkedRole`。请先查看[将 AWS 安全事件响应与 AWS Organizations 结合使用的注意事项和建议](considerations_important.md),然后再继续添加权限。
要继续将 AWS Organizations 管理账户指定为安全事件响应委托管理员账户,请将以下语句添加到 IAM 策略中并将 *111122223333* 替换为 AWS Organizations 管理账户的 AWS 账户 ID:
```
{
"Sid": "PermissionsToEnableSecurityIncidentResponse"
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "security-ir.amazonaws.com"
}
}
}
```
# 指定 AWS 安全事件响应委托管理员账户
本节介绍了在 AWS 安全事件响应组织中指定委托管理员的步骤。
作为 AWS 组织的管理员,请务必通读有关安全事件响应委托管理员账户工作原理的[注意事项和建议](considerations_important.md)。在继续操作之前,请确保您拥有[指定安全事件响应委托管理员账户所需的权限](organizations_permissions.md)。
选择一种您偏好的访问方法,为组织指定安全事件响应委托管理员账户。只有管理账户才能执行此步骤。
------
#### [ Console ]
1. 在 https://console.aws.amazon.com/security-ir/ 上打开安全事件响应控制台
若要登录,请使用 AWS Organizations 组织的管理账户凭证。
1. 使用页面右上角的 AWS 区域选择器,选择您要在其中为组织指定安全事件响应委托管理员账户的区域。
1. 按照设置向导创建您的会员资格,包括委托管理员账户。
------
#### [ API/CLI ]
+ 使用组织管理 AWS 账户的凭证运行 CreateMembership。
+ 或者,您可以使用 AWS Command Line Interface 来执行此操作。以下 AWS CLI 命令会指定安全事件响应委托管理员账户。以下是可用于配置会员资格的字符串选项:
```
{
"customerAccountId": "stringstring",
"membershipName": "stringstring",
"customerType": "Standalone",
"organizationMetadata": {
"organizationId": "string",
"managementAccountId": "stringstring",
"delegatedAdministrators": [
"stringstring"
]
},
"membershipAccountsConfigurations": {
"autoEnableAllAccounts": true,
"organizationalUnits": [
"string"
]
},
"incidentResponseTeam": [
{
"name": "string",
"jobTitle": "stringstring",
"email": "stringstring"
}
],
"internalIdentifier": "string",
"membershipId": "stringstring",
"optInFeatures": [
{
"featureName": "RuleForwarding",
"isEnabled": true
}
]
}
```
如果未为安全事件响应委托管理员账户启用 AWS 安全事件响应,该账户将无法执行任何操作。如果尚未启用,请确保为新指定的安全事件响应委托管理员账户启用 AWS 安全事件响应。
------
# 使用 AWS 安全事件响应 的组织单元(OU)管理会员资格
AWS 安全事件响应 支持单独组织单元(OU)的会员资格覆盖。您随时可以更新您的会员资格,使其覆盖特定的 OU。所选 OU 中的所有账户,包括子 OU 下的账户,都将受您的会员资格覆盖。
更新您的会员资格关联时,一次最多可以为 5 个 OU 应用更新。如果您希望对 5 个以上的 OU 进行更改,请每 5 个 OU 分成一批完成关联更改,直到所有更新都完成。
------
#### [ Console ]
1. 在 https://console.aws.amazon.com/security-ir/ 上打开安全事件响应控制台
若要登录,请使用 AWS Organizations 组织的管理账户凭证。
1. 导航到**管理会员资格** > 账户
1. 单击**更新关联**
1. 选择**选择组织单元(OU)**
1. 选择**添加 OU** 或**删除 OU**
1. 最多选择 5 个您要更新的 OU。您不能同时添加和删除 OU。
**注意**
选定 OU 下的所有账户和子 OU 都将关联。
1. 单击**更新关联**
1.
**注意**
如果要对超过 5 个 OU 进行更改,请重复步骤 5 和 6,直到所有 OU 都已关联。
------
要了解有关在 AWS 组织内进行 OU 更改的更多信息,请参阅[使用 AWS Organizations 管理组织单元(OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html)。
# 向 AWS 安全事件响应添加成员
AWS Organizations 与 AWS 安全事件响应会员资格之间是一对一的关系。在您的组织或组织单元(OU)中添加(或删除)账户后,您的 AWS 安全事件响应 会员资格覆盖的账户中就会反映出这些更改。
要将账户添加到您的会员资格,请按照[使用 AWS Organizations 管理组织中的账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)中的选项之一进行操作。
您也可以随时向您的会员资格添加其他 OU,请参阅[使用组织单元(OU)管理会员资格](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html)。
# 从 AWS 安全事件响应中删除成员
要从您的会员资格中删除账户,您可以从组织中删除成员账户,将账户移出选定的 OU,或者从您的会员资格中删除 OU。
要从您的会员资格中删除某个账户,请按照[从组织中删除成员账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)的步骤进行操作。
要将账户移出 OU,请按照[使用 AWS Organizations 将账户移动到某个组织单元(OU)或者在根和 OU 之间移动](https://docs.aws.amazon.com/organizations/latest/userguide/move_account_to_ou.html)的程序进行操作。
要从您的会员资格中删除 OU,请按照[使用组织单元(OU)管理会员资格](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html)的程序进行操作。