# 使用服务关联角色
***AWS 安全事件响应 的服务相关角色***
**Topics**
+ [AWS SLR:AWSServiceRoleForSecurityIncidentResponse](#AWSServiceRoleForSecurityIncidentResponse)
+ [AWS SLR:AWSServiceRoleForSecurityIncidentResponse\$1Triage](#AWSServiceRoleForSecurityIncidentResponse_Triage)
+ [AWS 安全事件响应 服务相关角色的受支持区域](#sir-slr-regions)
**支持服务关联角色:**是
服务相关角色是一种与AWS服务相关的服务角色。服务可以代入代表您执行操作的角色。服务相关角色显示在您的 AWS 账户中,并由该服务拥有。AWS Identity and Access Management 管理员可以查看但不能编辑服务相关角色的权限。
服务相关角色使 AWS 安全事件响应 的设置更轻松,因为您不必手动添加必要的权限。AWS 安全事件响应 定义其服务相关角色的权限,除非另行定义,否则仅 AWS 安全事件响应 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找服务相关角色列中显示为**是**的服务。选择是和链接,查看该服务的服务关联角色文档。
## AWS SLR:AWSServiceRoleForSecurityIncidentResponse
AWS 安全事件响应 使用名为 AWSServiceRoleForSecurityIncidentResponse 的服务相关角色(SLR)(AWS 安全事件响应策略,用于识别订阅的账户、创建案例和标记相关资源)。
### 权限
AWSServiceRoleForSecurityIncidentResponse 服务相关角色信任以下服务来代入该角色:
+ `triage.security-ir.amazonaws.com`
附加到此角色的是名为 [ AWSSecurityIncidentResponseServiceRolePolicy](aws-managed-policies.md#AWSSecurityIncidentResponseServiceRolePolicy) 的 AWS 托管策略。该服务会使用该角色对以下资源执行操作:
+ *AWS Organizations:*允许该服务查找用于该服务的会员资格账户。
+ *CreateCase:*允许该服务代表会员资格账户创建服务案例。
+ *ListCases:*允许服务的人工智能代理出于安全调查目的查看案例。
+ *UpdateCase:*允许服务的人工智能代理更新案例元数据。
+ *CreateCaseComment:*允许服务的人工智能代理将其结果发布为案例备注。
+ *ListComments:*允许服务的人工智能代理查看执行自动调查所需的案例备注。
+ *TagResource:*允许服务标签资源配置为该服务的一部分。
### 管理角色
您无需手动创建服务关联角色。当您在 AWS 管理控制台、AWS CLI、或 AWS API 中加入 AWS 安全事件响应时,该服务会为您创建服务相关角色。
**注意**
如果您使用委托管理员账户创建了会员资格,则需要在 AWS Organizations 管理账户中手动创建服务相关角色。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您加入该服务时,该服务会再次为您创建服务相关角色。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## AWS SLR:AWSServiceRoleForSecurityIncidentResponse\$1Triage
AWS 安全事件响应会使用名为 AWSServiceRoleForSecurityIncidentResponse\$1Triage 的服务相关角色(SLR)(AWS 安全事件响应策略,用于持续监控环境中是否存在安全威胁,调整安全服务以减少警报噪音,并收集信息以调查潜在事件。)
### 权限
AWSServiceRoleForSecurityIncidentResponse\$1Triage 服务相关角色信任以下服务来代入角色:
+ `triage.security-ir.amazonaws.com`
附加到此策略的是名为 [AWSSecurityIncidentResponseTriageServiceRolePolicy](aws-managed-policies.md#AWSSecurityIncidentResponseTriageServiceRolePolicy) 的 AWS 托管策略。该服务会使用该角色对以下资源执行操作:
+ *事件:*允许该服务创建 Amazon EventBridge 托管规则。此规则是您的 AWS 账户所需的基础设施,用于将事件从账户传送到该服务。此操作可在由 `triage.security-ir.amazonaws.com` 管理的任何 AWS 资源上执行。
+ *Amazon GuardDuty:*允许该服务调整安全服务以减少警报噪音,收集信息以调查潜在事件,以及启动 GuardDuty 恶意软件扫描。
+ *AWS Security Hub CSPM:*允许该服务列出已启用的标准和产品集成,列出组织成员和管理员帐户,调整安全服务以减少警报噪音,以及收集信息以调查潜在事件。
+ *AWS Identity and Access Management:*允许服务检索 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 服务相关角色的角色信息,以验证是否已配置 GuardDuty MalwareProtection。
+ *AWS 安全事件响应:*允许服务创建和更新案例并标记资源,仅限于标有 `SecurityIncidentResponseManaged=true` 的资源。允许该服务读取成员资格信息(GetMembership、ListMemberships)。
### 管理角色
您无需手动创建服务关联角色。当您在 AWS 管理控制台、AWS CLI、或 AWS API 中加入 AWS 安全事件响应时,该服务会为您创建服务相关角色。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您加入该服务时,该服务会再次为您创建服务相关角色。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## AWS 安全事件响应 服务相关角色的受支持区域
AWS 安全事件响应 支持在服务可用的所有区域中使用服务相关角色。
+ 美国东部(俄亥俄州)
+ 美国西部(俄勒冈州)
+ 美国东部(弗吉尼亚)
+ 欧洲地区(法兰克福)
+ 欧洲地区(爱尔兰)
+ 欧洲地区(伦敦)
+ 欧洲地区(米兰)
+ 欧洲地区(巴黎)
+ 欧洲(西班牙)
+ 欧洲地区(斯德哥尔摩)
+ 欧洲(苏黎世)
+ 亚太地区(香港)
+ 亚太地区(海得拉巴)
+ 亚太地区(雅加达)
+ 亚太地区(墨尔本)
+ 亚太地区(孟买)
+ 亚太地区(首尔)
+ 亚太地区(新加坡)
+ 亚太地区(悉尼)
+ 亚太地区(东京)
+ 加拿大(中部)
+ 中东(巴林)
+ 中东(阿联酋):
+ 南美洲(圣保罗)
+ 非洲(开普敦)