本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 指定委派安全事件回應管理員帳戶所需的許可 您可以選擇使用委派管理員來設定您的 AWS 安全事件應變 成員資格 AWS Organizations。如需如何授予這些許可的資訊,請參閱[搭配使用 AWS Organizations 與其他 AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。 **注意** AWS 安全事件應變 使用主控台進行設定和管理時, 會自動啟用 AWS Organizations 信任關係。如果您使用 CLI/SDK,則必須使用 [EnableAWSServiceAccess API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 信任 來手動啟用此功能`security-ir.amazonaws.com`。 身為 AWS Organizations 管理員,在您為組織指定委派的安全事件回應管理員帳戶之前,請確認您可以執行下列 AWS 安全事件應變 動作: `security-ir:CreateMembership`和 `security-ir:UpdateMembership`。這些動作可讓您使用 為您的組織指定委派的安全事件回應管理員帳戶 AWS 安全事件應變。您還必須確保您可以執行可協助您擷取組織相關資訊 AWS Organizations 的動作。 若要授予這些許可,請在您帳戶的 AWS Identity and Access Management (IAM) 政策中包含下列陳述式: ``` { "Sid": "PermissionsForSIRAdmin", "Effect": "Allow", "Action": [ "security-ir:CreateMembership", "security-ir:UpdateMembership", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" } ``` 如果您想要將 AWS Organizations 管理帳戶指定為委派的安全事件回應管理員帳戶,則您的帳戶也需要 IAM 動作:`CreateServiceLinkedRole`。請先檢閱 ,[AWS 安全事件應變 搭配 使用的考量事項和建議 AWS Organizations](considerations_important.md)再繼續新增許可。 若要繼續將 AWS Organizations 管理帳戶指定為委派的安全事件回應管理員帳戶,請將下列陳述式新增至 IAM 政策,並以 AWS Organizations 管理帳戶的 AWS 帳戶 ID 取代 *111122223333*: ``` { "Sid": "PermissionsToEnableSecurityIncidentResponse" "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse", "Condition": { "StringLike": { "iam:AWSServiceName": "security-ir.amazonaws.com" } } } ```