本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 管理 AWS 安全事件應變 帳戶 AWS Organizations
AWS 安全事件應變 已與 整合 AWS Organizations。組織的 AWS Organizations 管理帳戶可以指定 帳戶做為委派管理員 AWS 安全事件應變。此動作會在 中啟用 AWS 安全事件應變 做為信任的服務 AWS Organizations。如需如何授予這些許可的資訊,請參閱[搭配使用 AWS Organizations 與其他 AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。
以下各節將引導您完成以委派安全事件回應管理員帳戶身分執行的各種任務。
**Topics**
+ [
# AWS 安全事件應變 搭配 使用的考量事項和建議 AWS Organizations
](considerations_important.md)
+ [
# 啟用 的受信任存取 AWS 帳戶管理
](using-orgs-trusted-access.md)
+ [
# 指定委派安全事件回應管理員帳戶所需的許可
](organizations_permissions.md)
+ [
# 為 指定委派管理員 AWS 安全事件應變
](delegated-admin-designate.md)
+ [
# 使用 的組織單位 (OUs管理成員資格 AWS 安全事件應變
](managing-membership-with-ou.md)
+ [
# 將成員新增至 AWS 安全事件應變
](add-member-accounts.md)
+ [
# 從 移除成員 AWS 安全事件應變
](remove-member-account.md)
# AWS 安全事件應變 搭配 使用的考量事項和建議 AWS Organizations
下列考量事項和建議可協助您了解委派的安全事件回應管理員帳戶在 中的運作方式 AWS 安全事件應變:
**的委派管理員帳戶 AWS 安全事件應變。**
您可以指定一個成員帳戶做為委派的安全事件回應管理員帳戶。例如,如果您在歐洲 *(愛爾蘭)* 指定成員帳戶 *111122223333*,您就無法在*加拿大 (中部)* 指定其他成員帳戶 *555555555555*。您必須在所有其他區域中使用與委派安全事件回應管理員帳戶相同的帳戶。
**您可以在特定 中設定委派的安全事件回應管理員帳戶 AWS 區域。**
您可以在初始設定 AWS 區域 期間,在一個 中指定委派的安全事件回應管理員帳戶。雖然設定是區域性的, AWS 安全事件應變 提供所有支援的全組織涵蓋範圍 AWS 區域。來自 Amazon GuardDuty 和 的安全性調查結果 AWS Security Hub CSPM 會從所有支援的 擷取 AWS 區域,且案例會在您啟用訂閱的區域中集中管理。委派的安全事件回應管理員帳戶和成員帳戶必須透過 新增 AWS Organizations。
**不建議將組織的管理帳戶設定為委派的安全事件回應管理員帳戶。**
您組織的管理帳戶可以是委派的安全事件回應管理員帳戶。不過, AWS 安全最佳實務遵循最低權限原則,不建議此組態。
**從即時訂閱中移除委派的安全事件回應管理員帳戶會立即取消訂閱。**
如果您移除委派的安全事件回應管理員帳戶, 會 AWS 安全事件應變 移除與此委派安全事件回應管理員帳戶相關聯的所有成員帳戶。 AWS 安全事件應變 將不再為所有成員帳戶啟用。
# 啟用 的受信任存取 AWS 帳戶管理
啟用 的受信任存取, AWS 安全事件應變 可讓管理帳戶的委派管理員修改每個成員帳戶的特定資訊和中繼資料 (例如主要或替代聯絡人詳細資訊) AWS Organizations。
使用下列程序來啟用組織中 AWS 安全事件應變 的受信任存取。
**最低許可**
若要執行這些任務,您必須符合下列要求:
您只能從組織的管理帳戶執行此操作。
您的組織必須[啟用所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
------
#### [ Console ]
**啟用 的受信任存取 AWS 安全事件應變**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。
1. 在導覽窗格中選擇**服務**。
1. **AWS 安全事件應變** 在服務清單中選擇 。
1. 選擇 **Enable trusted access (啟用信任存取)**。
1. 在**啟用受信任存取對話方塊中 AWS 安全事件應變**,輸入**啟用**以確認,然後選擇**啟用受信任存取**。
------
#### [ API/CLI ]
**啟用 的受信任存取 AWS 帳戶管理**
執行下列命令後,您可以使用組織的管理帳戶中的登入資料來呼叫 Account Management API 操作,這些操作使用 `--accountId` 參數來參考組織中的成員帳戶。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/organizations/latest/userguide/enable-aws-service-access.html)
下列範例會在 AWS 安全事件應變 呼叫帳戶的組織中啟用 的受信任存取。
```
$ aws organizations enable-aws-service-access \
--service-principal security-ir.amazonaws.com
```
此命令如果成功就不會產生輸出。
------
# 指定委派安全事件回應管理員帳戶所需的許可
您可以選擇使用委派管理員來設定您的 AWS 安全事件應變 成員資格 AWS Organizations。如需如何授予這些許可的資訊,請參閱[搭配使用 AWS Organizations 與其他 AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。
**注意**
AWS 安全事件應變 使用主控台進行設定和管理時, 會自動啟用 AWS Organizations 信任關係。如果您使用 CLI/SDK,則必須使用 [EnableAWSServiceAccess API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 信任 來手動啟用此功能`security-ir.amazonaws.com`。
身為 AWS Organizations 管理員,在您為組織指定委派的安全事件回應管理員帳戶之前,請確認您可以執行下列 AWS 安全事件應變 動作: `security-ir:CreateMembership`和 `security-ir:UpdateMembership`。這些動作可讓您使用 為您的組織指定委派的安全事件回應管理員帳戶 AWS 安全事件應變。您還必須確保您可以執行可協助您擷取組織相關資訊 AWS Organizations 的動作。
若要授予這些許可,請在您帳戶的 AWS Identity and Access Management (IAM) 政策中包含下列陳述式:
```
{
"Sid": "PermissionsForSIRAdmin",
"Effect": "Allow",
"Action": [
"security-ir:CreateMembership",
"security-ir:UpdateMembership",
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
}
```
如果您想要將 AWS Organizations 管理帳戶指定為委派的安全事件回應管理員帳戶,則您的帳戶也需要 IAM 動作:`CreateServiceLinkedRole`。請先檢閱 ,[AWS 安全事件應變 搭配 使用的考量事項和建議 AWS Organizations](considerations_important.md)再繼續新增許可。
若要繼續將 AWS Organizations 管理帳戶指定為委派的安全事件回應管理員帳戶,請將下列陳述式新增至 IAM 政策,並以 AWS Organizations 管理帳戶的 AWS 帳戶 ID 取代 *111122223333*:
```
{
"Sid": "PermissionsToEnableSecurityIncidentResponse"
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "security-ir.amazonaws.com"
}
}
}
```
# 為 指定委派管理員 AWS 安全事件應變
本節提供在 AWS 安全事件應變 組織中指定委派管理員的步驟。
身為 AWS 組織的經理,請務必閱讀 [考量事項和建議](considerations_important.md),了解委派的安全事件回應管理員帳戶的運作方式。在繼續之前,請確定您擁有 [指定委派安全事件回應管理員帳戶所需的許可](organizations_permissions.md)。
選擇偏好的存取方法,為您的組織指定委派的安全事件回應管理員帳戶。只有管理層才能執行此步驟。
------
#### [ Console ]
1. 在 https://https://console.aws.amazon.com/security-ir/ 開啟安全事件回應主控台
若要登入,請使用 AWS Organizations 組織的管理登入資料。
1. 使用頁面右上角的 AWS 區域 選取器,選取您要為組織指定委派安全事件回應管理員帳戶的區域。
1. 遵循設定精靈來建立您的成員資格,包括委派管理員帳戶。
------
#### [ API/CLI ]
+ 使用 AWS 帳戶 組織管理的 登入資料執行 CreateMembership。
+ 或者,您可以使用 AWS Command Line Interface 來執行此操作。下列 AWS CLI 命令會指定委派的安全事件回應管理員帳戶。以下是可用於設定成員資格的字串選項:
```
{
"customerAccountId": "stringstring",
"membershipName": "stringstring",
"customerType": "Standalone",
"organizationMetadata": {
"organizationId": "string",
"managementAccountId": "stringstring",
"delegatedAdministrators": [
"stringstring"
]
},
"membershipAccountsConfigurations": {
"autoEnableAllAccounts": true,
"organizationalUnits": [
"string"
]
},
"incidentResponseTeam": [
{
"name": "string",
"jobTitle": "stringstring",
"email": "stringstring"
}
],
"internalIdentifier": "string",
"membershipId": "stringstring",
"optInFeatures": [
{
"featureName": "RuleForwarding",
"isEnabled": true
}
]
}
```
如果 AWS 安全事件應變 未為您的委派安全事件回應管理員帳戶啟用,則無法採取任何動作。如果尚未這麼做,請務必 AWS 安全事件應變 為新指定的委派安全事件回應管理員帳戶啟用 。
------
# 使用 的組織單位 (OUs管理成員資格 AWS 安全事件應變
AWS 安全事件應變 支援個別組織單位 (OUs的成員資格涵蓋範圍。您可以隨時更新您的成員資格以涵蓋特定 OUs。您的成員資格將涵蓋所選 OUs 中的所有帳戶,包括子 OUs 下的帳戶。
更新成員資格關聯時,一次最多可以套用 5 個 OUs的更新。如果您想要變更超過 5 OUs,請批次完成 5 個 OUs 的關聯變更,直到完成所有更新為止。
------
#### [ Console ]
1. 在 https://https://console.aws.amazon.com/security-ir/ 開啟安全事件回應主控台
若要登入,請使用 AWS Organizations 組織的管理登入資料。
1. 導覽至**管理成員**資格 > 帳戶
1. 按一下**更新關聯**
1. 選取**選擇組織單位 OUs)**
1. 選取**新增 OUs**或**移除 OUs**
1. 選取最多 5 個您要更新的 OUs。您無法同時新增和移除 OUs。
**注意**
所選 OUs 下的所有帳戶和子 OU 都將相關聯。
1. 按一下**更新關聯**
1.
**注意**
如果您想要變更超過 5 OUs,請重複步驟 5 和 6,直到所有 OUs都已關聯。
------
若要進一步了解如何在 AWS 組織中進行 OU 變更,請參閱[使用 管理組織單位 OUs) AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html)。
# 將成員新增至 AWS 安全事件應變
與 AWS Organizations 和您的 AWS 安全事件應變 成員有一對一的關係。當帳戶從您的組織或組織單位 (OUs) 新增 (或移除) 時,這些變更將反映在您的 AWS 安全事件應變 成員資格涵蓋帳戶中。
若要將帳戶新增至您的成員資格,請遵循[管理組織中帳戶的 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)其中一個選項。
您也可以隨時將其他 OUs 新增至您的成員資格,請參閱[使用組織單位 (OUs管理成員資格](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html)。
# 從 移除成員 AWS 安全事件應變
若要從成員資格中移除帳戶,您可以從組織移除成員帳戶、將帳戶移出所選 OUs,或從成員資格中移除 OUs。
若要從您的成員資格中移除帳戶,請遵循[從組織移除成員帳戶](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)的程序。
若要將帳戶移出 OUs,請遵循將[帳戶移往組織單位 (OU) 或根帳戶與 OUs 之間的 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/move_account_to_ou.html)程序。
若要從您的成員資格中移除 OU,請遵循[使用組織單位 (OUs) 管理成員](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html)資格的程序。