

# メンバーアカウントを選択する
<a name="select-a-membership-account"></a>

 メンバーシップアカウントは、アカウントの詳細の設定、インシデント対応チームの詳細の追加と削除、およびすべてのアクティブなセキュリティイベントと履歴セキュリティイベントの作成と管理に使用できる AWS アカウントです。AWS Security Incident Response メンバーシップアカウントは、Amazon GuardDuty や AWS Security Hub CSPM などのサービス向けに有効化したものと同じアカウントに一致させることをお勧めします。

 AWS Organizations を使用した AWS Security Incident Response メンバーシップアカウントの選択には 2 つのオプションがあります。Organizations の管理アカウントまたは Organizations の委任管理者アカウントでメンバーシップを作成できます。

 **委任管理者アカウントを使用する:** AWS Security Incident Response 管理タスクとケース管理は、委任管理者アカウント内にあります。他の AWS セキュリティおよびコンプライアンスサービスに設定したのと同じ委任管理者を使用することをお勧めします。12 桁の委任管理者アカウント ID を指定し、そのアカウントにログインして続行します。

AWS Security Incident Response は、AWS Security Incident Response コンソール経由で、オンボード時に AWS Organizations 管理アカウントと対象範囲内のすべてのアカウントに `AWSServiceRoleForSecurityIncidentResponse_Triage` サービスリンクロールを自動的に作成します。API/CLI を使用して AWS Security Incident Response を有効にし、委任管理者アカウント指定する手順については、「[API/CLI を使用して Security Incident Response を有効にし、インシデント対応チームを設定する](enable-sir-using-cli.md)」を参照してください。

 **現在ログインしているアカウントを使用する**: このアカウントを選択すると、現在のアカウントが AWS Security Incident Response メンバーシップの中心となるメンバーシップアカウントとして指定されます。組織内の個人は、このアカウントを通じてサービスにアクセスして、アクティブケースと解決済みケースを作成、アクセス、管理する必要があります。

 AWS Security Incident Response を管理するための十分なアクセス許可があることを確認してください。

 アクセス許可を追加する具体的な手順については、「[IAM ID のアクセス許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。

 「[AWS Security Incident Response managed policies](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html)」を参照してください。

 IAM アクセス許可を確認するには、以下の手順に従います。
+  *IAM ポリシーを確認する:* ユーザー、グループ、またはロールに添付されている IAM ポリシーを確認して、必要なアクセス許可が付与されていることを確認します。これを行うには、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) に移動し、`Users` オプションを選択し、特定のユーザーを選択し、概要ページで、添付されたすべてのポリシーのリストを表示できる `Permissions` タブに移動します。各ポリシー行を展開して詳細を表示できます。
+ *アクセス許可をテストする:* アクセス許可を検証するために必要なアクションを実行してみてください。例えば、ケースにアクセスする必要がある場合は、`ListCases` を実行してみてください。必要なアクセス許可がない場合は、エラーメッセージが表示されます。
+  *AWS CLI または SDK を使用する:* AWS Command Line Interface または、任意のプログラミング言語の AWS SDK を使用して、アクセス許可をテストできます。例えば、AWS Command Line Interface を使用している場合、`aws sts get-caller-identity` コマンドを実行して現在のユーザーのアクセス許可を確認できます。
+  *AWS CloudTrail ログを確認する: *[CloudTrail ログを確認](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) して、実行しようとしているアクションがログに記録されているかどうかを確認します。これにより、アクセス許可の問題を特定できます。
+  *IAM ポリシーシミュレーターを使用する:*[ IAM ポリシーシミュレーター](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)は、IAM ポリシーをテストし、それがアクセス許可に与える影響を確認できるツールです。

**注記**  
 特定のステップは、AWS サービスや実行しようとしているアクションに応じて異なる場合があります。