Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon Security Lake und AWS Organizations
Amazon Security Lake zentralisiert Sicherheitsdaten aus Cloud-, On-Premises- und benutzerdefinierten Quellen in einem Data Lake, der in Ihrem Konto gespeichert ist. Durch die Integration mit Organizations können Sie einen Data Lake erstellen, der Protokolle und Ereignisse in Ihren Konten erfasst. Weitere Informationen finden Sie unter Verwalten mehrerer Konten mit AWS Organizations im Amazon-Security-Lake-Benutzerhandbuch.
Verwenden Sie die folgenden Informationen, um Ihnen bei der Integration von Amazon Security Lake zu helfen AWS Organizations.
Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren
Die folgende serviceverknüpfte Rolle wird automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie die RegisterDataLakeDelegatedAdministratorAPI aufrufen. Diese Rolle ermöglicht es Amazon Security Lake, unterstützte Operationen innerhalb der Konten Ihrer Organisation in Ihrer Organisation durchzuführen.
Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen Amazon Security Lake und Organizations deaktivieren oder wenn Sie das Mitgliedskonto aus der Organisation entfernen.
-
AWSServiceRoleForSecurityLake
Empfehlung: Verwenden Sie die RegisterDataLakeDelegatedAdministrator API von Security Lake, um Security Lake Zugriff auf Ihr Unternehmen zu gewähren und den delegierten Administrator der Organisation zu registrieren
Wenn Sie die APIs von Organizations verwenden, um einen delegierten Administrator zu registrieren, können serviceverknüpfte Rollen für die Organizations möglicherweise nicht erfolgreich erstellt werden. Verwenden Sie die Security Lake-APIs, um die volle Funktionalität sicherzustellen.
Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden
Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von Amazon Security Lake verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service Principals:
-
securitylake.amazonaws.com
Vertrauenswürdigen Zugriff mit Amazon Security Lake aktivieren
Wenn Sie mit Security Lake den vertrauenswürdigen Zugriff aktivieren, kann Security Lake automatisch auf Änderungen der Organisationsmitgliedschaft reagieren. Der delegierte Administrator kann die Erfassung von AWS Protokollen von unterstützten Diensten in jedem Unternehmenskonto aktivieren. Weitere Informationen finden Sie unter Serviceverknüpfte Rolle für Amazon Security Lake im Amazon Security Lake-Benutzerhandbuch.
Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.
Sie können den vertrauenswürdigen Zugriff nur über die Tools von Organizations aktivieren.
Sie können den vertrauenswürdigen Zugriff aktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Befehl ausführen oder eine API-Operation in einem der AWS SDKs aufrufen.
Deaktivierung des vertrauenswürdigen Zugriffs mit Amazon Security Lake
Nur ein Administrator im Verwaltungskonto der Organizations kann den vertrauenswürdigen Zugriff mit Amazon Security Lake deaktivieren.
Sie können den vertrauenswürdigen Zugriff nur über die Tools von Organizations deaktivieren.
Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Organizations-Befehl ausführen oder einen Organizations-API-Vorgang in einem der AWS SDKs aufrufen.
Aktivieren eines delegierten Administratorkontos für Amazon Security Lake
Der delegierte Administrator von Amazon Security Lake fügt weitere Konten in der Organisation als Mitgliedskonten hinzu. Der delegierte Administrator kann Amazon Security Lake aktivieren und Amazon Security Lake-Einstellungen für die Mitgliedskonten konfigurieren. Der delegierte Administrator kann unternehmensweit in allen AWS Regionen, in denen Amazon Security Lake aktiviert ist, Protokolle sammeln (unabhängig davon, welchen regionalen Endpunkt Sie gerade verwenden).
Sie können den delegierten Administrator auch so einrichten, dass er automatisch neue Konten in der Organisation als Mitglieder hinzufügt. Der delegierte Administrator von Amazon Security Lake hat Zugriff auf die Protokolle und Ereignisse in den zugehörigen Mitgliedskonten. Dementsprechend können Sie Amazon Security Lake so einrichten, dass Daten erfasst werden, die zugehörigen Mitgliedskonten gehören. Sie können Abonnenten auch die Erlaubnis erteilen, Daten zu nutzen, die zugehörigen Mitgliedskonten gehören.
Weitere Informationen finden Sie unter Verwalten mehrerer Konten mit AWS Organizations im Amazon-Security-Lake-Benutzerhandbuch.
Mindestberechtigungen
Nur ein Administrator im Verwaltungskonto der Organizations kann ein Mitgliedskonto als delegierter Administrator für Amazon Security Lake in der Organisation konfigurieren
Sie können ein delegiertes Administratorkonto mithilfe der Amazon Security Lake-Konsole, der Amazon Security CreateDatalakeDelegatedAdmin
Lake-API-Aktion oder des create-datalake-delegated-admin
CLI-Befehls angeben. Alternativ hierzu können Sie auch die Organizations-RegisterDelegatedAdministrator
-CLI- oder SDK-Operation verwenden. Anweisungen zur Aktivierung eines delegierten Administratorkontos für Amazon Security Lake finden Sie unter Benennen des delegierten Security Lake-Administrators und Hinzufügen von Mitgliedskonten im Amazon Security Lake-Benutzerhandbuch.
Deaktivieren eines delegierten Administrators für Amazon Security Lake
Nur ein Administrator im Verwaltungskonto der Organizations oder im delegierten Administratorkonto von Amazon Security Lake kann ein delegiertes Administratorkonto aus der Organisation entfernen.
Sie können das delegierte Administratorkonto mithilfe der Amazon Security DeleteDatalakeDelegatedAdmin
Lake-API-Aktion, des delete-datalake-delegated-admin
CLI-Befehls oder mithilfe des CLI- oder SDK-Vorgangs Organizations DeregisterDelegatedAdministrator
entfernen. Informationen zum Entfernen eines delegierten Administrators mithilfe von Amazon Security Lake finden Sie unter Entfernen des delegierten Amazon Security Lake-Administrators im Amazon Security Lake-Benutzerhandbuch.