Amazon Security Lake und  AWS Organizations

Amazon Security Lake zentralisiert Sicherheitsdaten aus Cloud-, On-Premises- und benutzerdefinierten Quellen in einem Data Lake, der in Ihrem Konto gespeichert ist. Durch die Integration mit Organizations können Sie einen Data Lake erstellen, der Protokolle und Ereignisse in Ihren Konten erfasst. Weitere Informationen finden Sie unter Verwalten mehrerer Konten mit AWS Organizations im Amazon-Security-Lake-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, um Ihnen bei der Integration von Amazon Security Lake zu helfen AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie die RegisterDataLakeDelegatedAdministratorAPI aufrufen. Diese Rolle ermöglicht es Amazon Security Lake, unterstützte Operationen innerhalb der Konten Ihrer Organisation in Ihrer Organisation durchzuführen.

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen Amazon Security Lake und Organizations deaktivieren oder wenn Sie das Mitgliedskonto aus der Organisation entfernen.

• AWSServiceRoleForSecurityLake

Empfehlung: Verwenden Sie die RegisterDataLakeDelegatedAdministrator API von Security Lake, um Security Lake Zugriff auf Ihr Unternehmen zu gewähren und den delegierten Administrator der Organisation zu registrieren

Wenn Sie die APIs von Organizations verwenden, um einen delegierten Administrator zu registrieren, können serviceverknüpfte Rollen für die Organizations möglicherweise nicht erfolgreich erstellt werden. Verwenden Sie die Security Lake-APIs, um die volle Funktionalität sicherzustellen.

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von Amazon Security Lake verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service Principals:

• securitylake.amazonaws.com

Vertrauenswürdigen Zugriff mit Amazon Security Lake aktivieren

Wenn Sie mit Security Lake den vertrauenswürdigen Zugriff aktivieren, kann Security Lake automatisch auf Änderungen der Organisationsmitgliedschaft reagieren. Der delegierte Administrator kann die Erfassung von AWS Protokollen von unterstützten Diensten in jedem Unternehmenskonto aktivieren. Weitere Informationen finden Sie unter Serviceverknüpfte Rolle für Amazon Security Lake im Amazon Security Lake-Benutzerhandbuch.

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff nur über die Tools von Organizations aktivieren.

Sie können den vertrauenswürdigen Zugriff aktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Befehl ausführen oder eine API-Operation in einem der AWS SDKs aufrufen.

AWS Management Console

So aktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie im Navigationsbereich Services.

3. Wählen Sie Amazon Security Lake in der Liste der Dienste aus.

4. Wählen Sie Vertrauenswürdigen Zugriff aktivieren.

5. Geben Sie im Dialogfeld Vertrauenswürdigen Zugriff für Amazon Security Lake aktivieren den Text enable ein, um dies zu bestätigen, und wählen Sie dann Vertrauenswürdigen Zugriff aktivieren aus.

6. Wenn Sie der Administrator von Only sind AWS Organizations, teilen Sie dem Administrator von Amazon Security Lake mit, dass er diesen Service jetzt über die Konsole aktivieren kann, mit der er arbeiten kann AWS Organizations.

AWS CLI, AWS API

So aktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Sie können die folgenden AWS CLI Befehle oder API-Operationen verwenden, um den vertrauenswürdigen Servicezugriff zu aktivieren:

• AWS CLI: enable-aws-service-access

  Sie können den folgenden Befehl ausführen, um Amazon Security Lake als vertrauenswürdigen Service für Organizations zu aktivieren.

  $ aws organizations enable-aws-service-access \ 
      --service-principal securitylake.amazonaws.com

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

• AWS API: Aktivieren AWSServiceAccess

Deaktivierung des vertrauenswürdigen Zugriffs mit Amazon Security Lake

Nur ein Administrator im Verwaltungskonto der Organizations kann den vertrauenswürdigen Zugriff mit Amazon Security Lake deaktivieren.

Sie können den vertrauenswürdigen Zugriff nur über die Tools von Organizations deaktivieren.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Organizations-Befehl ausführen oder einen Organizations-API-Vorgang in einem der AWS SDKs aufrufen.

AWS Management Console

So deaktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie im Navigationsbereich Services.

3. Wählen Sie Amazon Security Lake in der Liste der Dienste aus.

4. Wählen Sie Vertrauenswürdigen Zugriff deaktivieren.

5. Geben Sie im Dialogfeld Vertrauenswürdigen Zugriff für Amazon Security Lake deaktivieren den Text disable ein, um dies zu bestätigen, und wählen Sie dann Vertrauenswürdigen Zugriff deaktivieren.

6. Wenn Sie der Administrator von Only sind AWS Organizations, teilen Sie dem Administrator von Amazon Security Lake mit, dass er diesen Service jetzt mithilfe der Konsole oder der Tools deaktivieren kann, damit er nicht mehr funktioniert AWS Organizations.

AWS CLI, AWS API

So deaktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Sie können die folgenden AWS CLI Befehle oder API-Operationen verwenden, um den vertrauenswürdigen Servicezugriff zu deaktivieren:

• AWS CLI: disable-aws-service-access

  Sie können den folgenden Befehl ausführen, um Amazon Security Lake als vertrauenswürdigen Service für Organizations zu deaktivieren.

  $ aws organizations disable-aws-service-access \
      --service-principal securitylake.amazonaws.com

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

• AWS API: Deaktivieren AWSServiceAccess

Aktivieren eines delegierten Administratorkontos für Amazon Security Lake

Der delegierte Administrator von Amazon Security Lake fügt weitere Konten in der Organisation als Mitgliedskonten hinzu. Der delegierte Administrator kann Amazon Security Lake aktivieren und Amazon Security Lake-Einstellungen für die Mitgliedskonten konfigurieren. Der delegierte Administrator kann unternehmensweit in allen AWS Regionen, in denen Amazon Security Lake aktiviert ist, Protokolle sammeln (unabhängig davon, welchen regionalen Endpunkt Sie gerade verwenden).

Sie können den delegierten Administrator auch so einrichten, dass er automatisch neue Konten in der Organisation als Mitglieder hinzufügt. Der delegierte Administrator von Amazon Security Lake hat Zugriff auf die Protokolle und Ereignisse in den zugehörigen Mitgliedskonten. Dementsprechend können Sie Amazon Security Lake so einrichten, dass Daten erfasst werden, die zugehörigen Mitgliedskonten gehören. Sie können Abonnenten auch die Erlaubnis erteilen, Daten zu nutzen, die zugehörigen Mitgliedskonten gehören.

Weitere Informationen finden Sie unter Verwalten mehrerer Konten mit AWS Organizations im Amazon-Security-Lake-Benutzerhandbuch.

Mindestberechtigungen

Nur ein Administrator im Verwaltungskonto der Organizations kann ein Mitgliedskonto als delegierter Administrator für Amazon Security Lake in der Organisation konfigurieren

Sie können ein delegiertes Administratorkonto mithilfe der Amazon Security Lake-Konsole, der Amazon Security CreateDatalakeDelegatedAdmin Lake-API-Aktion oder des create-datalake-delegated-admin CLI-Befehls angeben. Alternativ hierzu können Sie auch die Organizations-RegisterDelegatedAdministrator-CLI- oder SDK-Operation verwenden. Anweisungen zur Aktivierung eines delegierten Administratorkontos für Amazon Security Lake finden Sie unter Benennen des delegierten Security Lake-Administrators und Hinzufügen von Mitgliedskonten im Amazon Security Lake-Benutzerhandbuch.

AWS CLI, AWS API

Wenn Sie ein delegiertes Administratorkonto mithilfe der AWS CLI oder eines der AWS SDKs konfigurieren möchten, können Sie die folgenden Befehle verwenden:

• AWS CLI:

  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \ --service-principal securitylake.amazonaws.com

• AWS SDK: Rufen Sie den RegisterDelegatedAdministrator Betrieb Organizations und die ID-Nummer des Mitgliedskontos auf und identifizieren Sie den Kontodienstprinzipal account.amazonaws.com als Parameter.

Deaktivieren eines delegierten Administrators für Amazon Security Lake

Nur ein Administrator im Verwaltungskonto der Organizations oder im delegierten Administratorkonto von Amazon Security Lake kann ein delegiertes Administratorkonto aus der Organisation entfernen.

Sie können das delegierte Administratorkonto mithilfe der Amazon Security DeleteDatalakeDelegatedAdmin Lake-API-Aktion, des delete-datalake-delegated-admin CLI-Befehls oder mithilfe des CLI- oder SDK-Vorgangs Organizations DeregisterDelegatedAdministrator entfernen. Informationen zum Entfernen eines delegierten Administrators mithilfe von Amazon Security Lake finden Sie unter Entfernen des delegierten Amazon Security Lake-Administrators im Amazon Security Lake-Benutzerhandbuch.