Verwalten mehrerer Konten mit AWS Organizations - Amazon Security Lake
Wichtige Überlegungen für delegierte Security-Lake-AdministratorenErforderliche IAM-Berechtigungen zum Benennen des delegierten AdministratorsBenennen des delegierten Security-Lake-Administrators und Hinzufügen von MitgliedskontenEntfernen des delegierten Security-Lake-AdministratorsVertrauenswürdiger Zugriff auf Security Lake

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten mehrerer Konten mit AWS Organizations

Sie können Amazon Security Lake verwenden, um Sicherheitsprotokolle und Ereignisse aus mehreren zu sammeln AWS-Konten. Um die Verwaltung mehrerer Konten zu automatisieren und zu optimieren, empfehlen wir dringend, Security Lake in zu integrierenAWS Organizations.

In Organizations wird das Konto, mit dem Sie die Organisation erstellen, als Verwaltungskonto bezeichnet. Um Security Lake in Organizations zu integrieren, muss das Verwaltungskonto ein delegiertes Security-Lake-Administratorkonto für die Organisation festlegen.

Der delegierte Security-Lake-Administrator kann Security Lake aktivieren und Security-Lake-Einstellungen für Mitgliedskonten konfigurieren. Der delegierte Administrator kann Protokolle und Ereignisse in der gesamten Organisation in allen erfassen AWS-Regionen , in denen Security Lake aktiviert ist (unabhängig davon, welchen regionalen Endpunkt er derzeit verwendet). Der delegierte Administrator kann Security Lake auch so konfigurieren, dass Protokoll- und Ereignisdaten für neue Organisationskonten automatisch erfasst werden.

Der delegierte Security-Lake-Administrator hat Zugriff auf Protokoll- und Ereignisdaten für zugehörige Mitgliedskonten. Dementsprechend können sie Security Lake so konfigurieren, dass Daten erfasst werden, die den zugehörigen Mitgliedskonten gehören. Sie können Abonnenten auch die Berechtigung erteilen, Daten zu verarbeiten, die den zugehörigen Mitgliedskonten gehören.

Um Security Lake für mehrere Konten in einer Organisation zu aktivieren, muss das Organisationsverwaltungskonto zunächst ein delegiertes Security-Lake-Administratorkonto für die Organisation festlegen. Der delegierte Administrator kann dann Security Lake für die Organisation aktivieren und konfigurieren.

Informationen zum Einrichten von Organizations finden Sie unter Erstellen und Verwalten einer Organisation im AWS Organizations -Benutzerhandbuch.

Wichtige Überlegungen für delegierte Security-Lake-Administratoren

Beachten Sie die folgenden Faktoren, die definieren, wie sich ein delegierter Administrator in Security Lake verhält:

Der delegierte Administrator ist in allen Regionen gleich.

Wenn Sie den delegierten Administrator erstellen, wird er für jede Region, in der Sie Security Lake aktivieren, zum delegierten Administrator.

Wir empfehlen, das Log-Archive-Konto als delegierten Security-Lake-Administrator festzulegen.

Das Log-Archive-Konto ist ein AWS-Konto , der für die Aufnahme und Archivierung aller sicherheitsrelevanten Protokolle bestimmt ist. Der Zugriff auf dieses Konto ist in der Regel auf einige Benutzer beschränkt, z. B. Prüfer und Sicherheitsteams für Compliance-Untersuchungen. Wir empfehlen, das Log-Archive-Konto als delegierten Security-Lake-Administrator festzulegen, damit Sie sicherheitsbezogene Protokolle und Ereignisse mit minimalem Kontextwechsel anzeigen können.

Darüber hinaus empfehlen wir, dass nur ein minimaler Satz von Benutzern direkten Zugriff auf das Log-Archive-Konto hat. Wenn ein Benutzer außerhalb dieser Auswahlgruppe Zugriff auf die Daten benötigt, die Security Lake sammelt, können Sie sie als Security-Lake-Abonnent hinzufügen. Informationen zum Hinzufügen eines Abonnenten finden Sie unter Abonnentenverwaltung in Amazon Security Lake.

Wenn Sie den AWS Control Tower Service nicht verwenden, haben Sie möglicherweise kein Log-Archive-Konto. Weitere Informationen zum Log-Archive-Konto finden Sie unter Security OU – Log Archive account in der AWS Security Reference Architecture .

Eine Organisation kann nur einen delegierten Administrator haben.

Sie können nur einen delegierten Security-Lake-Administrator für jede Organisation haben.

Das Verwaltungskonto der Organisation kann nicht der delegierte Administrator sein.

Basierend auf den bewährten Methoden für AWS Sicherheit und dem Prinzip der geringsten Berechtigung kann Ihr Organisationsverwaltungskonto nicht der delegierte Administrator sein.

Der delegierte Administrator muss Teil einer aktiven Organisation sein.

Wenn Sie eine Organisation löschen, kann das delegierte Administratorkonto Security Lake nicht mehr verwalten. Sie müssen einen delegierten Administrator aus einer anderen Organisation benennen oder Security Lake mit einem eigenständigen Konto verwenden, das nicht Teil einer Organisation ist.

Erforderliche IAM-Berechtigungen zum Benennen des delegierten Administrators

Wenn Sie den delegierten Security-Lake-Administrator festlegen, müssen Sie über Berechtigungen verfügen, um Security Lake zu aktivieren und bestimmte AWS Organizations API-Operationen zu verwenden, die in der folgenden Richtlinienanweisung aufgeführt sind.

Sie können die folgende Anweisung am Ende einer AWS Identity and Access Management (IAM)-Richtlinie hinzufügen, um diese Berechtigungen zu erteilen.

{
    "Sid": "Grant permissions to designate a delegated Security Lake administrator",
    "Effect": "Allow",
    "Action": [
        "securitylake:RegisterDataLakeDelegatedAdministrator",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListAccounts",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

Benennen des delegierten Security-Lake-Administrators und Hinzufügen von Mitgliedskonten

Wählen Sie Ihre Zugriffsmethode aus, um das delegierte Security-Lake-Administratorkonto für Ihre Organisation festzulegen. Nur das Verwaltungskonto der Organisation kann das delegierte Administratorkonto für seine Organisation festlegen. Das Verwaltungskonto der Organisation kann nicht das delegierte Administratorkonto für seine Organisation sein.

Anmerkung

  • Das Verwaltungskonto der Organisation sollte die Security-Lake-RegisterDataLakeDelegatedAdministratorOperation verwenden, um das delegierte Security-Lake-Administratorkonto zu bestimmen. Die Benennung des delegierten Security-Lake-Administrators über Organizations wird nicht unterstützt.

  • Wenn Sie den delegierten Administrator für die Organisation ändern möchten, müssen Sie zuerst den aktuellen delegierten Administrator entfernen. Anschließend können Sie einen neuen delegierten Administrator festlegen.

Console

  1. Öffnen Sie die Security-Lake-Konsole unter https://console.aws.amazon.com/securitylake/.

    Melden Sie sich mit den Anmeldeinformationen des Verwaltungskontos für Ihre Organisation an.

    • Wenn Security Lake noch nicht aktiviert ist, wählen Sie Erste Schritte aus und weisen Sie dann auf der Seite Security Lake aktivieren den delegierten Security-Lake-Administrator zu.

    • Wenn Security Lake bereits aktiviert ist, weisen Sie den delegierten Security-Lake-Administrator auf der Seite Einstellungen zu.

  3. Wählen Sie unter Delegieren der Administration an ein anderes Konto das Konto aus, das bereits als delegierter Administrator für andere - AWS Sicherheitsservices fungiert (empfohlen). Alternativ können Sie die 12-stellige AWS-Konto ID des Kontos eingeben, das Sie als delegierten Security-Lake-Administrator festlegen möchten.

  4. Wählen Sie Delegate (Delegieren). Wenn Security Lake noch nicht aktiviert ist, aktiviert die Benennung des delegierten Administrators Security Lake für dieses Konto in Ihrer aktuellen Region.

API

Um den delegierten Administrator programmgesteuert zu benennen, verwenden Sie die -RegisterDataLakeDelegatedAdministratorOperation der Security-Lake-API. Sie müssen die Operation über das Verwaltungskonto der Organisation aufrufen. Wenn Sie die verwenden AWS CLI, führen Sie den register-data-lake-delegated-administrator Befehl über das Verwaltungskonto der Organisation aus. Verwenden Sie in Ihrer Anfrage den accountId Parameter , um die 12-stellige Konto-ID des anzugeben AWS-Konto , das als delegiertes Administratorkonto für die Organisation festgelegt werden soll.

Mit dem folgenden AWS CLI Befehl wird beispielsweise der delegierte Administrator bezeichnet. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securitylake register-data-lake-delegated-administrator \
--account-id 123456789012

Der delegierte Administrator kann auch die Erfassung von AWS Protokoll- und Ereignisdaten für neue Organisationskonten automatisieren. Mit dieser Konfiguration wird Security Lake automatisch in neuen Konten aktiviert, wenn die Konten der Organisation in hinzugefügt werden AWS Organizations. Als delegierter Administrator können Sie diese Konfiguration aktivieren, indem Sie die -CreateDataLakeOrganizationConfigurationOperation der Security Lake-API verwenden oder, wenn Sie die AWS CLI verwenden, den create-data-lake-organization-configuration Befehl ausführen. In Ihrer Anfrage können Sie auch bestimmte Konfigurationseinstellungen für neue Konten angeben.

Der folgende AWS CLI Befehl aktiviert beispielsweise automatisch Security Lake und die Sammlung von Amazon Route 53 Resolver-Abfrageprotokollen, AWS Security Hub Erkenntnissen und Amazon Virtual Private Cloud (Amazon VPC) Flow Logs in neuen Organisationskonten. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securitylake create-data-lake-organization-configuration \
--auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"ROUTE53"},{"sourceName":"SH_FINDINGS"},{"sourceName":"VPC_FLOW"}]}]'

Nachdem das Verwaltungskonto der Organisation den delegierten Administrator benannt hat, kann der Administrator Security Lake für die Organisation aktivieren und konfigurieren. Dazu gehört die Aktivierung und Konfiguration von Security Lake zum Sammeln von AWS Protokoll- und Ereignisdaten für einzelne Konten in der Organisation. Weitere Informationen finden Sie unter Erfassung von Daten von AWS-Services.

Sie können die -GetDataLakeOrganizationConfigurationOperation verwenden, um Details zur aktuellen Konfiguration Ihrer Organisation für neue Mitgliedskonten abzurufen.

Entfernen des delegierten Security-Lake-Administrators

Nur das Verwaltungskonto der Organisation kann den delegierten Security-Lake-Administrator für seine Organisation entfernen. Wenn Sie den delegierten Administrator für die Organisation ändern möchten, entfernen Sie den aktuellen delegierten Administrator und weisen Sie dann den neuen delegierten Administrator zu.

Wichtig

Durch das Entfernen des delegierten Security-Lake-Administrators wird Ihr Data Lake gelöscht und Security Lake für die Konten in Ihrer Organisation deaktiviert.

Sie können den delegierten Administrator nicht mithilfe der Security-Lake-Konsole ändern oder entfernen. Diese Aufgaben können nur programmgesteuert ausgeführt werden.

Um den delegierten Administrator programmgesteuert zu entfernen, verwenden Sie die -DeregisterDataLakeDelegatedAdministratorOperation der Security-Lake-API. Sie müssen die Operation über das Verwaltungskonto der Organisation aufrufen. Wenn Sie die verwenden AWS CLI, führen Sie den deregister-data-lake-delegated-administrator Befehl über das Verwaltungskonto der Organisation aus.

Mit dem folgenden AWS CLI Befehl wird beispielsweise der delegierte Security-Lake-Administrator entfernt.

$ aws securitylake deregister-data-lake-delegated-administrator

Um die Bezeichnung des delegierten Administrators beizubehalten, aber die automatischen Konfigurationseinstellungen neuer Mitgliedskonten zu ändern, verwenden Sie die -DeleteDataLakeOrganizationConfigurationOperation der Security-Lake-API oder, wenn Sie die verwenden AWS CLI, den -delete-data-lake-organization-configurationBefehl. Nur der delegierte Administrator kann diese Einstellungen für die Organisation ändern.

Mit dem folgenden AWS CLI Befehl wird beispielsweise die automatische Erfassung von Security Hub-Ergebnissen von neuen Mitgliedskonten, die der Organisation beitreten, gestoppt. Neue Mitgliedskonten tragen keine Security Hub-Ergebnisse zum Data Lake bei, nachdem der delegierte Administrator diesen Vorgang aufgerufen hat. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securitylake delete-data-lake-organization-configuration \
--auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS"}]}]'

Vertrauenswürdiger Zugriff auf Security Lake

Nachdem Sie Security Lake für eine Organisation eingerichtet haben, kann das AWS Organizations Verwaltungskonto den vertrauenswürdigen Zugriff mit Security Lake aktivieren. Vertrauenswürdiger Zugriff ermöglicht es Security Lake, eine serviceverknüpfte IAM-Rolle zu erstellen und Aufgaben in Ihrer Organisation und ihren Konten in Ihrem Namen auszuführen. Weitere Informationen finden Sie unter Verwenden von AWS Organizations mit anderen AWS-Services im AWS Organizations -Benutzerhandbuch.

Als Benutzer des Organisationsverwaltungskontos können Sie den vertrauenswürdigen Zugriff für Security Lake in deaktivieren AWS Organizations. Anweisungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter So aktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff im AWS Organizations -Benutzerhandbuch.

Wir empfehlen, den vertrauenswürdigen Zugriff zu deaktivieren, wenn der des delegierten Administrators gesperrt, isoliert oder geschlossen AWS-Konto ist.