Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwalten mehrerer Konten mit AWS Organizations
Sie können Amazon Security Lake verwenden, um Sicherheitsprotokolle und Ereignisse aus mehreren zu sammeln AWS-Konten. Um die Verwaltung mehrerer Konten zu automatisieren und zu optimieren, empfehlen wir dringend, Security Lake in zu integrierenAWS Organizations.
In Organizations wird das Konto, mit dem Sie die Organisation erstellen, als Verwaltungskonto bezeichnet. Um Security Lake in Organizations zu integrieren, muss das Verwaltungskonto ein delegiertes Security-Lake-Administratorkonto für die Organisation festlegen.
Der delegierte Security-Lake-Administrator kann Security Lake aktivieren und Security-Lake-Einstellungen für Mitgliedskonten konfigurieren. Der delegierte Administrator kann Protokolle und Ereignisse in der gesamten Organisation in allen erfassen AWS-Regionen , in denen Security Lake aktiviert ist (unabhängig davon, welchen regionalen Endpunkt er derzeit verwendet). Der delegierte Administrator kann Security Lake auch so konfigurieren, dass Protokoll- und Ereignisdaten für neue Organisationskonten automatisch erfasst werden.
Der delegierte Security-Lake-Administrator hat Zugriff auf Protokoll- und Ereignisdaten für zugehörige Mitgliedskonten. Dementsprechend können sie Security Lake so konfigurieren, dass Daten erfasst werden, die den zugehörigen Mitgliedskonten gehören. Sie können Abonnenten auch die Berechtigung erteilen, Daten zu verarbeiten, die den zugehörigen Mitgliedskonten gehören.
Um Security Lake für mehrere Konten in einer Organisation zu aktivieren, muss das Organisationsverwaltungskonto zunächst ein delegiertes Security-Lake-Administratorkonto für die Organisation festlegen. Der delegierte Administrator kann dann Security Lake für die Organisation aktivieren und konfigurieren.
Informationen zum Einrichten von Organizations finden Sie unter Erstellen und Verwalten einer Organisation im AWS Organizations -Benutzerhandbuch.
Wichtige Überlegungen für delegierte Security-Lake-Administratoren
Beachten Sie die folgenden Faktoren, die definieren, wie sich ein delegierter Administrator in Security Lake verhält:
- Der delegierte Administrator ist in allen Regionen gleich.
-
Wenn Sie den delegierten Administrator erstellen, wird er für jede Region, in der Sie Security Lake aktivieren, zum delegierten Administrator.
- Wir empfehlen, das Log-Archive-Konto als delegierten Security-Lake-Administrator festzulegen.
-
Das Log-Archive-Konto ist ein AWS-Konto , der für die Aufnahme und Archivierung aller sicherheitsrelevanten Protokolle bestimmt ist. Der Zugriff auf dieses Konto ist in der Regel auf einige Benutzer beschränkt, z. B. Prüfer und Sicherheitsteams für Compliance-Untersuchungen. Wir empfehlen, das Log-Archive-Konto als delegierten Security-Lake-Administrator festzulegen, damit Sie sicherheitsbezogene Protokolle und Ereignisse mit minimalem Kontextwechsel anzeigen können.
Darüber hinaus empfehlen wir, dass nur ein minimaler Satz von Benutzern direkten Zugriff auf das Log-Archive-Konto hat. Wenn ein Benutzer außerhalb dieser Auswahlgruppe Zugriff auf die Daten benötigt, die Security Lake sammelt, können Sie sie als Security-Lake-Abonnent hinzufügen. Informationen zum Hinzufügen eines Abonnenten finden Sie unter Abonnentenverwaltung in Amazon Security Lake.
Wenn Sie den AWS Control Tower Service nicht verwenden, haben Sie möglicherweise kein Log-Archive-Konto. Weitere Informationen zum Log-Archive-Konto finden Sie unter Security OU – Log Archive account in der AWS Security Reference Architecture .
- Eine Organisation kann nur einen delegierten Administrator haben.
-
Sie können nur einen delegierten Security-Lake-Administrator für jede Organisation haben.
- Das Verwaltungskonto der Organisation kann nicht der delegierte Administrator sein.
-
Basierend auf den bewährten Methoden für AWS Sicherheit und dem Prinzip der geringsten Berechtigung kann Ihr Organisationsverwaltungskonto nicht der delegierte Administrator sein.
- Der delegierte Administrator muss Teil einer aktiven Organisation sein.
-
Wenn Sie eine Organisation löschen, kann das delegierte Administratorkonto Security Lake nicht mehr verwalten. Sie müssen einen delegierten Administrator aus einer anderen Organisation benennen oder Security Lake mit einem eigenständigen Konto verwenden, das nicht Teil einer Organisation ist.
Erforderliche IAM-Berechtigungen zum Benennen des delegierten Administrators
Wenn Sie den delegierten Security-Lake-Administrator festlegen, müssen Sie über Berechtigungen verfügen, um Security Lake zu aktivieren und bestimmte AWS Organizations API-Operationen zu verwenden, die in der folgenden Richtlinienanweisung aufgeführt sind.
Sie können die folgende Anweisung am Ende einer AWS Identity and Access Management (IAM)-Richtlinie hinzufügen, um diese Berechtigungen zu erteilen.
{ "Sid": "Grant permissions to designate a delegated Security Lake administrator", "Effect": "Allow", "Action": [ "securitylake:RegisterDataLakeDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
Benennen des delegierten Security-Lake-Administrators und Hinzufügen von Mitgliedskonten
Wählen Sie Ihre Zugriffsmethode aus, um das delegierte Security-Lake-Administratorkonto für Ihre Organisation festzulegen. Nur das Verwaltungskonto der Organisation kann das delegierte Administratorkonto für seine Organisation festlegen. Das Verwaltungskonto der Organisation kann nicht das delegierte Administratorkonto für seine Organisation sein.
Anmerkung
-
Das Verwaltungskonto der Organisation sollte die Security-Lake-
RegisterDataLakeDelegatedAdministrator
Operation verwenden, um das delegierte Security-Lake-Administratorkonto zu bestimmen. Die Benennung des delegierten Security-Lake-Administrators über Organizations wird nicht unterstützt. -
Wenn Sie den delegierten Administrator für die Organisation ändern möchten, müssen Sie zuerst den aktuellen delegierten Administrator entfernen. Anschließend können Sie einen neuen delegierten Administrator festlegen.
Nachdem das Verwaltungskonto der Organisation den delegierten Administrator benannt hat, kann der Administrator Security Lake für die Organisation aktivieren und konfigurieren. Dazu gehört die Aktivierung und Konfiguration von Security Lake zum Sammeln von AWS Protokoll- und Ereignisdaten für einzelne Konten in der Organisation. Weitere Informationen finden Sie unter Erfassung von Daten von AWS-Services.
Sie können die -GetDataLakeOrganizationConfigurationOperation verwenden, um Details zur aktuellen Konfiguration Ihrer Organisation für neue Mitgliedskonten abzurufen.
Entfernen des delegierten Security-Lake-Administrators
Nur das Verwaltungskonto der Organisation kann den delegierten Security-Lake-Administrator für seine Organisation entfernen. Wenn Sie den delegierten Administrator für die Organisation ändern möchten, entfernen Sie den aktuellen delegierten Administrator und weisen Sie dann den neuen delegierten Administrator zu.
Wichtig
Durch das Entfernen des delegierten Security-Lake-Administrators wird Ihr Data Lake gelöscht und Security Lake für die Konten in Ihrer Organisation deaktiviert.
Sie können den delegierten Administrator nicht mithilfe der Security-Lake-Konsole ändern oder entfernen. Diese Aufgaben können nur programmgesteuert ausgeführt werden.
Um den delegierten Administrator programmgesteuert zu entfernen, verwenden Sie die -DeregisterDataLakeDelegatedAdministratorOperation der Security-Lake-API. Sie müssen die Operation über das Verwaltungskonto der Organisation aufrufen. Wenn Sie die verwenden AWS CLI, führen Sie den deregister-data-lake-delegated-administrator
Mit dem folgenden AWS CLI Befehl wird beispielsweise der delegierte Security-Lake-Administrator entfernt.
$
aws securitylake deregister-data-lake-delegated-administrator
Um die Bezeichnung des delegierten Administrators beizubehalten, aber die automatischen Konfigurationseinstellungen neuer Mitgliedskonten zu ändern, verwenden Sie die -DeleteDataLakeOrganizationConfigurationOperation der Security-Lake-API oder, wenn Sie die verwenden AWS CLI, den -delete-data-lake-organization-configuration
Mit dem folgenden AWS CLI Befehl wird beispielsweise die automatische Erfassung von Security Hub-Ergebnissen von neuen Mitgliedskonten, die der Organisation beitreten, gestoppt. Neue Mitgliedskonten tragen keine Security Hub-Ergebnisse zum Data Lake bei, nachdem der delegierte Administrator diesen Vorgang aufgerufen hat. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.
$
aws securitylake delete-data-lake-organization-configuration \ --auto-enable-new-account '[{"region":"
us-east-1
","sources":[{"sourceName":"SH_FINDINGS
"}]}]'
Vertrauenswürdiger Zugriff auf Security Lake
Nachdem Sie Security Lake für eine Organisation eingerichtet haben, kann das AWS Organizations Verwaltungskonto den vertrauenswürdigen Zugriff mit Security Lake aktivieren. Vertrauenswürdiger Zugriff ermöglicht es Security Lake, eine serviceverknüpfte IAM-Rolle zu erstellen und Aufgaben in Ihrer Organisation und ihren Konten in Ihrem Namen auszuführen. Weitere Informationen finden Sie unter Verwenden von AWS Organizations mit anderen AWS-Services im AWS Organizations -Benutzerhandbuch.
Als Benutzer des Organisationsverwaltungskontos können Sie den vertrauenswürdigen Zugriff für Security Lake in deaktivieren AWS Organizations. Anweisungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter So aktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff im AWS Organizations -Benutzerhandbuch.
Wir empfehlen, den vertrauenswürdigen Zugriff zu deaktivieren, wenn der des delegierten Administrators gesperrt, isoliert oder geschlossen AWS-Konto ist.