Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administrar varias cuentas con AWS Organizations
Puede usar Amazon Security Lake para recopilar registros de seguridad y eventos de varias Cuentas de AWS. Para ayudar a automatizar y agilizar la administración de varias cuentas, le recomendamos encarecidamente que integre Security Lake con AWS Organizations.
La cuenta de administración es la cuenta que usa para crear la organización en Organizations. Si desea usar Security Lake con Organizations, la cuenta de administración debe designar una cuenta de administrador de Security Lake delegada para la organización.
El administrador de Security Lake delegado puede habilitar Security Lake y configurar los ajustes de Security Lake para las cuentas de los miembros. El administrador delegado puede recopilar registros y eventos en toda la organización en todos los Regiones de AWS lugares donde Security Lake esté activado (independientemente del punto de conexión regional que utilice actualmente). El administrador delegado también puede configurar Security Lake para que recopile automáticamente los datos de registro y eventos de las nuevas cuentas de la organización.
El administrador de Security Lake delegado tiene acceso a los datos de registros y eventos de las cuentas asociadas de los miembros. En consecuencia, puede configurar Security Lake para recopilar datos propiedad de las cuentas asociadas de los miembros. También puede conceder permiso a los suscriptores para que consuman los datos que pertenecen a las cuentas asociadas de los miembros.
Para habilitar Security Lake en varias cuentas de la organización, la cuenta de administración de la organización debe designar una cuenta de administrador de Security Lake delegada para la organización. A continuación, el administrador delegado puede habilitar y configurar Security Lake para la organización.
Para obtener información sobre la configuración de Organizations, consulte Creación y administración de una organización en la Guía del usuario de AWS Organizations .
Consideraciones importantes para administradores de Security Lake delegados
Tenga en cuenta los siguientes factores que definen cómo se comporta un administrador delegado en Security Lake:
- El administrador delegado es el mismo en todas las regiones.
-
Al crear el administrador delegado, se convierte en el administrador delegado de cada región en la que active Security Lake.
- Se recomienda configurar la cuenta de archivo de registro como la administradora delegada de Security Lake.
-
La cuenta Log Archive Cuenta de AWS se dedica a ingerir y archivar todos los registros relacionados con la seguridad. El acceso a esta cuenta suele estar limitado a unos pocos usuarios, como auditores y equipos de seguridad para investigar el cumplimiento. Recomendamos configurar la cuenta de archivo de registro como administradora delegada de Security Lake para que pueda ver los registros y eventos relacionados con la seguridad con un cambio de contexto mínimo.
Además, recomendamos que solo un grupo mínimo de usuarios tenga acceso directo a la cuenta de archivo de registro. Fuera de este grupo selecto, si un usuario necesita acceder a los datos que recopila Security Lake, puede añadirlo como suscriptor de Security Lake. Para obtener más información acerca de cómo añadir un suscriptor, consulte Administración de suscriptores en Amazon Security Lake.
Si no utiliza el AWS Control Tower servicio, es posible que no tenga una cuenta de Log Archive. Para obtener más información sobre la cuenta de archivo de registro, consulte Unidad organizativa de seguridad: cuenta de archivo de registro en la Arquitectura de referencia de seguridad de AWS .
- Una organización solo puede tener un administrador delegado.
-
Solo puede tener un administrador delegado de Security Lake para cada organización.
- La cuenta de administración de la organización no puede ser el administrador delegado.
-
Según las mejores prácticas de AWS seguridad y el principio de privilegios mínimos, la cuenta de administración de su organización no puede ser el administrador delegado.
- El administrador delegado debe formar parte de una organización activa.
-
Al eliminar una organización, la cuenta de administrador delegado ya no puede administrar Security Lake. Debe designar un administrador delegado de otra organización o usar Security Lake con una cuenta independiente que no forme parte de una organización.
Permisos de IAM necesarios para designar un administrador delegado
Al designar al administrador delegado de Security Lake, debe tener permisos para habilitar Security Lake y utilizar determinadas operaciones de AWS Organizations API que se enumeran en la siguiente declaración de política.
Puede añadir la siguiente declaración al final de una política AWS Identity and Access Management (IAM) para conceder estos permisos.
{ "Sid": "Grant permissions to designate a delegated Security Lake administrator", "Effect": "Allow", "Action": [ "securitylake:RegisterDataLakeDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
Designar al administrador delegado de Security Lake y añadir cuentas de miembros
Elija el método de acceso para designar la cuenta de administrador de Security Lake delegado para su organización. Solo la cuenta de administración de una organización puede designar la cuenta de administrador delegado para su organización. La cuenta de administración de una organización no puede ser la cuenta de administrador delegado para su organización.
nota
-
La cuenta de administración de la organización debe usar la operación
RegisterDataLakeDelegatedAdministratorde Security Lake para designar la cuenta de administrador de Security Lake delegada. No se admite la designación del administrador delegado de Security Lake mediante Organizations. -
Si desea cambiar el administrador delegado de la organización, primero debe eliminar el administrador delegado actual. Después puede designar un nuevo administrador delegado.
Cuando la cuenta de administración de la organización designe el administrador delegado, el administrador puede habilitar y configurar Security Lake en la organización. Esto incluye habilitar y configurar Security Lake para recopilar datos de AWS registros y eventos de cuentas individuales de la organización. Para obtener más información, consulte Recopilación de datos de Servicios de AWS.
Puede utilizar la GetDataLakeOrganizationConfigurationoperación para obtener detalles sobre la configuración actual de su organización para las cuentas de los nuevos miembros.
Eliminación al administrador delegado de Security Lake
Solo la cuenta de administración de una organización puede eliminar la cuenta de administrador de Security Lake delegado para su organización. Si desea cambiar el administrador delegado de la organización, elimine el administrador delegado actual y después designe el nuevo administrador delegado.
importante
Al eliminar el administrador delegado de Security Lake, se elimina el lago de datos y se desactiva Security Lake para las cuentas de la organización.
No puede cambiar ni quitar el administrador delegado mediante la consola de Security Lake. Estas tareas solo se pueden realizar mediante programación.
Para eliminar el administrador delegado mediante programación, utilice la DeregisterDataLakeDelegatedAdministratoroperación de la API de Security Lake. Debe invocar la operación desde la cuenta de administración de la organización. Si está utilizando el AWS CLI, ejecute el deregister-data-lake-delegated-administrator
Por ejemplo, el siguiente AWS CLI comando elimina al administrador delegado de Security Lake.
$aws securitylake deregister-data-lake-delegated-administrator
Para conservar la designación de administrador delegado pero cambiar los ajustes de configuración automática de las nuevas cuentas de los DeleteDataLakeOrganizationConfigurationmiembros, utilice la API de Security Lake o, si la utiliza AWS CLI, el delete-data-lake-organization-configuration
Por ejemplo, el siguiente AWS CLI comando detiene la recopilación automática de los hallazgos de Security Hub de las cuentas de los nuevos miembros que se unen a la organización. Las cuentas de los nuevos miembros no contribuirán a las conclusiones del Security Hub al lago de datos después de que el administrador delegado invoque esta operación. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.
$aws securitylake delete-data-lake-organization-configuration \ --auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS"}]}]'
Acceso de confianza de Security Lake
Después de configurar Security Lake para una organización, la cuenta de AWS Organizations administración puede habilitar el acceso confiable con Security Lake. El acceso de confianza permite a Security Lake crear un rol vinculado al servicio de IAM y realizar tareas en su organización y en las cuentas de esta en su nombre. Para obtener más información, consulte Utilización de AWS Organizations con otros Servicios de AWS en la Guía del usuario de AWS Organizations .
Como usuario de la cuenta de administración de la organización, puede deshabilitar el acceso de confianza con Security Lake en AWS Organizations. Para obtener instrucciones sobre cómo deshabilitar el acceso de confianza, consulte Cómo habilitar o deshabilitar el acceso de confianza en la Guía del usuario de AWS Organizations
Recomendamos deshabilitar el acceso de confianza si el administrador delegado Cuenta de AWS está suspendido, aislado o cerrado.
