Rôles liés à un service Principaux de service Activer l'accès approuvé Désactiver l'accès approuvé Activation d'un compte d'administrateur délégué pour Amazon Security Lake Désactivation d'un administrateur délégué pour Amazon Security Lake

Amazon Security Lake et AWS Organizations

Amazon Security Lake centralise les données de sécurité provenant de sources cloud, sur site et personnalisées dans un lac de données qui est stocké dans votre compte. Grâce à l'intégration avec Organizations, vous pouvez créer un lac de données qui collecte les journaux et les événements de l'ensemble de vos comptes. Pour plus d'informations, consultez Gestion de plusieurs comptes avec AWS Organizations (français non garanti) dans le Guide de l'utilisateur Amazon Security Lake (français non garanti).

Utilisez les informations suivantes pour vous aider à intégrer Amazon Security Lake à AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié au service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous appelez l'RegisterDataLakeDelegatedAdministratorAPI. Ce rôle permet à Amazon Security Lake d'effectuer des opérations prises en charge au sein des comptes de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre Amazon Security Lake et Organizations, ou si vous supprimez le compte membre de l'organisation.

AWSServiceRoleForSecurityLake

Recommandation : utilisez l' RegisterDataLakeDelegatedAdministratorAPI de Security Lake pour autoriser Security Lake à accéder à votre organisation et pour enregistrer l'administrateur délégué de l'organisation

Si vous utilisez les API des organisations pour enregistrer un administrateur délégué, les rôles liés aux services pour les organisations risquent de ne pas être créés correctement. Pour garantir une fonctionnalité complète, utilisez les API Security Lake.

Principaux de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par Amazon Security Lake donnent accès aux principaux de service suivants :

securitylake.amazonaws.com

Permettre un accès fiable avec Amazon Security Lake

Lorsque vous activez l'accès approuvé avec Security Lake, il peut réagir automatiquement aux changements dans l'appartenance à l'organisation. L'administrateur délégué peut activer la collecte de AWS journaux à partir des services pris en charge dans n'importe quel compte d'organisation. Pour plus d'informations, consultez la section Rôle lié à un service pour Amazon Security Lake (français non garanti) dans le guide de l'utilisateur Amazon Security Lake (français non garanti).

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Vous pouvez activer l'accès approuvé en utilisant uniquement les outils d'Organizations.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDK.

AWS Management Console

Pour activer l'accès approuvé aux services à l'aide de la console Organizations

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.
Dans le panneau de navigation, choisissez Services.
Choisissez Amazon Security Lake dans la liste des services.
Choisissez Enable trusted access (Activer l'accès approuvé).
Dans la boîte de dialogue Activer l'accès sécurisé pour Amazon Security Lake, tapez enable pour le confirmer, puis choisissez Activer l'accès sécurisé.
Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Security Lake qu'il peut désormais activer ce service à l'aide de sa console AWS Organizations.

AWS CLI, AWS API

Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour activer un accès sécurisé aux services :

AWS CLI: enable-aws-service-access

Vous pouvez exécuter la commande suivante pour activer Amazon Security Lake en tant que service approuvé avec Organizations.
```
$ aws organizations enable-aws-service-access \ 
    --service-principal securitylake.amazonaws.com
```
Cette commande ne produit aucune sortie lorsqu'elle réussit.
AWS API : Activer AWSServiceAccess

Désactiver l'accès sécurisé avec Amazon Security Lake

Seul un administrateur du compte de gestion des Organizations peut désactiver l'accès sécurisé à Amazon Security Lake.

Vous pouvez désactiver l'accès approuvé en utilisant uniquement les outils d'Organizations.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDK.

AWS Management Console

Pour désactiver l'accès approuvé à l'aide de la console Organizations

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.
Dans le panneau de navigation, choisissez Services.
Choisissez Amazon Security Lake dans la liste des services.
Choisissez Disable trusted access (Désactiver l'accès approuvé).
Dans la boîte de dialogue Désactiver l'accès sécurisé pour Amazon Security Lake, tapez désactiver pour le confirmer, puis choisissez Désactiver l'accès sécurisé.
Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Security Lake qu'il peut désormais désactiver ce service à l'aide de sa console ou des outils qu'il n'utilise pas AWS Organizations.

AWS CLI, AWS API

Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :

AWS CLI: disable-aws-service-access

Vous pouvez exécuter la commande suivante pour désactiver Amazon Security Lake en tant que service approuvé avec Organizations.
```
$ aws organizations disable-aws-service-access \
    --service-principal securitylake.amazonaws.com
```
Cette commande ne produit aucune sortie lorsqu'elle réussit.
AWS API : Désactiver AWSServiceAccess

Activation d'un compte d'administrateur délégué pour Amazon Security Lake

L'administrateur délégué d'Amazon Security Lake ajoute d'autres comptes au sein de l'organisation en tant que comptes de membres. L'administrateur délégué peut activer Amazon Security Lake et configurer les paramètres Amazon Security Lake pour les comptes des membres. L'administrateur délégué peut collecter des journaux au sein d'une organisation dans toutes les AWS régions où Amazon Security Lake est activé (quel que soit le point de terminaison régional que vous utilisez actuellement).

Vous pouvez également configurer l'administrateur délégué de manière à ce qu'il ajoute automatiquement les nouveaux comptes dans l'organisation en tant que membres. L'administrateur délégué d'Amazon Security Lake a accès aux journaux et aux événements des comptes membres associés. Par conséquent, vous pouvez configurer Amazon Security Lake pour collecter les données détenues par les comptes membres associés. Vous pouvez également accorder aux abonnés l'autorisation de consommer des données appartenant à des comptes membres associés.

Pour plus d'informations, consultez Gestion de plusieurs comptes avec AWS Organizations (français non garanti) dans le Guide de l'utilisateur Amazon Security Lake (français non garanti).

Autorisations minimales

Seul un administrateur du compte de gestion de l'organisation peut configurer un compte membre en tant qu'administrateur délégué pour Amazon Security Lake au sein de l'organisation.

Vous pouvez spécifier un compte d'administrateur délégué à l'aide de la console Amazon Security Lake, de l'action CreateDatalakeDelegatedAdmin API Amazon Security Lake ou de la commande create-datalake-delegated-admin CLI. Vous pouvez également utiliser l'opération CLI ou SDK d'Organisations RegisterDelegatedAdministrator. Pour obtenir des instructions sur l'activation d'un compte d'administrateur délégué pour Amazon Security Lake, consultez la section Désignation de l'administrateur délégué de Security Lake et ajout de comptes membres dans le guide de l'utilisateur d'Amazon Security Lake.

Désactivation d'un administrateur délégué pour Amazon Security Lake

Seul un administrateur du compte de gestion des Organizations ou du compte d'administrateur délégué Amazon Security Lake peut supprimer un compte d'administrateur délégué de l'organisation.

Vous pouvez supprimer le compte d'administrateur délégué en utilisant l'action d'DeleteDatalakeDelegatedAdminAPI Amazon Security Lake, la commande delete-datalake-delegated-admin CLI ou en utilisant l'opération Organizations DeregisterDelegatedAdministrator CLI ou SDK. Pour supprimer un administrateur délégué à l'aide d'Amazon Security Lake, consultez la section Suppression de l'administrateur délégué Amazon Security Lake dans le guide de l'utilisateur d'Amazon Security Lake.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon S3 Storage Lens

AWS Service Catalog