Rôles liés à un service Principaux de service Activer l'accès approuvé Désactiver l'accès approuvé Activation d'un compte d'administrateur délégué pour Amazon Security Lake Désactivation d'un administrateur délégué pour Amazon Security Lake

Amazon Security Lake et AWS Organizations

Amazon Security Lake centralise les données de sécurité provenant de sources cloud, sur site et personnalisées dans un lac de données qui est stocké dans votre compte. Grâce à l'intégration avec Organizations, vous pouvez créer un lac de données qui collecte les journaux et les événements de l'ensemble de vos comptes. Pour plus d'informations, consultez Gestion de plusieurs comptes avec AWS Organizations (français non garanti) dans le Guide de l'utilisateur Amazon Security Lake (français non garanti).

Utilisez les informations suivantes pour vous aider à intégrer Amazon Security Lake à AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié au service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous appelez le. RegisterDataLakeDelegatedAdministratorAPI Ce rôle permet à Amazon Security Lake d'effectuer des opérations prises en charge au sein des comptes de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre Amazon Security Lake et Organizations, ou si vous supprimez le compte membre de l'organisation.

AWSServiceRoleForSecurityLake

Recommandation : utilisez Security Lake RegisterDataLakeDelegatedAdministrator API pour autoriser Security Lake à accéder à votre organisation et pour enregistrer l'administrateur délégué des organisations

Si vous utilisez « Organisations » APIs pour enregistrer un administrateur délégué, les rôles liés aux services pour les organisations risquent de ne pas être créés correctement. Pour garantir une fonctionnalité complète, utilisez le Security LakeAPIs.

Principaux de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par Amazon Security Lake donnent accès aux principaux de service suivants :

securitylake.amazonaws.com

Permettre un accès fiable avec Amazon Security Lake

Lorsque vous activez l'accès approuvé avec Security Lake, il peut réagir automatiquement aux changements dans l'appartenance à l'organisation. L'administrateur délégué peut activer la collecte de AWS journaux à partir des services pris en charge dans n'importe quel compte d'organisation. Pour plus d'informations, consultez la section Rôle lié à un service pour Amazon Security Lake (français non garanti) dans le guide de l'utilisateur Amazon Security Lake (français non garanti).

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Vous ne pouvez activer l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une API opération dans l'un des AWS SDKs.

AWS Management Console

Pour activer l'accès approuvé aux services à l'aide de la console Organizations

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans le panneau de navigation, choisissez Services.
Choisissez Amazon Security Lake dans la liste des services.
Choisissez Enable trusted access (Activer l'accès approuvé).
Dans la boîte de dialogue Activer l'accès sécurisé pour Amazon Security Lake, tapez enable pour confirmer, puis sélectionnez Activer l'accès sécurisé.
Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Security Lake qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

AWS CLI, AWS API

Pour permettre un accès fiable aux services à l'aide des OrganizationsCLI/SDK

Utilisez les AWS CLI commandes ou API opérations suivantes pour activer l'accès sécurisé aux services :

AWS CLI: enable-aws-service-access

Exécutez la commande suivante pour activer Amazon Security Lake en tant que service fiable auprès d'Organizations.
```
$ aws organizations enable-aws-service-access \ 
    --service-principal securitylake.amazonaws.com
```
Cette commande ne produit aucune sortie lorsqu'elle réussit.
AWS API: nableAWSServiceAccès E

Désactiver l'accès sécurisé avec Amazon Security Lake

Seul un administrateur du compte de gestion des Organizations peut désactiver l'accès sécurisé à Amazon Security Lake.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une API opération Organizations dans l'un des AWS SDKs.

AWS Management Console

Pour désactiver l'accès approuvé à l'aide de la console Organizations

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans le panneau de navigation, choisissez Services.
Choisissez Amazon Security Lake dans la liste des services.
Choisissez Disable trusted access (Désactiver l'accès approuvé).
Dans la boîte de dialogue Désactiver l'accès sécurisé pour Amazon Security Lake, tapez désactiver pour confirmer, puis choisissez Désactiver l'accès sécurisé.
Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Security Lake qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

AWS CLI, AWS API

Pour désactiver l'accès aux services sécurisés à l'aide des OrganizationsCLI/SDK

Vous pouvez utiliser les AWS CLI commandes ou API opérations suivantes pour désactiver l'accès aux services sécurisés :

AWS CLI: disable-aws-service-access

Exécutez la commande suivante pour désactiver Amazon Security Lake en tant que service de confiance auprès d'Organizations.
```
$ aws organizations disable-aws-service-access \
    --service-principal securitylake.amazonaws.com
```
Cette commande ne produit aucune sortie lorsqu'elle réussit.
AWS API: isableAWSServiceAccès D

Activation d'un compte d'administrateur délégué pour Amazon Security Lake

L'administrateur délégué d'Amazon Security Lake ajoute d'autres comptes au sein de l'organisation en tant que comptes de membres. L'administrateur délégué peut activer Amazon Security Lake et configurer les paramètres Amazon Security Lake pour les comptes des membres. L'administrateur délégué peut collecter des journaux au sein d'une organisation dans toutes les AWS régions où Amazon Security Lake est activé (quel que soit le point de terminaison régional que vous utilisez actuellement).

Vous pouvez également configurer l'administrateur délégué de manière à ce qu'il ajoute automatiquement les nouveaux comptes dans l'organisation en tant que membres. L'administrateur délégué d'Amazon Security Lake a accès aux journaux et aux événements des comptes membres associés. Par conséquent, vous pouvez configurer Amazon Security Lake pour collecter les données détenues par les comptes membres associés. Vous pouvez également accorder aux abonnés l'autorisation de consommer des données appartenant à des comptes membres associés.

Pour plus d'informations, consultez Gestion de plusieurs comptes avec AWS Organizations (français non garanti) dans le Guide de l'utilisateur Amazon Security Lake (français non garanti).

Autorisations minimales

Seul un administrateur du compte de gestion de l'organisation peut configurer un compte membre en tant qu'administrateur délégué pour Amazon Security Lake au sein de l'organisation.

Vous pouvez spécifier un compte d'administrateur délégué à l'aide de la console Amazon Security Lake, de l'CreateDatalakeDelegatedAdminAPIopération Amazon Security Lake ou de la create-datalake-delegated-admin CLI commande. Vous pouvez également utiliser les Organizations RegisterDelegatedAdministrator CLI ou SDK l'opération. Pour obtenir des instructions sur l'activation d'un compte d'administrateur délégué pour Amazon Security Lake, consultez la section Désignation de l'administrateur délégué de Security Lake et ajout de comptes membres dans le guide de l'utilisateur d'Amazon Security Lake.

Désactivation d'un administrateur délégué pour Amazon Security Lake

Seul un administrateur du compte de gestion des Organizations ou du compte d'administrateur délégué Amazon Security Lake peut supprimer un compte d'administrateur délégué de l'organisation.

Vous pouvez supprimer le compte d'administrateur délégué en utilisant l'DeregisterDataLakeDelegatedAdministratorAPIopération Amazon Security Lake, la deregister-data-lake-delegated-administrator CLI commande ou en utilisant l'SDKopération Organizations DeregisterDelegatedAdministrator CLI ou. Pour supprimer un administrateur délégué à l'aide d'Amazon Security Lake, consultez la section Suppression de l'administrateur délégué Amazon Security Lake dans le guide de l'utilisateur d'Amazon Security Lake.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Réponse aux incidents de sécurité

AWS Service Catalog