Danau Keamanan Amazon dan AWS Organizations - AWS Organizations
Peran terkait layananPrinsipal layananAktifkan akses terpercayaNonaktifkan akses terpercayaMengaktifkan akun administrator yang didelegasikan untuk Amazon Security LakeMenonaktifkan administrator yang didelegasikan untuk Amazon Security Lake

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Danau Keamanan Amazon dan AWS Organizations

Amazon Security Lake memusatkan data keamanan dari sumber cloud, lokal, dan kustom ke dalam data lake yang disimpan di akun Anda. Dengan mengintegrasikan dengan Organizations, Anda dapat membuat data lake yang mengumpulkan log dan peristiwa di seluruh akun Anda. Untuk informasi selengkapnya, lihat Mengelola beberapa akun dengan AWS Organizations di panduan pengguna Amazon Security Lake.

Gunakan informasi berikut untuk membantu Anda mengintegrasikan Amazon Security Lake dengan AWS Organizations.

Peran tertaut layanan yang dibuat saat Anda mengaktifkan integrasi

Peran terkait layanan berikut dibuat secara otomatis di akun manajemen organisasi Anda saat Anda memanggil API. RegisterDataLakeDelegatedAdministrator Peran ini memungkinkan Amazon Security Lake untuk melakukan operasi yang didukung dalam akun organisasi Anda di organisasi Anda.

Anda dapat menghapus atau mengubah peran ini hanya jika Anda menonaktifkan akses tepercaya antara Amazon Security Lake dan Organizations, atau jika Anda menghapus akun anggota dari organisasi.

  • AWSServiceRoleForSecurityLake

Rekomendasi: Gunakan RegisterDataLakeDelegatedAdministrator API Security Lake untuk memungkinkan Security Lake mengakses Organisasi Anda dan untuk mendaftarkan administrator yang didelegasikan Organisasi

Jika Anda menggunakan API Organisasi untuk mendaftarkan administrator yang didelegasikan, peran terkait layanan untuk Organizations mungkin tidak berhasil dibuat. Untuk memastikan fungsionalitas penuh, gunakan Security Lake API.

Prinsipal layanan yang digunakan oleh peran tertaut layanan

Peran tertaut layanan di bagian sebelumnya dapat diambil hanya oleh prinsipal layanan yang diotorisasi oleh hubungan kepercayaan yang ditetapkan untuk peran tersebut. Peran terkait layanan yang digunakan oleh Amazon Security Lake memberikan akses ke prinsip layanan berikut:

  • securitylake.amazonaws.com

Mengaktifkan akses tepercaya dengan Amazon Security Lake

Saat Anda mengaktifkan akses tepercaya dengan Security Lake, Security Lake dapat bereaksi secara otomatis terhadap perubahan keanggotaan organisasi. Administrator yang didelegasikan dapat mengaktifkan pengumpulan AWS log dari layanan yang didukung di akun organisasi mana pun. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk Amazon Security Lake di panduan pengguna Amazon Security Lake.

Untuk informasi tentang izin yang diperlukan untuk mengaktifkan akses terpercaya, lihat Izin yang diperlukan untuk mengaktifkan akses terpercaya.

Anda dapat mengaktifkan akses terpercaya hanya menggunakan alat Organizations.

Anda dapat mengaktifkan akses tepercaya dengan menggunakan AWS Organizations konsol, dengan menjalankan AWS CLI perintah, atau dengan memanggil operasi API di salah satu AWS SDK.

AWS Management Console
Untuk mengaktifkan akses layanan terpercaya menggunakan konsol Organizations

  1. Masuklah ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

  2. Pada panel navigasi, silakan pilih Layanan.

  3. Pilih Amazon Security Lake dalam daftar layanan.

  4. Pilih Aktifkan akses terpercaya.

  5. Di kotak dialog Aktifkan akses tepercaya untuk Amazon Security Lake, ketik aktifkan untuk mengonfirmasinya, lalu pilih Aktifkan akses tepercaya.

  6. Jika Anda hanya administrator AWS Organizations, beri tahu administrator Amazon Security Lake bahwa mereka sekarang dapat mengaktifkan layanan itu menggunakan konsolnya untuk bekerja dengannya AWS Organizations.

AWS CLI, AWS API
Untuk mengaktifkan akses layanan terpercaya menggunakan CLI/SDK Organizations

Anda dapat menggunakan AWS CLI perintah atau operasi API berikut untuk mengaktifkan akses layanan tepercaya:

  • AWS CLI: enable-aws-service-access

    Anda dapat menjalankan perintah berikut untuk mengaktifkan Amazon Security Lake sebagai layanan tepercaya dengan Organizations.

    $ aws organizations enable-aws-service-access \ 
    --service-principal securitylake.amazonaws.com

    Perintah ini tidak menghasilkan output saat berhasil.

  • AWS API: Aktifkan AWSServiceAccess

Menonaktifkan akses tepercaya dengan Amazon Security Lake

Hanya administrator di akun manajemen Organizations yang dapat menonaktifkan akses tepercaya dengan Amazon Security Lake.

Anda dapat menonaktifkan akses terpercaya hanya menggunakan alat Organizations.

Anda dapat menonaktifkan akses tepercaya dengan menggunakan AWS Organizations konsol, dengan menjalankan AWS CLI perintah Organizations, atau dengan memanggil operasi Organizations API di salah satu AWS SDK.

AWS Management Console
Untuk menonaktifkan akses layanan terpercaya menggunakan konsol Organizations

  1. Masuklah ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

  2. Pada panel navigasi, silakan pilih Layanan.

  3. Pilih Amazon Security Lake dalam daftar layanan.

  4. Pilih Menonaktifkan akses terpercaya.

  5. Di kotak dialog Nonaktifkan akses tepercaya untuk Amazon Security Lake, ketik nonaktifkan untuk mengonfirmasinya, lalu pilih Nonaktifkan akses tepercaya.

  6. Jika Anda hanya administrator AWS Organizations, beri tahu administrator Amazon Security Lake bahwa mereka sekarang dapat menonaktifkan layanan itu menggunakan konsol atau alatnya agar tidak berfungsi AWS Organizations.

AWS CLI, AWS API
Cara menonaktifkan akses layanan terpercaya menggunakan CLI/SDK Organizations

Anda dapat menggunakan AWS CLI perintah atau operasi API berikut untuk menonaktifkan akses layanan tepercaya:

  • AWS CLI: disable-aws-service-access

    Anda dapat menjalankan perintah berikut untuk menonaktifkan Amazon Security Lake sebagai layanan tepercaya dengan Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal securitylake.amazonaws.com

    Perintah ini tidak menghasilkan output saat berhasil.

  • AWS API: Nonaktifkan AWSServiceAccess

Mengaktifkan akun administrator yang didelegasikan untuk Amazon Security Lake

Administrator yang didelegasikan Amazon Security Lake menambahkan akun lain di organisasi sebagai akun anggota. Administrator yang didelegasikan dapat mengaktifkan Amazon Security Lake dan mengonfigurasi pengaturan Amazon Security Lake untuk akun anggota. Administrator yang didelegasikan dapat mengumpulkan log di seluruh organisasi di semua AWS Wilayah tempat Amazon Security Lake diaktifkan (terlepas dari titik akhir Regional yang saat ini Anda gunakan).

Anda juga dapat mengatur administrator yang didelegasikan untuk secara otomatis menambahkan akun baru di organisasi sebagai anggota. Administrator yang didelegasikan Amazon Security Lake memiliki akses ke log dan peristiwa di akun anggota terkait. Dengan demikian, Anda dapat mengatur Amazon Security Lake untuk mengumpulkan data yang dimiliki oleh akun anggota terkait. Anda juga dapat memberikan izin kepada pelanggan untuk mengkonsumsi data yang dimiliki oleh akun anggota terkait.

Untuk informasi selengkapnya, lihat Mengelola beberapa akun dengan AWS Organizations di panduan pengguna Amazon Security Lake.

Izin minimum

Hanya administrator di akun manajemen Organisasi yang dapat mengonfigurasi akun anggota sebagai administrator yang didelegasikan untuk Amazon Security Lake di organisasi

Anda dapat menentukan akun administrator yang didelegasikan menggunakan konsol Amazon Security Lake, tindakan Amazon Security Lake CreateDatalakeDelegatedAdmin API, atau perintah create-datalake-delegated-admin CLI. Atau, Anda dapat menggunakan operasi Organizations RegisterDelegatedAdministrator CLI atau SDK. Untuk petunjuk tentang mengaktifkan akun administrator yang didelegasikan untuk Amazon Security Lake, lihat Menunjuk administrator Security Lake yang didelegasikan dan menambahkan akun anggota di panduan pengguna Amazon Security Lake.

AWS CLI, AWS API

Jika Anda ingin mengonfigurasi akun administrator yang didelegasikan menggunakan AWS CLI atau salah AWS satu SDK, Anda dapat menggunakan perintah berikut:

  • AWS CLI: 

    $  aws organizations register-delegated-administrator \
    --account-id 123456789012 \ --service-principal securitylake.amazonaws.com

  • AWS SDK: Hubungi RegisterDelegatedAdministrator operasi Organizations dan nomor ID akun anggota dan identifikasi prinsipal layanan akun account.amazonaws.com sebagai parameter.

Menonaktifkan administrator yang didelegasikan untuk Amazon Security Lake

Hanya administrator di akun manajemen Organizations atau akun administrator yang didelegasikan Amazon Security Lake yang dapat menghapus akun administrator yang didelegasikan dari organisasi.

Anda dapat menghapus akun administrator yang didelegasikan dengan menggunakan tindakan Amazon Security Lake DeleteDatalakeDelegatedAdmin API, perintah delete-datalake-delegated-admin CLI, atau dengan menggunakan operasi Organizations DeregisterDelegatedAdministrator CLI atau SDK. Untuk menghapus administrator yang didelegasikan menggunakan Amazon Security Lake, lihat Menghapus administrator yang didelegasikan Amazon Security Lake di panduan pengguna Amazon Security Lake.