Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola beberapa akun dengan AWS Organizations
Anda dapat menggunakan Amazon Security Lake untuk mengumpulkan log keamanan dan peristiwa dari beberapa Akun AWS. Untuk membantu mengotomatiskan dan merampingkan pengelolaan beberapa akun, kami sangat menyarankan Anda mengintegrasikan Security Lake dengan. AWS Organizations
Di Organizations, akun yang Anda gunakan untuk membuat organisasi disebut akun manajemen. Untuk mengintegrasikan Security Lake dengan Organizations, akun manajemen harus menunjuk akun administrator Security Lake yang didelegasikan untuk organisasi.
Administrator Security Lake yang didelegasikan dapat mengaktifkan Security Lake dan mengkonfigurasi pengaturan Security Lake untuk akun anggota. Administrator yang didelegasikan dapat mengumpulkan log dan peristiwa di seluruh organisasi di semua Wilayah AWS tempat Security Lake diaktifkan (terlepas dari titik akhir Regional mana yang saat ini mereka gunakan). Administrator yang didelegasikan juga dapat mengonfigurasi Security Lake untuk secara otomatis mengumpulkan data log dan peristiwa untuk akun organisasi baru.
Administrator Security Lake yang didelegasikan memiliki akses ke data log dan peristiwa untuk akun anggota terkait. Dengan demikian, mereka dapat mengonfigurasi Security Lake untuk mengumpulkan data yang dimiliki oleh akun anggota terkait. Mereka juga dapat memberikan izin kepada pelanggan untuk mengkonsumsi data yang dimiliki oleh akun anggota terkait.
Untuk mengaktifkan Security Lake untuk beberapa akun dalam suatu organisasi, akun manajemen organisasi harus terlebih dahulu menunjuk akun administrator Security Lake yang didelegasikan untuk organisasi tersebut. Administrator yang didelegasikan kemudian dapat mengaktifkan dan mengkonfigurasi Security Lake untuk organisasi.
penting
Gunakan RegisterDataLakeDelegatedAdministratorAPI Security Lake untuk memungkinkan Security Lake mengakses Organisasi Anda dan mendaftarkan administrator yang didelegasikan Organisasi.
Jika Anda menggunakan API Organisasi untuk mendaftarkan administrator yang didelegasikan, peran terkait layanan untuk Organizations mungkin tidak berhasil dibuat. Untuk memastikan fungsionalitas penuh, gunakan Security Lake API.
Untuk informasi tentang menyiapkan Organizations, lihat Membuat dan mengelola organisasi di Panduan AWS Organizations Pengguna.
Pertimbangan penting bagi administrator Security Lake yang didelegasikan
Perhatikan faktor-faktor berikut yang menentukan bagaimana administrator yang didelegasikan berperilaku di Security Lake:
- Administrator yang didelegasikan adalah sama di semua Wilayah.
-
Saat Anda membuat administrator yang didelegasikan, administrator akan menjadi administrator yang didelegasikan untuk setiap Wilayah tempat Anda mengaktifkan Security Lake.
- Sebaiknya atur akun Arsip Log sebagai administrator yang didelegasikan Security Lake.
-
Akun Log Archive adalah akun Akun AWS yang didedikasikan untuk menelan dan mengarsipkan semua log terkait keamanan. Akses ke akun ini biasanya terbatas pada beberapa pengguna, seperti auditor dan tim keamanan untuk investigasi kepatuhan. Sebaiknya atur akun Arsip Log sebagai administrator yang didelegasikan Security Lake sehingga Anda dapat melihat log dan peristiwa terkait keamanan dengan pengalihan konteks minimal.
Selain itu, kami menyarankan bahwa hanya satu set pengguna minimal yang memiliki akses langsung ke akun Arsip Log. Di luar grup pilihan ini, jika pengguna memerlukan akses ke data yang dikumpulkan Security Lake, Anda dapat menambahkannya sebagai pelanggan Security Lake. Untuk informasi tentang menambahkan pelanggan, lihatManajemen pelanggan di Amazon Security Lake.
Jika Anda tidak menggunakan AWS Control Tower layanan ini, Anda mungkin tidak memiliki akun Arsip Log. Untuk informasi selengkapnya tentang akun Arsip Log, lihat Security OU — Akun Arsip Log di Arsitektur Referensi AWS Keamanan.
- Sebuah organisasi hanya dapat memiliki satu administrator yang didelegasikan.
-
Anda hanya dapat memiliki satu administrator Security Lake yang didelegasikan untuk setiap organisasi.
- Akun manajemen organisasi tidak dapat menjadi administrator yang didelegasikan.
-
Berdasarkan praktik terbaik AWS Keamanan dan prinsip hak istimewa terkecil, akun manajemen organisasi Anda tidak dapat menjadi administrator yang didelegasikan.
- Administrator yang didelegasikan harus menjadi bagian dari organisasi yang aktif.
-
Saat Anda menghapus organisasi, akun administrator yang didelegasikan tidak dapat lagi mengelola Security Lake. Anda harus menunjuk administrator yang didelegasikan dari organisasi lain atau menggunakan Security Lake dengan akun mandiri yang bukan bagian dari organisasi.
Izin IAM diperlukan untuk menunjuk administrator yang didelegasikan
Saat menunjuk administrator Security Lake yang didelegasikan, Anda harus memiliki izin untuk mengaktifkan Security Lake dan menggunakan operasi AWS Organizations API tertentu yang tercantum dalam pernyataan kebijakan berikut.
Anda dapat menambahkan pernyataan berikut di akhir kebijakan AWS Identity and Access Management (IAM) untuk memberikan izin ini.
{ "Sid": "Grant permissions to designate a delegated Security Lake administrator", "Effect": "Allow", "Action": [ "securitylake:RegisterDataLakeDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
Menunjuk administrator Security Lake yang didelegasikan dan menambahkan akun anggota
Pilih metode akses Anda untuk menunjuk akun administrator Security Lake yang didelegasikan untuk organisasi Anda. Hanya akun manajemen organisasi yang dapat menunjuk akun administrator yang didelegasikan untuk organisasi mereka. Akun manajemen organisasi tidak dapat menjadi akun administrator yang didelegasikan untuk organisasi mereka.
catatan
-
Akun manajemen organisasi harus menggunakan
RegisterDataLakeDelegatedAdministrator
operasi Security Lake untuk menunjuk akun administrator Security Lake yang didelegasikan. Menunjuk administrator Security Lake yang didelegasikan melalui Organizations tidak didukung. -
Jika Anda ingin mengubah administrator yang didelegasikan untuk organisasi, Anda harus terlebih dahulu menghapus administrator yang didelegasikan saat ini. Anda kemudian dapat menunjuk administrator yang didelegasikan baru.
Setelah akun manajemen organisasi menunjuk administrator yang didelegasikan, administrator dapat mengaktifkan dan mengkonfigurasi Security Lake untuk organisasi. Ini termasuk mengaktifkan dan mengonfigurasi Security Lake untuk mengumpulkan data AWS log dan peristiwa untuk akun individu di organisasi. Untuk informasi selengkapnya, lihat Mengumpulkan data dari AWS services.
Anda dapat menggunakan GetDataLakeOrganizationConfigurationoperasi untuk mendapatkan detail tentang konfigurasi organisasi Anda saat ini untuk akun anggota baru.
Menghapus administrator Security Lake yang didelegasikan
Hanya akun manajemen organisasi yang dapat menghapus administrator Security Lake yang didelegasikan untuk organisasi mereka. Jika Anda ingin mengubah administrator yang didelegasikan untuk organisasi, hapus administrator yang didelegasikan saat ini, lalu tentukan administrator yang didelegasikan baru.
penting
Menghapus administrator Security Lake yang didelegasikan akan menghapus data lake Anda dan menonaktifkan Security Lake untuk akun di organisasi Anda.
Anda tidak dapat mengubah atau menghapus administrator yang didelegasikan menggunakan konsol Security Lake. Tugas-tugas ini hanya dapat dilakukan secara terprogram.
Untuk menghapus administrator yang didelegasikan secara terprogram, gunakan DeregisterDataLakeDelegatedAdministratorpengoperasian Security Lake API. Anda harus memanggil operasi dari akun manajemen organisasi. Jika Anda menggunakan AWS CLI, jalankan deregister-data-lake-delegated-administrator
Misalnya, AWS CLI perintah berikut menghapus administrator Security Lake yang didelegasikan.
$
aws securitylake deregister-data-lake-delegated-administrator
Untuk mempertahankan penunjukan administrator yang didelegasikan tetapi mengubah pengaturan konfigurasi otomatis akun anggota baru, gunakan DeleteDataLakeOrganizationConfigurationpengoperasian Security Lake API, atau, jika Anda menggunakan AWS CLI, perintah. delete-data-lake-organization-configuration
Misalnya, AWS CLI perintah berikut menghentikan pengumpulan otomatis temuan Security Hub dari akun anggota baru yang bergabung dengan organisasi. Akun anggota baru tidak akan menyumbangkan temuan Security Hub ke data lake setelah administrator yang didelegasikan memanggil operasi ini. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.
$
aws securitylake delete-data-lake-organization-configuration \ --auto-enable-new-account '[{"region":"
us-east-1
","sources":[{"sourceName":"SH_FINDINGS
"}]}]'
Security Lake akses tepercaya
Setelah Anda mengatur Security Lake untuk suatu organisasi, akun AWS Organizations manajemen dapat mengaktifkan akses tepercaya dengan Security Lake. Akses tepercaya memungkinkan Security Lake untuk membuat peran terkait layanan IAM dan melakukan tugas di organisasi Anda dan akunnya atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan AWS Organizations dengan yang lain AWS services di Panduan AWS Organizations Pengguna.
Sebagai pengguna akun manajemen organisasi, Anda dapat menonaktifkan akses tepercaya untuk Security Lake di AWS Organizations. Untuk petunjuk tentang menonaktifkan akses tepercaya, lihat Cara mengaktifkan atau menonaktifkan akses tepercaya di AWS Organizations Panduan Pengguna.
Sebaiknya nonaktifkan akses tepercaya jika administrator yang didelegasikan ditangguhkan, Akun AWS diisolasi, atau ditutup.