Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Amazon Security Lake e AWS Organizations
Amazon Security Lake centralizza i dati di sicurezza provenienti da origini cloud, on-premise e personalizzate in un data lake archiviato nel tuo account. Grazie all'integrazione con Organizations, puoi creare un data lake che raccoglie log ed eventi nei tuoi account. Per ulteriori informazioni, consulta Gestione di più account con AWS Organizationsnella guida per l'utente di Amazon Security Lake.
Utilizza le seguenti informazioni per aiutarti a integrare Amazon Security Lake con AWS Organizations.
Ruoli collegati ai servizi creato quando è stata abilitata l'integrazione
Il seguente ruolo collegato al servizio viene creato automaticamente nell'account di gestione della tua organizzazione quando chiami il. RegisterDataLakeDelegatedAdministratorAPI Questo ruolo consente ad Amazon Security Lake di eseguire le operazioni supportate all'interno degli account dell'organizzazione.
Puoi eliminare o modificare questo ruolo solo se disabiliti l'accesso affidabile tra Amazon Security Lake e Organizations o se rimuovi l'account membro dall'organizzazione.
-
AWSServiceRoleForSecurityLake
Raccomandazione: usa Security RegisterDataLakeDelegatedAdministrator API Lake's per consentire a Security Lake l'accesso alla tua organizzazione e per registrare l'amministratore delegato dell'organizzazione
Se si utilizza Organizations APIs per registrare un amministratore delegato, è possibile che i ruoli collegati ai servizi per le Organizzazioni non vengano creati correttamente. Per garantire la piena funzionalità, utilizza Security Lake. APIs
Principali del servizio utilizzati dai ruoli collegati ai servizi
Il ruolo collegato ai servizi nella sezione precedente può essere assunto solo dai principali del servizio autorizzati dalle relazioni di attendibilità definite per il ruolo. I ruoli collegati ai servizi utilizzati da Amazon Security Lake garantiscono l'accesso ai seguenti principali di servizio:
-
securitylake.amazonaws.com
Abilitare l'accesso affidabile con Amazon Security Lake
Quando abiliti l'accesso attendibile con Security Lake, quest'ultimo può reagire automaticamente ai cambiamenti nell'appartenenza all'organizzazione. L'amministratore delegato può abilitare AWS raccolta di registri dai servizi supportati in qualsiasi account dell'organizzazione. Per ulteriori informazioni, consulta il ruolo collegato al servizio per Amazon Security Lake nella Guida per l'utente di Amazon Security Lake.
Per informazioni sulle autorizzazioni necessarie per abilitare l'accesso attendibile, consulta Autorizzazioni necessarie per abilitare l'accesso sicuro.
Puoi abilitare l'accesso attendibile utilizzando solo gli strumenti di Organizations.
È possibile abilitare l'accesso affidabile utilizzando uno dei AWS Organizations console, eseguendo un AWS CLI comando o chiamando un'APIoperazione in uno dei AWS SDKs.
Disabilitazione dell'accesso affidabile con Amazon Security Lake
Solo un amministratore dell'account di gestione Organizations può disabilitare l'accesso affidabile con Amazon Security Lake.
Puoi disabilitare l'accesso attendibile utilizzando solo gli strumenti di Organizations.
Puoi disabilitare l'accesso affidabile utilizzando uno dei AWS Organizations console, eseguendo un Organizations AWS CLI comando, o chiamando un'APIoperazione Organizations in uno dei AWS SDKs.
Abilitazione di un account amministratore delegato per Amazon Security Lake
L'amministratore delegato di Amazon Security Lake aggiunge altri account dell'organizzazione come account membro. L'amministratore delegato può abilitare Amazon Security Lake e configurare le impostazioni di Amazon Security Lake per gli account dei membri. L'amministratore delegato può raccogliere tutti i log di un'organizzazione AWS Regioni in cui Amazon Security Lake è abilitato (indipendentemente dall'endpoint regionale attualmente in uso).
Puoi anche configurare l'amministratore delegato per aggiungere automaticamente nuovi account nell'organizzazione come membri. L'amministratore delegato di Amazon Security Lake ha accesso ai log e agli eventi negli account dei membri associati. Di conseguenza, puoi configurare Amazon Security Lake per raccogliere dati di proprietà degli account dei membri associati. Puoi anche concedere agli abbonati l'autorizzazione per utilizzare i dati di proprietà degli account membri associati.
Per ulteriori informazioni, consulta Gestione di più account con AWS Organizationsnella guida per l'utente di Amazon Security Lake.
Autorizzazioni minime
Solo un amministratore dell'account di gestione Organizations può configurare un account membro come amministratore delegato per Amazon Security Lake nell'organizzazione.
Puoi specificare un account amministratore delegato utilizzando la console Amazon Security Lake, l'CreateDatalakeDelegatedAdminAPIoperazione Amazon Security Lake o il create-datalake-delegated-admin CLI comando. In alternativa, puoi utilizzare l'organizzazione RegisterDelegatedAdministrator CLI o SDK l'operazione. Per istruzioni sull'attivazione di un account amministratore delegato per Amazon Security Lake, consulta Designazione dell'amministratore delegato di Security Lake e aggiunta di account membro nella guida per l'utente di Amazon Security Lake.
Disabilitazione di un amministratore delegato per Amazon Security Lake
Solo un amministratore dell'account di gestione Organizations o dell'account amministratore delegato di Amazon Security Lake può rimuovere un account amministratore delegato dall'organizzazione.
Puoi rimuovere l'account amministratore delegato utilizzando l'DeleteDatalakeDelegatedAdminAPIoperazione Amazon Security Lake, il delete-datalake-delegated-admin CLI comando o utilizzando l'SDKoperazione Organizations DeregisterDelegatedAdministrator CLI o. Per rimuovere un amministratore delegato utilizzando Amazon Security Lake, consulta Rimozione dell'amministratore delegato di Amazon Security Lake nella guida per l'utente di Amazon Security Lake.
