Gestione di più account con AWS Organizations - Amazon Security Lake
Considerazioni importanti per gli amministratori delegati di Security LakeAutorizzazioni IAM necessarie per designare l'amministratore delegatoDesignazione dell'amministratore delegato di Security Lake e aggiunta degli account dei membriRimozione dell'amministratore delegato di Security LakeAccesso affidabile a Security Lake

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione di più account con AWS Organizations

Puoi utilizzare Amazon Security Lake per raccogliere log di sicurezza ed eventi da più Account AWS fonti. Per aiutare ad automatizzare e semplificare la gestione di più account, ti consigliamo vivamente di integrare Security Lake con. AWS Organizations

In Organizations, l'account utilizzato per creare l'organizzazione è chiamato account di gestione. Per integrare Security Lake con Organizations, l'account di gestione deve designare un account amministratore delegato di Security Lake per l'organizzazione.

L'amministratore delegato di Security Lake può abilitare Security Lake e configurare le impostazioni di Security Lake per gli account dei membri. L'amministratore delegato può raccogliere registri ed eventi in tutta l'organizzazione Regioni AWS ovunque sia abilitato Security Lake (indipendentemente dall'endpoint regionale attualmente utilizzato). L'amministratore delegato può anche configurare Security Lake per raccogliere automaticamente i dati di log ed eventi per i nuovi account dell'organizzazione.

L'amministratore delegato di Security Lake ha accesso ai dati di registro ed eventi per gli account dei membri associati. Di conseguenza, può configurare Security Lake per raccogliere i dati di proprietà degli account dei membri associati. Possono inoltre concedere agli abbonati il permesso di utilizzare i dati di proprietà degli account dei membri associati.

Per abilitare Security Lake per più account in un'organizzazione, l'account di gestione dell'organizzazione deve prima designare un account amministratore delegato di Security Lake per l'organizzazione. L'amministratore delegato può quindi abilitare e configurare Security Lake per l'organizzazione.

Importante

Utilizza l'RegisterDataLakeDelegatedAdministratorAPI di Security Lake per consentire a Security Lake di accedere alla tua organizzazione e registrare l'amministratore delegato dell'organizzazione.

Se utilizzi le API di Organizations per registrare un amministratore delegato, i ruoli collegati ai servizi per le Organizzazioni potrebbero non essere creati correttamente. Per garantire la piena funzionalità, utilizza le API Security Lake.

Per informazioni sulla configurazione di Organizations, vedere Creating and managing an organization nella AWS Organizations User Guide.

Considerazioni importanti per gli amministratori delegati di Security Lake

Prendi nota dei seguenti fattori che definiscono il comportamento di un amministratore delegato in Security Lake:

L'amministratore delegato è lo stesso in tutte le regioni.

Quando si crea l'amministratore delegato, questo diventa l'amministratore delegato per ogni regione in cui si abilita Security Lake.

Si consiglia di impostare l'account Log Archive come amministratore delegato di Security Lake.

L'account Log Archive è dedicato all'acquisizione e all'archiviazione di tutti i log relativi alla sicurezza. Account AWS L'accesso a questo account è in genere limitato a pochi utenti, come revisori e team di sicurezza per le indagini di conformità. Si consiglia di impostare l'account Log Archive come amministratore delegato di Security Lake in modo da poter visualizzare i log e gli eventi relativi alla sicurezza con un cambio di contesto minimo.

Inoltre, consigliamo che solo un numero minimo di utenti abbia accesso diretto all'account Log Archive. Al di fuori di questo gruppo selezionato, se un utente deve accedere ai dati raccolti da Security Lake, puoi aggiungerlo come abbonato a Security Lake. Per informazioni sull'aggiunta di un abbonato, consulta. Gestione degli abbonati in Amazon Security Lake

Se non utilizzi il AWS Control Tower servizio, potresti non avere un account Log Archive. Per ulteriori informazioni sull'account Log Archive, vedere Security OU — Log Archive account nella AWS Security Reference Architecture.

Un'organizzazione può avere un solo amministratore delegato.

È possibile avere un solo amministratore delegato di Security Lake per ogni organizzazione.

L'account di gestione dell'organizzazione non può essere l'amministratore delegato.

In base alle migliori pratiche di AWS sicurezza e al principio del privilegio minimo, l'account di gestione dell'organizzazione non può essere l'amministratore delegato.

L'amministratore delegato deve far parte di un'organizzazione attiva.

Quando si elimina un'organizzazione, l'account amministratore delegato non può più gestire Security Lake. È necessario designare un amministratore delegato di un'altra organizzazione o utilizzare Security Lake con un account autonomo che non fa parte di un'organizzazione.

Autorizzazioni IAM necessarie per designare l'amministratore delegato

Quando si designa l'amministratore delegato di Security Lake, è necessario disporre delle autorizzazioni per abilitare Security Lake e utilizzare determinate operazioni AWS Organizations API elencate nella seguente dichiarazione politica.

È possibile aggiungere la seguente dichiarazione alla fine di una policy AWS Identity and Access Management (IAM) per concedere queste autorizzazioni.

{
    "Sid": "Grant permissions to designate a delegated Security Lake administrator",
    "Effect": "Allow",
    "Action": [
        "securitylake:RegisterDataLakeDelegatedAdministrator",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListAccounts",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

Designazione dell'amministratore delegato di Security Lake e aggiunta degli account dei membri

Scegli il metodo di accesso per designare l'account amministratore delegato di Security Lake per la tua organizzazione. Solo l'account di gestione dell'organizzazione può designare l'account amministratore delegato per la propria organizzazione. L'account di gestione dell'organizzazione non può essere l'account amministratore delegato dell'organizzazione.

Nota

  • L'account di gestione dell'organizzazione deve utilizzare l'RegisterDataLakeDelegatedAdministratoroperazione Security Lake per designare l'account amministratore delegato di Security Lake. La designazione dell'amministratore delegato di Security Lake tramite Organizations non è supportata.

  • Se si desidera modificare l'amministratore delegato dell'organizzazione, è necessario prima rimuovere l'amministratore delegato corrente. È quindi possibile designare un nuovo amministratore delegato.

Console

  1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

    Accedi utilizzando le credenziali dell'account di gestione dell'organizzazione.

    • Se Security Lake non è ancora abilitato, seleziona Inizia, quindi designa l'amministratore delegato di Security Lake nella pagina Abilita Security Lake.

    • Se Security Lake è già abilitato, designa l'amministratore delegato di Security Lake nella pagina Impostazioni.

  3. In Delega l'amministrazione a un altro account, seleziona l'account che funge già da amministratore delegato per altri servizi di AWS sicurezza (scelta consigliata). In alternativa, inserisci l' Account AWS ID a 12 cifre dell'account che desideri designare come amministratore delegato di Security Lake.

  4. Scegli Delega. Se Security Lake non è già abilitato, la designazione dell'amministratore delegato abiliterà Security Lake per quell'account nella regione corrente.

API

Per designare l'amministratore delegato a livello di codice, utilizza il RegisterDataLakeDelegatedAdministratorfunzionamento dell'API Security Lake. È necessario richiamare l'operazione dall'account di gestione dell'organizzazione. Se utilizzi il AWS CLI, esegui il register-data-lake-delegated-administratorcomando dall'account di gestione dell'organizzazione. Nella richiesta, utilizza il accountId parametro per specificare l'ID account a 12 cifre dell'account Account AWS da designare come amministratore delegato per l'organizzazione.

Ad esempio, il AWS CLI comando seguente designa l'amministratore delegato. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securitylake register-data-lake-delegated-administrator \
--account-id 123456789012

L'amministratore delegato può anche scegliere di automatizzare la raccolta di dati di AWS registro ed eventi per i nuovi account dell'organizzazione. Con questa configurazione, Security Lake viene automaticamente abilitato nei nuovi account quando gli account vengono aggiunti all'organizzazione in. AWS Organizations In qualità di amministratore delegato, puoi abilitare questa configurazione utilizzando l'CreateDataLakeOrganizationConfigurationoperazione dell'API Security Lake o, se utilizzi la CLI AWS, create-data-lake-organization-configurationeseguendo il comando. Nella richiesta, puoi anche specificare determinate impostazioni di configurazione per nuovi account.

Ad esempio, il AWS CLI comando seguente abilita automaticamente Security Lake e la raccolta di log di query del resolver Amazon Route 53, AWS Security Hub risultati e log di flusso di Amazon Virtual Private Cloud (Amazon VPC) nei nuovi account dell'organizzazione. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securitylake create-data-lake-organization-configuration \
--auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"ROUTE53"},{"sourceName":"SH_FINDINGS"},{"sourceName":"VPC_FLOW"}]}]'

Dopo che l'account di gestione dell'organizzazione ha designato l'amministratore delegato, l'amministratore può abilitare e configurare Security Lake per l'organizzazione. Ciò include l'abilitazione e la configurazione di Security Lake per raccogliere dati di AWS log ed eventi per i singoli account dell'organizzazione. Per ulteriori informazioni, consulta Raccolta di dati da AWS services.

È possibile utilizzare l'GetDataLakeOrganizationConfigurationoperazione per ottenere dettagli sulla configurazione corrente dell'organizzazione per gli account dei nuovi membri.

Rimozione dell'amministratore delegato di Security Lake

Solo l'account di gestione dell'organizzazione può rimuovere l'amministratore delegato di Security Lake dalla propria organizzazione. Se si desidera modificare l'amministratore delegato dell'organizzazione, rimuovere l'amministratore delegato corrente e quindi designare il nuovo amministratore delegato.

Importante

La rimozione dell'amministratore delegato di Security Lake elimina il data lake e disabilita Security Lake per gli account dell'organizzazione.

Non è possibile modificare o rimuovere l'amministratore delegato utilizzando la console Security Lake. Queste attività possono essere eseguite solo a livello di codice.

Per rimuovere l'amministratore delegato a livello di codice, utilizza il DeregisterDataLakeDelegatedAdministratorfunzionamento dell'API Security Lake. È necessario richiamare l'operazione dall'account di gestione dell'organizzazione. Se si utilizza il AWS CLI, eseguire il deregister-data-lake-delegated-administratorcomando dall'account di gestione dell'organizzazione.

Ad esempio, il AWS CLI comando seguente rimuove l'amministratore delegato di Security Lake.

$ aws securitylake deregister-data-lake-delegated-administrator

Per mantenere la designazione di amministratore delegato ma modificare le impostazioni di configurazione automatica dei nuovi account membro, usa il DeleteDataLakeOrganizationConfigurationfunzionamento dell'API Security Lake o, se stai usando il AWS CLI, il comando. delete-data-lake-organization-configuration Solo l'amministratore delegato può modificare queste impostazioni per l'organizzazione.

Ad esempio, il AWS CLI comando seguente interrompe la raccolta automatica dei risultati del Security Hub dai nuovi account membri che entrano a far parte dell'organizzazione. I nuovi account membro non contribuiranno ai risultati del Security Hub al data lake dopo che l'amministratore delegato avrà richiamato questa operazione. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securitylake delete-data-lake-organization-configuration \
--auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS"}]}]'

Accesso affidabile a Security Lake

Dopo aver configurato Security Lake per un'organizzazione, l'account di AWS Organizations gestione può abilitare l'accesso affidabile con Security Lake. L'accesso affidabile consente a Security Lake di creare un ruolo collegato ai servizi IAM ed eseguire attività nell'organizzazione e nei relativi account per conto dell'utente. Per ulteriori informazioni, consulta Using AWS Organizations with other AWS services nella Guida per l'AWS Organizations utente.

Come utente dell'account di gestione dell'organizzazione, puoi disabilitare l'accesso affidabile per Security Lake in AWS Organizations. Per istruzioni sulla disabilitazione dell'accesso affidabile, consulta Come abilitare o disabilitare l'accesso affidabile nella Guida per l'AWS Organizations utente.

Ti consigliamo di disabilitare l'accesso affidabile se quello dell'amministratore delegato Account AWS è sospeso, isolato o chiuso.