Amazon Security Lake と AWS Organizations - AWS Organizations
サービスリンクロールサービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にするAmazon Security Lake の委任管理者アカウントの有効化Amazon Security Lake の委任管理者を無効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Security Lake と AWS Organizations

Amazon Security Lake は、クラウド、オンプレミス、カスタムソースのセキュリティデータを、アカウントに保存されているデータレイクに一元化します。Organizations と統合することで、アカウント全体からログとイベントを収集するデータレイクを作成できます。詳細については、「 を使用した複数のアカウントの管理」を参照してください。 AWS Organizations 「Amazon Security Lake ユーザーガイド」の「」。

Amazon Security Lake を と統合するには、次の情報を使用します。 AWS Organizations.

統合を有効にする際に作成されるサービスにリンクされたロール

を呼び出すと、次のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されますRegisterDataLakeDelegatedAdministratorAPI。このロールにより、Amazon Security Lake は組織内のアカウント内でサポートされているオペレーションを実行できます。

このロールを削除または変更できるのは、Amazon Security Lake と Organizations 間の信頼されたアクセスを無効にした場合、または組織からメンバーアカウントを削除した場合のみです。

  • AWSServiceRoleForSecurityLake

推奨事項: Security Lake の RegisterDataLakeDelegatedAdministrator APIを使用して、Security Lake に Organization へのアクセスを許可し、Organizations の委任された管理者を登録する

Organizations の を使用して委任された管理者APIsを登録すると、Organizations のサービスにリンクされたロールが正常に作成されない場合があります。完全な機能を確保するには、Security Lake を使用しますAPIs。

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Amazon Security Lake で使用されるサービスにリンクされたロールは、以下のサービスプリンシパルへのアクセスを許可します。

  • securitylake.amazonaws.com

Amazon Security Lake での信頼されたアクセスの有効化

Security Lake との信頼されたアクセスを有効化すると、組織のメンバーシップに変更があった場合、Security Lake が自動的に対応するようになります。委任管理者は を有効にできます AWS は、任意の組織アカウントのサポートされている のサービスからのコレクションを記録します。詳細については、「Amazon Security Lake ユーザーガイド」の「Amazon Security Lake のサービスにリンクされたロール」を参照してください。

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Organizations ツールだけで、信頼されたアクセスを有効にできます。

信頼されたアクセスは、 のいずれかを使用して有効にできます。 AWS Organizations コンソール、 を実行する AWS CLI コマンド、または のいずれかで APIオペレーションを呼び出します。 AWS SDKs.

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. にサインインします。AWS Organizations コンソール 。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります ( は推奨されません)。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで Amazon Security Lake を選択します。

  4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  5. 「Amazon Security Lake の信頼されたアクセスを有効にする」ダイアログボックスで、「有効化して確認します」と入力し、「信頼されたアクセスを有効にする」を選択します。

  6. の管理者のみである場合 AWS Organizations、Amazon Security Lake の管理者に、コンソールを使用してそのサービスを有効にして を操作できるようにしたと伝えます。 AWS Organizations.

AWS CLI, AWS API
Organizations CLI/ を使用して信頼されたサービスアクセスを有効にするにはSDK

以下を使用できます。 AWS CLI 信頼されたサービスアクセスを有効にする コマンドまたはAPIオペレーション:

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行し、Amazon Security Lake を Organizations で信頼されたサービスとして有効にすることができます。

    $ aws organizations enable-aws-service-access \ 
    --service-principal securitylake.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: E nableAWSServiceアクセス

Amazon Security Lake での信頼されたアクセスの無効化

Amazon Security Lake との信頼されたアクセスを無効にすることができるのは、Organizations 管理アカウントの管理者のみです。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

信頼されたアクセスを無効にするには、 AWS Organizations Organizations を実行して コンソールを実行する AWS CLI コマンド、または のいずれかで Organizations APIオペレーションを呼び出します。 AWS SDKs.

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. にサインインします。AWS Organizations コンソール 。ユーザーとしてサインインするかIAM、 IAMロールを引き受けるか、組織の管理アカウントのルートユーザーとしてサインインする必要があります (推奨されません)。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで Amazon Security Lake を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. Amazon Security Lake の信頼されたアクセスを無効にするダイアログボックスで、無効にして確認します。次に、信頼されたアクセスを無効にするを選択します

  6. の管理者のみである場合 AWS Organizations、Amazon Security Lake の管理者に、コンソールまたはツールを使用してそのサービスを無効にすることができるようになりました。 AWS Organizations.

AWS CLI, AWS API
Organizations CLI/ を使用して信頼されたサービスアクセスを無効にするにはSDK

以下を使用できます。 AWS CLI 信頼されたサービスアクセスを無効にする コマンドまたはAPIオペレーション:

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、Organizations で Amazon Security Lake を信頼されたサービスとすることを無効にできます。

    $ aws organizations disable-aws-service-access \
    --service-principal securitylake.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: D isableAWSServiceアクセス

Amazon Security Lake の委任管理者アカウントの有効化

Amazon Security Lake の委任管理者は、組織内の他のアカウントをメンバーアカウントとして追加します。委任管理者は Amazon Security Lake を有効にし、メンバーアカウントの Amazon Security Lake 設定を設定できます。委任された管理者は、すべての の組織全体でログを収集できます。 AWS Amazon Security Lake が有効になっているリージョン (現在使用しているリージョンエンドポイントに関係なく)。

委任された管理者を設定して、組織の新しいアカウントをメンバーとして自動的に追加することもできます。Amazon Security Lake の委任管理者は、関連するメンバーアカウントのログとイベントにアクセスできます。したがって、関連するメンバーアカウントが所有するデータを収集するように Amazon Security Lake を設定できます。また、関連するメンバーアカウントが所有するデータを使用する権限をサブスクライバーに付与することもできます。

詳細については、「 を使用した複数のアカウントの管理」を参照してください。 AWS Organizations 「Amazon Security Lake ユーザーガイド」の「」。

最小アクセス許可

Organizations 管理アカウントの管理者のみが、組織内の Amazon Security Lake の委任管理者としてメンバーアカウントを設定できます。

Amazon Security Lake コンソール、Amazon Security Lake CreateDatalakeDelegatedAdminAPIオペレーション、または create-datalake-delegated-admin CLI コマンドを使用して、委任管理者アカウントを指定できます。または、Organizations RegisterDelegatedAdministratorCLIまたは SDKオペレーションを使用することもできます。Amazon Security Lake の委任された管理者アカウントを有効にする手順については、「Amazon Security Lake ユーザーガイド」の「委任された Security Lake 管理者の指定」および「メンバーアカウントの追加」を参照してください。

AWS CLI, AWS API

を使用して委任管理者アカウントを設定する場合 AWS CLI または のいずれか AWS SDKsでは、次のコマンドを使用できます。

  • AWS CLI: 

    $  aws organizations register-delegated-administrator \
    --account-id 123456789012 \ --service-principal securitylake.amazonaws.com

  • AWS SDK: Organizations RegisterDelegatedAdministratorオペレーションとメンバーアカウントの ID 番号を呼び出し、アカウントサービスプリンシパルをパラメータaccount.amazonaws.comとして識別します。

Amazon Security Lake の委任管理者を無効にする

Organizations 管理アカウントまたは Amazon Security Lake の委任された管理者アカウントの管理者のみが、組織から委任された管理者アカウントを削除できます。

委任された管理者アカウントを削除するには、Amazon Security Lake DeleteDatalakeDelegatedAdminAPIオペレーション、 delete-datalake-delegated-admin CLI コマンド、または Organizations DeregisterDelegatedAdministratorCLIまたは SDKオペレーションを使用します。Amazon Security Lake を使用して委任された管理者を削除するには、「Amazon Security Lake ユーザーガイド」の「Amazon Security Lake の委任された管理者の削除」を参照してください。