による複数のアカウントの管理 AWS Organizations - Amazon Security Lake
委任された Security Lake 管理者に関する重要な考慮事項委任された管理者を指定するには IAM 許可が必要です委任された Security Lake 管理者を指定し、メンバーアカウントを追加します。委任された Security Lake 管理者を削除する。Security Lake の信頼できるアクセス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

による複数のアカウントの管理 AWS Organizations

Amazon Security Lake を使用して、複数の AWS アカウントからセキュリティログとイベントを収集できます。複数のアカウントの管理を自動化および合理化するには、Security Lake を AWS Organizations と統合することを強くお勧めします。

組織では、組織の作成に使用するアカウントは管理アカウントと呼ばれます。Security Lake をOrganizations と統合するには、管理アカウントが組織の委任された Security Lake 管理者アカウントを指定する必要があります。

委任された Security Lake 管理者は、Security Lake を有効にし、メンバー アカウントの Security Lake 設定を構成できます。委任管理者は、 AWS リージョン Security Lake が有効になっているすべての で、組織全体のログとイベントを収集できます (現在使用しているリージョンのエンドポイントは関係ありません)。委任管理者は、新しい組織アカウントのログとイベントデータを自動的に収集するように Security Lake を設定することもできます。

委任された Security Lake 管理者は、関連付けられたメンバー アカウントのログおよびイベント データにアクセスできます。したがって、関連するメンバー アカウントが所有するデータを収集するように Security Lake を構成できます。また、関連付けられたメンバー アカウントが所有するデータを使用する権限をサブスクライバーに付与することもできます。

組織内の複数のアカウントで Security Lake を有効にするには、まず組織の管理アカウントが組織の委任された Security Lake 管理者アカウントを指定する必要があります。これで委任された管理者は、組織の Security Lake を有効化して設定できます。

Organizations のセットアップについては、「AWS Organizations ユーザーガイド」の「組織の作成と管理」を参照してください。

委任された Security Lake 管理者に関する重要な考慮事項

Security Lake で委任された管理者がどのように動作するかを定義する次の要素に注意してください。

委任管理者はすべてのリージョンで同一です。

委任管理者を作成すると、その委任管理者が Security Lake を有効にするすべてのリージョンの委任管理者になります。

ログアーカイブアカウントを Security Lake 委任管理者として設定することをお勧めします。

ログアーカイブアカウントは AWS アカウント 、すべてのセキュリティ関連ログの取り込みとアーカイブ専用の です。通常、このアカウントへのアクセスは、コンプライアンス調査を行う監査人やセキュリティチームなど、少数のユーザーに限定されます。Log Archive アカウントを Security Lake の委任管理者として設定して、コンテキストの切り替えを最小限に抑えてセキュリティ関連のログとイベントを表示できるようにすることをお勧めします。

また、Log Archive アカウントに直接アクセスできるのは最小限のユーザーのみにすることをお勧めします。この選択グループ以外で、Security Lake が収集するデータにユーザーがアクセスする必要がある場合は、そのユーザーを Security Lake サブスクライバーとして追加できます。サブスクライバーを追加する方法については、「Amazon Security Lake におけるサブスクライバー管理」を参照してください。

AWS Control Tower サービスを使用しない場合は、ログアーカイブアカウントがない可能性があります。Log Archive アカウントについて詳しくは、セキュリティリファレンスアーキテクチャの「Security OU — Log Archive アカウント」を参照してください。AWS

組織は、委任された管理者を 1 名だけ持つことができます。

Security Lake 管理者は、組織あたり 1 名のみです。

組織管理アカウントを代理管理者にすることはできません。

AWS セキュリティのベストプラクティスと最小特権の原則に基づいて、組織管理アカウントを委任された管理者にすることはできません。

委任された管理者は、アクティブな組織に属している必要があります。

組織を削除すると、委任された管理者アカウントは Security Lake を管理できなくなります。別の組織の委任管理者を指定するか、組織の一部ではないスタンドアロンアカウントで Security Lake を使用する必要があります。

委任された管理者を指定するには IAM 許可が必要です

委任された Security Lake 管理者を指定するときは、Security Lake を有効にし、次のポリシーステートメントに記載されている特定の AWS Organizations API オペレーションを使用するためのアクセス許可が必要です。

AWS Identity and Access Management (IAM) ポリシーの末尾に次のステートメントを追加して、これらのアクセス許可を付与できます。

{
    "Sid": "Grant permissions to designate a delegated Security Lake administrator",
    "Effect": "Allow",
    "Action": [
        "securitylake:RegisterDataLakeDelegatedAdministrator",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListAccounts",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

委任された Security Lake 管理者を指定し、メンバーアカウントを追加します。

アクセス方法を選択して、組織の委任された Security Lake 管理者アカウントを指定します。組織管理アカウントのみが、組織の委任された管理者アカウントを指定できます。組織の管理アカウントを組織の委任管理者アカウントにすることはできません。

注記

  • 組織管理アカウントは、Security Lake の RegisterDataLakeDelegatedAdministrator オペレーションを使用して、委任された Security Hub 管理者アカウントを指定する必要があります。Organizations を通じて委任された Security Lake 管理者の指定はサポートされていません。

  • 組織の委任された管理者を変更する場合は、まず現在の委任された管理者を削除する必要があります。その後、新しく委任された管理者を指定できます。

Console

  1. Security Lake コンソールhttps://console.aws.amazon.com/securitylake/ を開きます。

    組織の管理アカウントの認証情報を使用してサインインします。

    • Security Lake がまだ有効になっていない場合は、「はじめに」を選択し、「Security Lakeを有効にする」ページで Security Lake の委任管理者を指定します。

    • Security Lake がすでに有効になっている場合は、設定ページで委任されたSecurity Lake管理者を指定します。

  3. 管理を別の アカウントに委任 で、他の AWS セキュリティサービスの委任管理者として既に機能しているアカウントを選択します (推奨)。または、委任された Security Lake 管理者として指定するアカウントの 12 桁の AWS アカウント ID を入力します。

  4. [Delegate(委任)] を選択します。Security Lake がまだ有効になっていない場合は、委任された管理者を指定すると、現在のリージョンでそのアカウントに対して Security Lake が有効になります。

API

委任された管理者をプログラムで指定するには、Security Lake API の RegisterDataLakeDelegatedAdministratorオペレーションを使用します。組織管理アカウントから オペレーションを呼び出す必要があります。を使用している場合は AWS CLI、組織管理アカウントから register-data-lake-delegated-administrator コマンドを実行します。リクエストでは、 accountIdパラメータを使用して、組織の委任管理者アカウントとして AWS アカウント 指定する の 12 桁のアカウント ID を指定します。

例えば、次の AWS CLI コマンドは委任された管理者を指定します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securitylake register-data-lake-delegated-administrator \
--account-id 123456789012

委任管理者は、新しい組織アカウントの AWS ログとイベントデータの収集を自動化することもできます。この設定では、アカウントが の組織に追加されると、Security Lake が新しいアカウントで自動的に有効になります AWS Organizations。委任管理者は、Security Lake API の CreateDataLakeOrganizationConfigurationオペレーションを使用するか、AWS CLI を使用している場合は、 create-data-lake-organization-configuration コマンドを実行して、この設定を有効にできます。リクエストでは、新しいアカウントの特定の設定を指定することもできます。

例えば、次の AWS CLI コマンドは、Security Lake と、新しい組織アカウントでの Amazon Route 53 Resolver クエリログ、 AWS Security Hub 検出結果、および Amazon Virtual Private Cloud (Amazon VPC) フローログの収集を自動的に有効にします。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securitylake create-data-lake-organization-configuration \
--auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"ROUTE53"},{"sourceName":"SH_FINDINGS"},{"sourceName":"VPC_FLOW"}]}]'

組織管理アカウントが委任された管理者を指定すると、管理者は組織に対して Security Lake を有効にして構成できるようになります。これには、組織内の個々のアカウントの AWS ログおよびイベントデータを収集するように Security Lake を有効にして設定することが含まれます。詳細については、「からのデータ収集 AWS のサービス」を参照してください。

GetDataLakeOrganizationConfiguration オペレーションを使用して、新しいメンバーアカウントの組織の現在の設定に関する詳細を取得できます。

委任された Security Lake 管理者を削除する。

組織管理アカウントのみが、組織の委任された Security Lake 管理者を削除できます。組織の委任管理者を変更する場合は、現在の委任管理者を削除し、新しい委任管理者を指定します。

重要

委任されたSecurity Lake管理者を削除すると、データレイクが削除され、組織内のアカウントのSecurity Lakeが無効になります。

Security Lake コンソールを使用して委任された管理者を変更または削除することはできません。これらのタスクはプログラムでのみ実行できます。

委任された管理者をプログラムで削除するには、Security Lake API の DeregisterDataLakeDelegatedAdministratorオペレーションを使用します。組織管理アカウントから オペレーションを呼び出す必要があります。を使用している場合は AWS CLI、組織管理アカウントから deregister-data-lake-delegated-administrator コマンドを実行します。

例えば、次の AWS CLI コマンドは委任された Security Lake 管理者を削除します。

$ aws securitylake deregister-data-lake-delegated-administrator

委任された管理者の指定は維持しつつ新しいメンバーアカウントの自動設定を変更するには、Security Lake API の DeleteDataLakeOrganizationConfigurationオペレーションを使用するか、 を使用している場合は delete-data-lake-organization-configuration コマンド AWS CLIを使用します。組織のこれらの設定を変更できるのは、委任された管理者のみです。

例えば、次の AWS CLI コマンドは、組織に参加する新しいメンバーアカウントからの Security Hub の検出結果の自動収集を停止します。委任管理者がこのオペレーションを呼び出した後、新しいメンバーアカウントは Security Hub の検出結果をデータレイクに提供しません。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securitylake delete-data-lake-organization-configuration \
--auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS"}]}]'

Security Lake の信頼できるアクセス

組織の Security Lake を設定すると、 AWS Organizations 管理アカウントは Security Lake との信頼されたアクセスを有効にできます。信頼されたアクセスを利用すると、Security Lake は IAM サービスにリンクされたロールを作成し、組織およびそのアカウントでタスクを実行することを代理で実行できます。詳細については、AWS Organizations ユーザー ガイドの「他の AWS のサービスで AWS Organizations を利用する」を参照してください。

組織管理アカウントのユーザーは、 AWS Organizations の Security Lake に対する信頼されたアクセスを無効にすることができます。信頼できるアクセスを無効にする手順については、『AWS Organizations ユーザー ガイド』の「信頼できるアクセスを有効または無効にする方法」を参照してください。

委任された管理者の AWS アカウント が中断、分離、または閉鎖されている場合は、信頼されたアクセスを無効にすることをお勧めします。