翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
による複数のアカウントの管理 AWS Organizations
Amazon Security Lake を使用して、複数の AWS アカウントからセキュリティログとイベントを収集できます。複数のアカウントの管理を自動化および合理化するには、Security Lake を AWS Organizations と統合することを強くお勧めします。
組織では、組織の作成に使用するアカウントは管理アカウントと呼ばれます。Security Lake をOrganizations と統合するには、管理アカウントが組織の委任された Security Lake 管理者アカウントを指定する必要があります。
委任された Security Lake 管理者は、Security Lake を有効にし、メンバー アカウントの Security Lake 設定を構成できます。委任管理者は、 AWS リージョン Security Lake が有効になっているすべての で、組織全体のログとイベントを収集できます (現在使用しているリージョンのエンドポイントは関係ありません)。委任管理者は、新しい組織アカウントのログとイベントデータを自動的に収集するように Security Lake を設定することもできます。
委任された Security Lake 管理者は、関連付けられたメンバー アカウントのログおよびイベント データにアクセスできます。したがって、関連するメンバー アカウントが所有するデータを収集するように Security Lake を構成できます。また、関連付けられたメンバー アカウントが所有するデータを使用する権限をサブスクライバーに付与することもできます。
組織内の複数のアカウントで Security Lake を有効にするには、まず組織の管理アカウントが組織の委任された Security Lake 管理者アカウントを指定する必要があります。これで委任された管理者は、組織の Security Lake を有効化して設定できます。
Organizations のセットアップについては、「AWS Organizations ユーザーガイド」の「組織の作成と管理」を参照してください。
委任された Security Lake 管理者に関する重要な考慮事項
Security Lake で委任された管理者がどのように動作するかを定義する次の要素に注意してください。
- 委任管理者はすべてのリージョンで同一です。
-
委任管理者を作成すると、その委任管理者が Security Lake を有効にするすべてのリージョンの委任管理者になります。
- ログアーカイブアカウントを Security Lake 委任管理者として設定することをお勧めします。
-
ログアーカイブアカウントは AWS アカウント 、すべてのセキュリティ関連ログの取り込みとアーカイブ専用の です。通常、このアカウントへのアクセスは、コンプライアンス調査を行う監査人やセキュリティチームなど、少数のユーザーに限定されます。Log Archive アカウントを Security Lake の委任管理者として設定して、コンテキストの切り替えを最小限に抑えてセキュリティ関連のログとイベントを表示できるようにすることをお勧めします。
また、Log Archive アカウントに直接アクセスできるのは最小限のユーザーのみにすることをお勧めします。この選択グループ以外で、Security Lake が収集するデータにユーザーがアクセスする必要がある場合は、そのユーザーを Security Lake サブスクライバーとして追加できます。サブスクライバーを追加する方法については、「Amazon Security Lake におけるサブスクライバー管理」を参照してください。
AWS Control Tower サービスを使用しない場合は、ログアーカイブアカウントがない可能性があります。Log Archive アカウントについて詳しくは、セキュリティリファレンスアーキテクチャの「Security OU — Log Archive アカウント」を参照してください。AWS
- 組織は、委任された管理者を 1 名だけ持つことができます。
-
Security Lake 管理者は、組織あたり 1 名のみです。
- 組織管理アカウントを代理管理者にすることはできません。
-
AWS セキュリティのベストプラクティスと最小特権の原則に基づいて、組織管理アカウントを委任された管理者にすることはできません。
- 委任された管理者は、アクティブな組織に属している必要があります。
-
組織を削除すると、委任された管理者アカウントは Security Lake を管理できなくなります。別の組織の委任管理者を指定するか、組織の一部ではないスタンドアロンアカウントで Security Lake を使用する必要があります。
委任された管理者を指定するには IAM 許可が必要です
委任された Security Lake 管理者を指定するときは、Security Lake を有効にし、次のポリシーステートメントに記載されている特定の AWS Organizations API オペレーションを使用するためのアクセス許可が必要です。
AWS Identity and Access Management (IAM) ポリシーの末尾に次のステートメントを追加して、これらのアクセス許可を付与できます。
{ "Sid": "Grant permissions to designate a delegated Security Lake administrator", "Effect": "Allow", "Action": [ "securitylake:RegisterDataLakeDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
委任された Security Lake 管理者を指定し、メンバーアカウントを追加します。
アクセス方法を選択して、組織の委任された Security Lake 管理者アカウントを指定します。組織管理アカウントのみが、組織の委任された管理者アカウントを指定できます。組織の管理アカウントを組織の委任管理者アカウントにすることはできません。
注記
-
組織管理アカウントは、Security Lake の
RegisterDataLakeDelegatedAdministrator
オペレーションを使用して、委任された Security Hub 管理者アカウントを指定する必要があります。Organizations を通じて委任された Security Lake 管理者の指定はサポートされていません。 -
組織の委任された管理者を変更する場合は、まず現在の委任された管理者を削除する必要があります。その後、新しく委任された管理者を指定できます。
組織管理アカウントが委任された管理者を指定すると、管理者は組織に対して Security Lake を有効にして構成できるようになります。これには、組織内の個々のアカウントの AWS ログおよびイベントデータを収集するように Security Lake を有効にして設定することが含まれます。詳細については、「からのデータ収集 AWS のサービス」を参照してください。
GetDataLakeOrganizationConfiguration オペレーションを使用して、新しいメンバーアカウントの組織の現在の設定に関する詳細を取得できます。
委任された Security Lake 管理者を削除する。
組織管理アカウントのみが、組織の委任された Security Lake 管理者を削除できます。組織の委任管理者を変更する場合は、現在の委任管理者を削除し、新しい委任管理者を指定します。
重要
委任されたSecurity Lake管理者を削除すると、データレイクが削除され、組織内のアカウントのSecurity Lakeが無効になります。
Security Lake コンソールを使用して委任された管理者を変更または削除することはできません。これらのタスクはプログラムでのみ実行できます。
委任された管理者をプログラムで削除するには、Security Lake API の DeregisterDataLakeDelegatedAdministratorオペレーションを使用します。組織管理アカウントから オペレーションを呼び出す必要があります。を使用している場合は AWS CLI、組織管理アカウントから deregister-data-lake-delegated-administrator
例えば、次の AWS CLI コマンドは委任された Security Lake 管理者を削除します。
$
aws securitylake deregister-data-lake-delegated-administrator
委任された管理者の指定は維持しつつ新しいメンバーアカウントの自動設定を変更するには、Security Lake API の DeleteDataLakeOrganizationConfigurationオペレーションを使用するか、 を使用している場合は delete-data-lake-organization-configuration
例えば、次の AWS CLI コマンドは、組織に参加する新しいメンバーアカウントからの Security Hub の検出結果の自動収集を停止します。委任管理者がこのオペレーションを呼び出した後、新しいメンバーアカウントは Security Hub の検出結果をデータレイクに提供しません。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。
$
aws securitylake delete-data-lake-organization-configuration \ --auto-enable-new-account '[{"region":"
us-east-1
","sources":[{"sourceName":"SH_FINDINGS
"}]}]'
Security Lake の信頼できるアクセス
組織の Security Lake を設定すると、 AWS Organizations 管理アカウントは Security Lake との信頼されたアクセスを有効にできます。信頼されたアクセスを利用すると、Security Lake は IAM サービスにリンクされたロールを作成し、組織およびそのアカウントでタスクを実行することを代理で実行できます。詳細については、AWS Organizations ユーザー ガイドの「他の AWS のサービスで AWS Organizations を利用する」を参照してください。
組織管理アカウントのユーザーは、 AWS Organizations の Security Lake に対する信頼されたアクセスを無効にすることができます。信頼できるアクセスを無効にする手順については、『AWS Organizations ユーザー ガイド』の「信頼できるアクセスを有効または無効にする方法」を参照してください。
委任された管理者の AWS アカウント が中断、分離、または閉鎖されている場合は、信頼されたアクセスを無効にすることをお勧めします。