As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Amazon Security Lake e AWS Organizations
O Amazon Security Lake centraliza dados de segurança de fontes na nuvem, on-premises e personalizadas em um data lake armazenado em sua conta. Ao se integrar ao Organizations, você pode criar um data lake que coleta registros e eventos em suas contas. Para obter mais informações, consulte Gerenciar várias contas com o AWS Organizations no Guia do usuário do Amazon Security Lake.
Use as informações a seguir para ajudá-lo a integrar o Amazon Security Lake com AWS Organizations o.
Funções vinculadas ao serviço, criadas quando você habilitou a integração
A seguinte função vinculada ao serviço é criada automaticamente na conta de gerenciamento da sua organização quando você chama o. RegisterDataLakeDelegatedAdministratorAPI Esse perfil permite que o Amazon Security Lake realize operações válidas nas contas da sua organização.
Você só poderá excluir ou modificar esse perfil se desabilitar o acesso confiável entre o Amazon Security Lake e o Organizations, ou se remover a conta-membro da organização.
-
AWSServiceRoleForSecurityLake
Recomendação: use o Security Lake RegisterDataLakeDelegatedAdministrator API para permitir que o Security Lake acesse sua organização e para registrar o administrador delegado da organização
Se você usar 'Organizations' APIs para registrar um administrador delegado, as funções vinculadas ao serviço das Organizations podem não ser criadas com êxito. Para garantir a funcionalidade total, use o Security LakeAPIs.
Entidades de serviço primárias usadas pelas funções vinculadas ao serviço
A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. Os perfis vinculados ao serviço usados pelo Amazon Security Lake concedem acesso às seguintes entidades principais de serviço:
-
securitylake.amazonaws.com
Como habilitar o acesso confiável ao Amazon Security Lake
Quando o acesso confiável for habilitado no Security Lake, o Security Lake poderá reagir automaticamente às alterações na associação à organização. O administrador delegado pode ativar a coleta de AWS registros de serviços compatíveis em qualquer conta da organização. Para obter mais informações, consulte Função vinculada ao serviço para o Amazon Security Lake no Guia do usuário do Amazon Security Lake.
Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.
Você só pode habilitar o acesso confiável usando as ferramentas Organizations.
Você pode habilitar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando ou chamando uma API operação em um dos AWS SDKs.
Como desabilitar o acesso confiável ao Amazon Security Lake
Apenas um administrador na conta de gerenciamento Organizations pode desabilitar o acesso confiável com o Amazon Security Lake.
Você só pode desativar o acesso confiável usando as ferramentas Organizations.
Você pode desativar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando do Organizations ou chamando uma API operação do Organizations em um dos AWS SDKs.
Como habilitar uma conta de administrador delegado para o Amazon Security Lake
O administrador delegado do Amazon Security Lake adiciona outras contas na organização como contas-membro. O administrador delegado pode ativar o Amazon Security Lake e definir as configurações do Amazon Security Lake para as contas-membro. O administrador delegado pode coletar registros em toda a organização em todas as AWS regiões em que o Amazon Security Lake está habilitado (independentemente do endpoint regional que você está usando atualmente).
Você também pode configurar o administrador delegado para adicionar automaticamente novas contas na organização como membros. O administrador delegado do Amazon Security Lake tem acesso aos logs e eventos nas contas-membro associadas. Assim, você pode configurar o Amazon Security Lake para coletar dados pertencentes às contas-membro associadas. Também é possível conceder aos assinantes permissão para consumir dados pertencentes às contas-membro associadas.
Para obter mais informações, consulte Gerenciar várias contas com o AWS Organizations no Guia do usuário do Amazon Security Lake.
Permissões mínimas
Somente um administrador na conta de gerenciamento do Organizations pode configurar uma conta-membro como um administrador delegado para o Amazon Security Lake na organização
Você pode especificar uma conta de administrador delegado usando o console do Amazon Security Lake, a CreateDatalakeDelegatedAdmin
API operação do Amazon Security Lake ou o create-datalake-delegated-admin
CLI comando. Como alternativa, você pode usar as Organizations RegisterDelegatedAdministrator
CLI ou SDK a operação. Para obter instruções sobre como habilitar uma conta de administrador delegado para o Amazon Security Lake, consulte Designar o administrador delegado do Security Lake e adicionar contas-membro no Guia do usuário do Amazon Security Lake.
Desabilitar um administrador delegado para o Amazon Security Lake
Somente um administrador na conta de gerenciamento do Organizations ou a conta de administrador delegado do Amazon Security Lake podem remover uma conta de administrador delegado da organização.
Você pode remover a conta de administrador delegado usando a DeregisterDataLakeDelegatedAdministrator
API operação Amazon Security Lake, o deregister-data-lake-delegated-administrator
CLI comando ou usando o Organizations DeregisterDelegatedAdministrator
CLI ou a SDK operação. Para remover um administrador delegado usando o Amazon Security Lake, consulte Removing the Amazon Security Lake delegated administrator no Guia do usuário do Amazon Security Lake.