As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Amazon Security Lake e AWS Organizations
O Amazon Security Lake centraliza dados de segurança de fontes na nuvem, on-premises e personalizadas em um data lake armazenado em sua conta. Ao se integrar ao Organizations, você pode criar um data lake que coleta registros e eventos em suas contas. Para obter mais informações, consulte Gerenciando várias contas com AWS Organizationsno guia do usuário do Amazon Security Lake.
Use as informações a seguir para ajudá-lo a integrar o Amazon Security Lake com AWS Organizations.
Funções vinculadas ao serviço, criadas quando você habilitou a integração
A seguinte função vinculada ao serviço é criada automaticamente na conta de gerenciamento da sua organização quando você chama o. RegisterDataLakeDelegatedAdministratorAPI Essa função permite que o Amazon Security Lake realize operações suportadas nas contas da sua organização em sua organização.
Você pode excluir ou modificar essa função somente se desativar o acesso confiável entre o Amazon Security Lake e o Organizations, ou se remover a conta membro da organização.
-
AWSServiceRoleForSecurityLake
Recomendação: use o Security Lake RegisterDataLakeDelegatedAdministrator API para permitir que o Security Lake acesse sua organização e para registrar o administrador delegado da organização
Se você usar 'Organizations' APIs para registrar um administrador delegado, as funções vinculadas ao serviço das Organizations podem não ser criadas com êxito. Para garantir a funcionalidade total, use o Security LakeAPIs.
Entidades de serviço primárias usadas pelas funções vinculadas ao serviço
A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Amazon Security Lake concedem acesso às seguintes entidades de serviço:
-
securitylake.amazonaws.com
Habilitando o acesso confiável com o Amazon Security Lake
Quando o acesso confiável for habilitado no Security Lake, o Security Lake poderá reagir automaticamente às alterações na associação à organização. O administrador delegado pode habilitar AWS coleta de registros de serviços compatíveis em qualquer conta da organização. Para obter mais informações, consulte Função vinculada ao serviço para o Amazon Security Lake no Guia do usuário do Amazon Security Lake.
Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.
Você pode habilitar o acesso confiável usando apenas as ferramentas do Organizations.
Você pode habilitar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando ou chamando uma API operação em um dos AWS SDKs.
Desabilitando o acesso confiável com o Amazon Security Lake
Somente um administrador na conta de gerenciamento da Organizations pode desativar o acesso confiável com o Amazon Security Lake.
Você pode desabilitar o acesso confiável usando apenas as ferramentas do Organizations.
Você pode desativar o acesso confiável usando o AWS Organizations console, executando um Organizations AWS CLI comando ou chamando uma API operação da Organizations em um dos AWS SDKs.
Habilitando uma conta de administrador delegado para o Amazon Security Lake
O administrador delegado do Amazon Security Lake adiciona outras contas na organização como contas membros. O administrador delegado pode ativar o Amazon Security Lake e definir as configurações do Amazon Security Lake para as contas dos membros. O administrador delegado pode coletar registros em toda a organização AWS Regiões em que o Amazon Security Lake está habilitado (independentemente do endpoint regional que você está usando atualmente).
Você também pode configurar o administrador delegado para adicionar automaticamente novas contas na organização como membros. O administrador delegado do Amazon Security Lake tem acesso aos registros e eventos nas contas dos membros associados. Assim, você pode configurar o Amazon Security Lake para coletar dados pertencentes às contas de membros associadas. Também é possível conceder aos assinantes permissão para consumir dados pertencentes às contas-membro associadas.
Para obter mais informações, consulte Gerenciando várias contas com AWS Organizationsno guia do usuário do Amazon Security Lake.
Permissões mínimas
Somente um administrador na conta de gerenciamento da Organizations pode configurar uma conta de membro como administrador delegado do Amazon Security Lake na organização.
Você pode especificar uma conta de administrador delegado usando o console do Amazon Security Lake, a CreateDatalakeDelegatedAdmin API operação do Amazon Security Lake ou o create-datalake-delegated-admin CLI comando. Como alternativa, você pode usar as Organizations RegisterDelegatedAdministrator CLI ou SDK a operação. Para obter instruções sobre como habilitar uma conta de administrador delegado para o Amazon Security Lake, consulte Designação do administrador delegado do Security Lake e adição de contas membros no guia do usuário do Amazon Security Lake.
Desabilitando um administrador delegado para o Amazon Security Lake
Somente um administrador na conta de gerenciamento do Organizations ou na conta de administrador delegado do Amazon Security Lake pode remover uma conta de administrador delegado da organização.
Você pode remover a conta de administrador delegado usando a DeleteDatalakeDelegatedAdmin API operação Amazon Security Lake, o delete-datalake-delegated-admin CLI comando ou usando o Organizations DeregisterDelegatedAdministrator CLI ou a SDK operação. Para remover um administrador delegado usando o Amazon Security Lake, consulte Removendo o administrador delegado do Amazon Security Lake no guia do usuário do Amazon Security Lake.
