Amazon Security Lake e  AWS Organizations - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Amazon Security Lake e  AWS Organizations

O Amazon Security Lake centraliza dados de segurança de fontes na nuvem, on-premises e personalizadas em um data lake armazenado em sua conta. Ao se integrar ao Organizations, você pode criar um data lake que coleta registros e eventos em suas contas. Para obter mais informações, consulte Gerenciar várias contas com o AWS Organizations no Guia do usuário do Amazon Security Lake.

Use as informações a seguir para ajudá-lo a integrar o Amazon Security Lake com AWS Organizations o.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A seguinte função vinculada ao serviço é criada automaticamente na conta de gerenciamento da sua organização quando você chama o. RegisterDataLakeDelegatedAdministratorAPI Esse perfil permite que o Amazon Security Lake realize operações válidas nas contas da sua organização.

Você só poderá excluir ou modificar esse perfil se desabilitar o acesso confiável entre o Amazon Security Lake e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleForSecurityLake

Recomendação: use o Security Lake RegisterDataLakeDelegatedAdministrator API para permitir que o Security Lake acesse sua organização e para registrar o administrador delegado da organização

Se você usar 'Organizations' APIs para registrar um administrador delegado, as funções vinculadas ao serviço das Organizations podem não ser criadas com êxito. Para garantir a funcionalidade total, use o Security LakeAPIs.

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. Os perfis vinculados ao serviço usados pelo Amazon Security Lake concedem acesso às seguintes entidades principais de serviço:

  • securitylake.amazonaws.com

Como habilitar o acesso confiável ao Amazon Security Lake

Quando o acesso confiável for habilitado no Security Lake, o Security Lake poderá reagir automaticamente às alterações na associação à organização. O administrador delegado pode ativar a coleta de AWS registros de serviços compatíveis em qualquer conta da organização. Para obter mais informações, consulte Função vinculada ao serviço para o Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você só pode habilitar o acesso confiável usando as ferramentas Organizations.

Você pode habilitar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando ou chamando uma API operação em um dos AWS SDKs.

AWS Management Console
Para habilitar o acesso ao serviço confiável usando o console do Organizations
  1. Faça login no console do AWS Organizations. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. No painel de navegação, escolha Serviços.

  3. Selecione Amazon Security Lake na lista de serviços.

  4. Escolha Enable trusted access (Habilitar acesso confiável).

  5. Na caixa de diálogo Habilitar acesso confiável para o Amazon Security Lake, digite habilitar para confirmar e escolha Habilitar acesso confiável.

  6. Se você for administrador do Only AWS Organizations, informe ao administrador do Amazon Security Lake que agora ele pode habilitar esse serviço para funcionar a AWS Organizations partir do console de serviços.

AWS CLI, AWS API
Para habilitar o acesso a serviços confiáveis usando o OrganizationsCLI/SDK

Use os seguintes AWS CLI comandos ou API operações para habilitar o acesso confiável ao serviço:

  • AWS CLI: enable-aws-service-access

    Execute o comando a seguir para habilitar o Amazon Security Lake como um serviço confiável com Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal securitylake.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: E nableAWSService Access

Como desabilitar o acesso confiável ao Amazon Security Lake

Apenas um administrador na conta de gerenciamento Organizations pode desabilitar o acesso confiável com o Amazon Security Lake.

Você só pode desativar o acesso confiável usando as ferramentas Organizations.

Você pode desativar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando do Organizations ou chamando uma API operação do Organizations em um dos AWS SDKs.

AWS Management Console
Para desabilitar o acesso confiável usando o console do Organizations
  1. Faça login no console do AWS Organizations. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. No painel de navegação, escolha Serviços.

  3. Selecione Amazon Security Lake na lista de serviços.

  4. Escolha Disable trusted access (Desabilitar acesso confiável).

  5. Na caixa de diálogo Desativar acesso confiável para o Amazon Security Lake, digite desabilitar para confirmar e, em seguida, escolha Desativar acesso confiável.

  6. Se você for administrador do Only AWS Organizations, diga ao administrador do Amazon Security Lake que agora ele pode impedir que esse serviço funcione AWS Organizations usando o console de serviço ou as ferramentas.

AWS CLI, AWS API
Para desativar o acesso a serviços confiáveis usando o OrganizationsCLI/SDK

Você pode usar os seguintes AWS CLI comandos ou API operações para desativar o acesso a serviços confiáveis:

  • AWS CLI: disable-aws-service-access

    Execute o comando a seguir para desativar o Amazon Security Lake como um serviço confiável com Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal securitylake.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: isableAWSServiceAcesso D

Como habilitar uma conta de administrador delegado para o Amazon Security Lake

O administrador delegado do Amazon Security Lake adiciona outras contas na organização como contas-membro. O administrador delegado pode ativar o Amazon Security Lake e definir as configurações do Amazon Security Lake para as contas-membro. O administrador delegado pode coletar registros em toda a organização em todas as AWS regiões em que o Amazon Security Lake está habilitado (independentemente do endpoint regional que você está usando atualmente).

Você também pode configurar o administrador delegado para adicionar automaticamente novas contas na organização como membros. O administrador delegado do Amazon Security Lake tem acesso aos logs e eventos nas contas-membro associadas. Assim, você pode configurar o Amazon Security Lake para coletar dados pertencentes às contas-membro associadas. Também é possível conceder aos assinantes permissão para consumir dados pertencentes às contas-membro associadas.

Para obter mais informações, consulte Gerenciar várias contas com o AWS Organizations no Guia do usuário do Amazon Security Lake.

Permissões mínimas

Somente um administrador na conta de gerenciamento do Organizations pode configurar uma conta-membro como um administrador delegado para o Amazon Security Lake na organização

Você pode especificar uma conta de administrador delegado usando o console do Amazon Security Lake, a CreateDatalakeDelegatedAdmin API operação do Amazon Security Lake ou o create-datalake-delegated-admin CLI comando. Como alternativa, você pode usar as Organizations RegisterDelegatedAdministrator CLI ou SDK a operação. Para obter instruções sobre como habilitar uma conta de administrador delegado para o Amazon Security Lake, consulte Designar o administrador delegado do Security Lake e adicionar contas-membro no Guia do usuário do Amazon Security Lake.

AWS CLI, AWS API

Se você quiser configurar uma conta de administrador delegado usando o AWS CLI ou um dos AWS SDKs, você pode usar os seguintes comandos:

  • AWS CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal securitylake.amazonaws.com
  • AWS SDK: Ligue para a RegisterDelegatedAdministrator operação da Organizations e para o número de identificação da conta do membro e identifique o responsável pelo serviço da conta account.amazonaws.com como parâmetros.

Desabilitar um administrador delegado para o Amazon Security Lake

Somente um administrador na conta de gerenciamento do Organizations ou a conta de administrador delegado do Amazon Security Lake podem remover uma conta de administrador delegado da organização.

Você pode remover a conta de administrador delegado usando a DeregisterDataLakeDelegatedAdministrator API operação Amazon Security Lake, o deregister-data-lake-delegated-administrator CLI comando ou usando o Organizations DeregisterDelegatedAdministrator CLI ou a SDK operação. Para remover um administrador delegado usando o Amazon Security Lake, consulte Removing the Amazon Security Lake delegated administrator no Guia do usuário do Amazon Security Lake.