As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciando várias contas com AWS Organizations
Você pode usar o Amazon Security Lake para coletar registros e eventos de segurança de várias Contas da AWS. Para ajudar a automatizar e simplificar o gerenciamento de várias contas, é altamente recomendável que você integre o Security Lake com o AWS Organizations.
Em Organizações, a conta que você usa para criar a organização é chamada conta de gerenciamento. Para integrar o Security Lake com o Organizations, a conta de gerenciamento deve designar uma conta delegada de administrador do Security Lake para a organização.
O administrador delegado do Security Lake pode ativar o Security Lake e definir as configurações do Security Lake para as contas-membro. O administrador delegado pode coletar registros e eventos em toda a organização em todos os Regiões da AWS lugares onde o Security Lake está ativado (independentemente do endpoint regional que ele esteja usando atualmente). O administrador delegado também pode configurar o Security Lake para coletar automaticamente dados de log e eventos para novas contas da organização.
O administrador delegado do Security Lake tem acesso ao log e dados de eventos das contas-membros associadas. Assim, eles podem configurar o Security Lake para coletar dados pertencentes às contas-membro associadas. Eles também podem conceder aos assinantes permissão para consumir dados pertencentes às contas-membro associadas.
Para habilitar o Security Lake para várias contas em uma organização, a conta de gerenciamento da organização deve primeiro designar uma conta delegada de administrador do Security Lake para a organização. O administrador delegado pode então ativar e configurar o Security Lake para a organização.
Para obter mais informações sobre como configurar organizações, consulte Criar e gerenciar uma organização no Guia do usuário do AWS Organizations .
Considerações importantes para administradores delegados do Security Lake
Observe os seguintes fatores que definem como um administrador delegado se comporta no Security Lake:
- O administrador delegado é o mesmo em todas as regiões.
-
Quando você cria o administrador delegado, ele se torna o administrador delegado de cada região na qual você ativa o Security Lake.
- Recomendamos definir a conta Log Archive como administrador delegado do Security Lake.
-
A conta Log Archive é dedicada à ingestão e arquivamento de todos os registros relacionados à segurança. Conta da AWS O acesso a essa conta geralmente é limitado a alguns usuários, como auditores e equipes de segurança para investigações de conformidade. Recomendamos definir a conta Log Archive como administrador delegado do Security Lake para que você possa visualizar logs e eventos relacionados à segurança com o mínimo de alternância de contexto.
Além disso, recomendamos que apenas um conjunto mínimo de usuários tenha acesso direto à conta Log Archive. Fora desse grupo seleto, se um usuário precisar acessar os dados que o Security Lake coleta, você poderá adicioná-lo como assinante do Security Lake. Para obter mais informações sobre como adicionar um assinante, consulte Gerenciamento de assinantes no Amazon Security Lake.
Se você não usa o AWS Control Tower serviço, talvez não tenha uma conta do Log Archive. Para obter mais informações sobre a conta Log Archive, consulte Security OU — Conta Log Archive na Arquitetura de referência de segurança da AWS .
- Uma organização pode ter apenas um administrador delegado.
-
Você pode ter somente um administrador delegado do Security Lake para cada organização.
- A conta de gerenciamento da organização não pode ser o administrador delegado.
-
Com base nas melhores práticas de AWS segurança e no princípio do menor privilégio, a conta de gerenciamento da sua organização não pode ser o administrador delegado.
- O administrador delegado deve fazer parte de uma organização ativa.
-
Quando você exclui uma organização, a conta de administrador delegado não pode mais gerenciar o Security Lake. Você deve designar um administrador delegado de uma organização diferente ou usar o Security Lake com uma conta independente que não faça parte de uma organização.
Permissões do IAM necessárias para designar um administrador delegado
Ao designar o administrador delegado do Security Lake, você deve ter permissões para habilitar o Security Lake e usar determinadas operações de AWS Organizations API listadas na declaração de política a seguir.
Você pode adicionar a seguinte declaração ao final de uma política AWS Identity and Access Management (IAM) para conceder essas permissões.
{ "Sid": "Grant permissions to designate a delegated Security Lake administrator", "Effect": "Allow", "Action": [ "securitylake:RegisterDataLakeDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
Com designar o administrador delegado do Security Lake e adicionar contas de membros
Escolha seu método de acesso para designar uma conta de administrador do delegada do Security Lake para a sua organização. Somente a conta de gerenciamento da organização pode designar a conta do administrador delegado para sua organização. A conta de gerenciamento da organização não pode ser a conta do administrador delegado da própria organização.
nota
-
A conta de gerenciamento da organização deve usar a operação
RegisterDataLakeDelegatedAdministratordo Security Lake para designar a conta delegada do administrador do Security Lake. Não há suporte para designar o administrador delegado do Security Lake por meio do Organizations. -
Se você quiser alterar o administrador delegado da organização, primeiro remova o administrador delegado atual. Em seguida, você pode designar um novo administrador delegado.
Após a conta de gerenciamento da organização designar o administrador delegado, o administrador pode ativar e configurar o Security Lake para a organização. Isso inclui habilitar e configurar o Security Lake para coletar dados de AWS registros e eventos para contas individuais na organização. Para ter mais informações, consulte Coletando dados de Serviços da AWS.
Você pode usar a GetDataLakeOrganizationConfigurationoperação para obter detalhes sobre a configuração atual da sua organização para novas contas de membros.
Como remover o administrador delegado do Security Lake
Apenas a conta de gerenciamento da organização pode remover o administrador delegado do Security Lake da organização. Se desejar alterar o administrador delegado da organização, remova o administrador delegado atual e, em seguida, designe o novo administrador delegado.
Importante
A remoção do administrador delegado do Security Lake exclui seu data lake e desativa o Security Lake para as contas da sua organização.
Não é possível alterar ou remover o administrador delegado usando o console do Security Lake. Essas tarefas só podem ser executadas por programação.
Para remover programaticamente o administrador delegado, use a DeregisterDataLakeDelegatedAdministratoroperação da API Security Lake. Você deve invocar a operação a partir da conta de gerenciamento da organização. O Se você estiver usando o AWS CLI, execute o deregister-data-lake-delegated-administrator
Por exemplo, o AWS CLI comando a seguir remove o administrador delegado do Security Lake.
$aws securitylake deregister-data-lake-delegated-administrator
Para manter a designação de administrador delegado, mas alterar as configurações automáticas das novas contas de membros, use a DeleteDataLakeOrganizationConfigurationoperação da API Security Lake ou, se estiver usando o AWS CLI, o delete-data-lake-organization-configuration
Por exemplo, o AWS CLI comando a seguir interrompe a coleta automática de descobertas do Security Hub de novas contas membros que ingressam na organização. Novas contas de membros não contribuirão com as descobertas do Security Hub para o data lake depois que o administrador delegado invocar essa operação. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.
$aws securitylake delete-data-lake-organization-configuration \ --auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS"}]}]'
Acesso confiável do Security Lake
Depois de configurar o Security Lake para uma organização, a conta AWS Organizations de gerenciamento pode habilitar o acesso confiável com o Security Lake. O acesso confiável permite que o Security Lake crie uma função vinculada a serviços do IAM e execute tarefas na organização e nas contas em seu nome. Para obter mais informações, consulte Usar o AWS Organizations com outro Serviços da AWS no Guia do usuário do AWS Organizations .
Como usuário da conta de gerenciamento da organização, você pode desativar o acesso confiável para o Security Lake no AWS Organizations. Para obter instruções sobre como desativar o acesso confiável, consulte Como ativar ou desativar o acesso confiável no Guia do usuário do AWS Organizations .
Recomendamos desativar o acesso confiável se o do administrador delegado Conta da AWS estiver suspenso, isolado ou fechado.
