Amazon 安全湖和 AWS Organizations

Amazon Security Lake 将来自云端、本地和自定义源的安全数据集中到存储在您的账户的数据湖中。通过与 Organizations 集成，您可以创建一个数据湖来收集账户中的日志和事件。有关更多信息，请参阅使用管理多个账户 AWS Organizations在 Amazon Security Lake 用户指南中。

使用以下信息来帮助您将 Amazon Security Lake 与 AWS Organizations.

启用集成时，创建了一个服务相关角色

当您调用时，将在您组织的管理账户中自动创建以下服务相关角色。RegisterDataLakeDelegatedAdministratorAPI此角色允许 Amazon Security Lake 在贵组织中的账户中执行支持的操作。

只有在禁用 Amazon Security Lake 和 Organizations 之间的可信访问权限或从组织中删除成员账户后，才能删除或修改此角色。

• AWSServiceRoleForSecurityLake

建议：使用 Security La RegisterDataLakeDelegatedAdministrator API ke 允许 Security Lake 访问您的组织并注册组织的委托管理员

如果您使用 Organi APIs zations 注册委托管理员，则可能无法成功创建组织的服务相关角色。为确保全部功能，请使用安全湖APIs。

服务相关角色使用的服务委托人

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Amazon Security Lake 使用的服务相关角色向以下服务主体授予访问权限：

• securitylake.amazonaws.com

通过 Amazon 安全湖启用可信访问

当您授予对安全数据湖的信任访问权限时，安全数据湖可以自动应对组织成员资格的更改。委派的管理员可以启用 AWS 从任何组织帐户中支持的服务收集日志。有关更多信息，请参阅《Amazon Security Lake 用户指南》中的亚马逊安全数据湖的服务相关角色。

有关启用信任访问权限所需权限的信息，请参阅允许可信访问所需的权限。

您只能使用 Organizations 工具启用信任访问权限。

您可以通过以下任一方式启用可信访问 AWS Organizations 控制台，通过运行 AWS CLI 命令，或者通过在其中一个命令中调用API操作 AWS SDKs.

AWS Management Console

要使用 Organizations 控制台启用信任服务访问权限，请执行以下操作：

1. 登录 。AWS Organizations 控制台。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录（不推荐）。

2. 在导航窗格中，选择服务。

3. 在服务列表中选择 Amazon 安全湖。

4. 选择 Enable trusted access (启用可信访问)。

5. 在 “为 Amazon Security Lake 启用可信访问” 对话框中，键入 enable 进行确认，然后选择 “启用可信访问”。

6. 如果您是仅的管理员 AWS Organizations，告诉 Amazon Security Lake 的管理员他们现在可以使用其控制台启用该服务了 AWS Organizations.

AWS CLI, AWS API

使用 OrganizationsCLI/启用可信服务访问权限 SDK

你可以使用以下 AWS CLI 用于启用可信服务访问的命令或API操作：

• AWS CLI: enable-aws-service-access

  您可以运行以下命令以使用 Organizations 启用 Amazon Security Lake 作为信任服务。

  $ aws organizations enable-aws-service-access \ 
      --service-principal securitylake.amazonaws.com

  如果成功，此命令不会产生任何输出。

• AWS API: E A nableAWSService ccess

使用 Amazon 安全湖禁用可信访问

只有 Organizations 管理账户中的管理员才能禁用 Amazon Security Lake 的可信访问权限。

您可以仅使用 Organizations 工具禁用信任访问权限。

您可以使用以下任一方法禁用可信访问 AWS Organizations 控制台，通过运行 Organizations AWS CLI 命令，或者在其中一个命令中调用 Organizations API 操作 AWS SDKs.

AWS Management Console

使用 Organizations 控制台禁用信任服务访问权限

1. 登录 。AWS Organizations 控制台。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录（不推荐）。

2. 在导航窗格中，选择服务。

3. 在服务列表中选择 Amazon 安全湖。

4. 选择 Disable trusted access（禁用信任访问权限）。

5. 在 “禁用 Amazon Security Lake 的可信访问” 对话框中，键入 “禁用” 进行确认，然后选择 “禁用可信访问”。

6. 如果您是仅的管理员 AWS Organizations，告诉 Amazon Security Lake 的管理员，他们现在可以使用该服务的控制台或工具禁用该服务 AWS Organizations.

AWS CLI, AWS API

使用 OrganizationsCLI/禁用可信服务访问权限 SDK

你可以使用以下 AWS CLI 禁用可信服务访问的命令或API操作：

• AWS CLI: disable-aws-service-access

  您可以运行以下命令以使用 Organizations 禁用 Amazon Security Lake 作为信任服务。

  $ aws organizations disable-aws-service-access \
      --service-principal securitylake.amazonaws.com

  如果成功，此命令不会产生任何输出。

• AWS API: D A isableAWSService ccess

为 Amazon Security Lake 启用委托管理员账户

Amazon Security Lake 授权管理员将组织中的其他账户添加为成员账户。授权的管理员可以启用亚马逊安全湖并为成员账户配置亚马逊安全湖设置。委派的管理员可以收集整个组织的所有日志 AWS 启用了 Amazon Security Lake 的区域（无论您当前使用的是哪个区域终端节点）。

您还可以将委托管理员设置为自动将组织中的新帐户添加为成员。Amazon Security Lake 授权的管理员可以访问关联成员账户中的日志和事件。因此，您可以设置 Amazon Security Lake 来收集关联成员账户拥有的数据。您还可以授予订阅用户使用关联成员账户所拥有数据的权限。

有关更多信息，请参阅使用管理多个账户 AWS Organizations在 Amazon Security Lake 用户指南中。

最小权限

只有 Organizations 管理账户中的管理员才能将成员账户配置为组织中 Amazon Security Lake 的委托管理员

您可以使用 Amazon Security Lake 控制台、Amazon Security Lake CreateDatalakeDelegatedAdmin API 操作或create-datalake-delegated-adminCLI命令来指定委托管理员账户。或者，您可以使用 Organizati RegisterDelegatedAdministrator CLI ons 或SDK操作。有关为 Amazon Security Lake 启用委托管理员账户的说明，请参阅 Amazon Security Lake 用户指南中的指定委派安全湖管理员和添加成员账户。

AWS CLI, AWS API

如果要使用配置委派管理员帐户 AWS CLI或者其中一个 AWS SDKs，你可以使用以下命令：

• AWS CLI:

  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \ --service-principal securitylake.amazonaws.com

• AWS SDK：调用 Organizations RegisterDelegatedAdministrator 操作和成员账户的 ID 号，将账户服务委托人标识account.amazonaws.com为参数。

禁用 Amazon 安全湖的委托管理员

只有 Organizations 管理账户或 Amazon Security Lake 委托管理员账户中的管理员才能从组织中删除委托管理员账户。

您可以使用 Amazon Security Lake DeleteDatalakeDelegatedAdmin API 操作、delete-datalake-delegated-adminCLI命令或使用 Organizations DeregisterDelegatedAdministrator CLI 或SDK操作删除委托管理员账户。要使用 Amazon Security Lake 移除委托管理员，请参阅亚马逊安全湖用户指南中的移除亚马逊安全湖委托管理员。