Service-verknüpfte Rollen Service-Prinzipale Den vertrauenswürdigen Zugriff aktivieren So deaktivieren Sie den vertrauenswürdigen Zugriff Aktivieren eines delegierten Administratorkontos für Amazon Security Lake Deaktivieren eines delegierten Administrators für Amazon Security Lake

Amazon Security Lake und AWS Organizations

Amazon Security Lake zentralisiert Sicherheitsdaten aus Cloud-, On-Premises- und benutzerdefinierten Quellen in einem Data Lake, der in Ihrem Konto gespeichert ist. Durch die Integration mit Organizations können Sie einen Data Lake erstellen, der Protokolle und Ereignisse in Ihren Konten erfasst. Weitere Informationen finden Sie unter Verwaltung mehrerer Konten mit AWS Organizationsim Amazon Security Lake-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, um Ihnen bei der Integration von Amazon Security Lake zu helfen AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den RegisterDataLakeDelegatedAdministratorAPIaufrufen. Diese Rolle ermöglicht es Amazon Security Lake, unterstützte Operationen innerhalb der Konten Ihrer Organisation in Ihrer Organisation durchzuführen.

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen Amazon Security Lake und Organizations deaktivieren oder wenn Sie das Mitgliedskonto aus der Organisation entfernen.

AWSServiceRoleForSecurityLake

Empfehlung: Verwenden Sie Security Lake RegisterDataLakeDelegatedAdministratorAPI, um Security Lake Zugriff auf Ihr Unternehmen zu gewähren und den delegierten Administrator der Organisation zu registrieren

Wenn Sie „Organizations“ verwendenAPIs, um einen delegierten Administrator zu registrieren, können dienstbezogene Rollen für die Organizations möglicherweise nicht erfolgreich erstellt werden. Verwenden Sie den Security Lake, um die volle Funktionalität sicherzustellen. APIs

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von Amazon Security Lake verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service Principals:

securitylake.amazonaws.com

Vertrauenswürdigen Zugriff mit Amazon Security Lake aktivieren

Wenn Sie mit Security Lake den vertrauenswürdigen Zugriff aktivieren, kann Security Lake automatisch auf Änderungen der Organisationsmitgliedschaft reagieren. Der delegierte Administrator kann Folgendes aktivieren AWS Erfassung von Protokollen aus unterstützten Diensten in einem beliebigen Unternehmenskonto. Weitere Informationen finden Sie unter Serviceverknüpfte Rolle für Amazon Security Lake im Amazon Security Lake-Benutzerhandbuch.

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff nur über die Tools von Organizations aktivieren.

Sie können den vertrauenswürdigen Zugriff aktivieren, indem Sie entweder AWS Organizations Konsole, indem Sie einen ausführen AWS CLI Befehl oder durch Aufrufen einer API Operation in einem der AWS SDKs.

AWS Management Console

So aktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

Melden Sie sich an bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.
Wählen Sie im Navigationsbereich Services.
Wählen Sie Amazon Security Lake in der Liste der Dienste aus.
Wählen Sie Vertrauenswürdigen Zugriff aktivieren.
Geben Sie im Dialogfeld Vertrauenswürdigen Zugriff für Amazon Security Lake aktivieren den Text enable ein, um dies zu bestätigen, und wählen Sie dann Vertrauenswürdigen Zugriff aktivieren aus.
Wenn Sie der Administrator von nur sind AWS Organizations, teilen Sie dem Administrator von Amazon Security Lake mit, dass er diesen Service jetzt mithilfe seiner Konsole aktivieren kann, mit AWS Organizations.

AWS CLI, AWS API

Um den vertrauenswürdigen Dienstzugriff mithilfe der Organizations zu aktivierenCLI/SDK

Sie können Folgendes verwenden AWS CLI Befehle oder API Operationen zur Aktivierung des Zugriffs auf vertrauenswürdige Dienste:

AWS CLI: enable-aws-service-access

Sie können den folgenden Befehl ausführen, um Amazon Security Lake als vertrauenswürdigen Service für Organizations zu aktivieren.
```
$ aws organizations enable-aws-service-access \ 
    --service-principal securitylake.amazonaws.com
```
Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
AWS API: E nableAWSService Zugriff

Deaktivierung des vertrauenswürdigen Zugriffs mit Amazon Security Lake

Nur ein Administrator im Organisationsverwaltungskonto kann den vertrauenswürdigen Zugriff mit Amazon Security Lake deaktivieren.

Sie können den vertrauenswürdigen Zugriff nur über die Tools von Organizations deaktivieren.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie entweder AWS Organizations Konsole, indem Sie eine Organizations ausführen AWS CLI Befehl oder durch Aufrufen einer API Operation Organizations in einem der AWS SDKs.

AWS Management Console

So deaktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

Melden Sie sich an bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.
Wählen Sie im Navigationsbereich Services.
Wählen Sie Amazon Security Lake in der Liste der Dienste aus.
Wählen Sie Vertrauenswürdigen Zugriff deaktivieren.
Geben Sie im Dialogfeld Vertrauenswürdigen Zugriff für Amazon Security Lake deaktivieren den Text disable ein, um dies zu bestätigen, und wählen Sie dann Vertrauenswürdigen Zugriff deaktivieren aus.
Wenn Sie der Administrator von nur sind AWS Organizations, teilen Sie dem Administrator von Amazon Security Lake mit, dass er diesen Service jetzt mithilfe der Konsole oder der Tools deaktivieren kann, mit AWS Organizations.

AWS CLI, AWS API

Um den vertrauenswürdigen Dienstzugriff mit den Organizations zu deaktivierenCLI/SDK

Sie können Folgendes verwenden AWS CLI Befehle oder API Operationen zum Deaktivieren des Zugriffs auf vertrauenswürdige Dienste:

AWS CLI: disable-aws-service-access

Sie können den folgenden Befehl ausführen, um Amazon Security Lake als vertrauenswürdigen Service für Organizations zu deaktivieren.
```
$ aws organizations disable-aws-service-access \
    --service-principal securitylake.amazonaws.com
```
Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
AWS API: D isableAWSService Zugriff

Aktivieren eines delegierten Administratorkontos für Amazon Security Lake

Der delegierte Administrator von Amazon Security Lake fügt weitere Konten in der Organisation als Mitgliedskonten hinzu. Der delegierte Administrator kann Amazon Security Lake aktivieren und Amazon Security Lake-Einstellungen für die Mitgliedskonten konfigurieren. Der delegierte Administrator kann überall in einer Organisation Protokolle sammeln AWS Regionen, in denen Amazon Security Lake aktiviert ist (unabhängig davon, welchen regionalen Endpunkt Sie gerade verwenden).

Sie können den delegierten Administrator auch so einrichten, dass er automatisch neue Konten in der Organisation als Mitglieder hinzufügt. Der delegierte Administrator von Amazon Security Lake hat Zugriff auf die Protokolle und Ereignisse in den zugehörigen Mitgliedskonten. Dementsprechend können Sie Amazon Security Lake so einrichten, dass Daten erfasst werden, die zugehörigen Mitgliedskonten gehören. Sie können Abonnenten auch die Erlaubnis erteilen, Daten zu nutzen, die zugehörigen Mitgliedskonten gehören.

Weitere Informationen finden Sie unter Verwaltung mehrerer Konten mit AWS Organizationsim Amazon Security Lake-Benutzerhandbuch.

Mindestberechtigungen

Nur ein Administrator im Verwaltungskonto der Organizations kann ein Mitgliedskonto als delegierter Administrator für Amazon Security Lake in der Organisation konfigurieren.

Sie können ein delegiertes Administratorkonto angeben, indem Sie die Amazon Security Lake-Konsole, den Amazon Security CreateDatalakeDelegatedAdmin API Lake-Vorgang oder den create-datalake-delegated-admin CLI Befehl verwenden. Alternativ können Sie die Organizations RegisterDelegatedAdministrator CLI oder den SDK Betrieb verwenden. Anweisungen zur Aktivierung eines delegierten Administratorkontos für Amazon Security Lake finden Sie unter Benennen des delegierten Security Lake-Administrators und Hinzufügen von Mitgliedskonten im Amazon Security Lake-Benutzerhandbuch.

Deaktivieren eines delegierten Administrators für Amazon Security Lake

Nur ein Administrator im Verwaltungskonto der Organizations oder im delegierten Administratorkonto von Amazon Security Lake kann ein delegiertes Administratorkonto aus der Organisation entfernen.

Sie können das delegierte Administratorkonto entfernen, indem Sie den Amazon Security DeleteDatalakeDelegatedAdmin API Lake-Vorgang, den delete-datalake-delegated-admin CLI Befehl oder den SDK Vorgang Organizations DeregisterDelegatedAdministrator CLI oder verwenden. Informationen zum Entfernen eines delegierten Administrators mithilfe von Amazon Security Lake finden Sie unter Entfernen des delegierten Amazon Security Lake-Administrators im Amazon Security Lake-Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Amazon-S3-Storage-Lens

AWS Service Catalog