Gestion de plusieurs comptes AWS Organizations dans Security Lake - Amazon Security Lake

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion de plusieurs comptes AWS Organizations dans Security Lake

Vous pouvez utiliser Amazon Security Lake pour collecter des journaux et des événements de sécurité à partir de plusieurs sites Comptes AWS. Pour automatiser et rationaliser la gestion de plusieurs comptes, nous vous recommandons vivement d'intégrer Security Lake à AWS Organizations.

Dans Organizations, le compte que vous utilisez pour créer l'organisation est appelé compte de gestion. Pour intégrer Security Lake à Organizations, le compte de gestion doit désigner un compte administrateur Security Lake délégué pour l'organisation.

L'administrateur délégué de Security Lake peut activer Security Lake et configurer les paramètres de Security Lake pour les comptes des membres. L'administrateur délégué peut collecter des journaux et des événements au sein de l'organisation partout Régions AWS où Security Lake est activé (quel que soit le point de terminaison régional qu'il utilise actuellement). L'administrateur délégué peut également configurer Security Lake pour collecter automatiquement les données des journaux et des événements pour les nouveaux comptes de l'organisation.

L'administrateur délégué de Security Lake a accès aux données des journaux et des événements pour les comptes membres associés. En conséquence, ils peuvent configurer Security Lake pour collecter les données détenues par les comptes membres associés. Ils peuvent également autoriser les abonnés à utiliser les données détenues par les comptes membres associés.

Pour activer Security Lake pour plusieurs comptes d'une organisation, le compte de gestion de l'organisation doit d'abord désigner un compte administrateur Security Lake délégué pour l'organisation. L'administrateur délégué peut ensuite activer et configurer Security Lake pour l'organisation.

Important

Utilisez Security Lake RegisterDataLakeDelegatedAdministratorAPIpour autoriser Security Lake à accéder à votre organisation et enregistrer l'administrateur délégué de l'organisation.

Si vous utilisez « Organisations » APIs pour enregistrer un administrateur délégué, les rôles liés aux services pour les organisations risquent de ne pas être créés correctement. Pour garantir une fonctionnalité complète, utilisez le Security LakeAPIs.

Pour plus d'informations sur la configuration des organisations, voir Création et gestion d'une organisation dans le Guide de AWS Organizations l'utilisateur.

Considérations importantes pour les administrateurs délégués de Security Lake

Prenez note des facteurs suivants qui définissent le comportement d'un administrateur délégué dans Security Lake :

L'administrateur délégué est le même dans toutes les régions.

Lorsque vous créez l'administrateur délégué, celui-ci devient l'administrateur délégué pour chaque région dans laquelle vous activez Security Lake.

Nous vous recommandons de définir le compte Log Archive en tant qu'administrateur délégué de Security Lake.

Le compte Log Archive est un Compte AWS compte dédié à l'ingestion et à l'archivage de tous les journaux liés à la sécurité. L'accès à ce compte est généralement limité à quelques utilisateurs, tels que les auditeurs et les équipes de sécurité pour les enquêtes de conformité. Nous vous recommandons de définir le compte Log Archive en tant qu'administrateur délégué de Security Lake afin que vous puissiez consulter les journaux et les événements liés à la sécurité avec un minimum de changement de contexte.

En outre, nous recommandons que seul un nombre minimal d'utilisateurs ait un accès direct au compte Log Archive. En dehors de ce groupe de sélection, si un utilisateur a besoin d'accéder aux données collectées par Security Lake, vous pouvez l'ajouter en tant qu'abonné de Security Lake. Pour plus d'informations sur l'ajout d'un abonné, consultezGestion des abonnés dans Security Lake.

Si vous n'utilisez pas le AWS Control Tower service, vous n'avez peut-être pas de compte Log Archive. Pour plus d'informations sur le compte Log Archive, voir Security OU — Compte Log Archive dans l'architecture AWS de référence de sécurité.

Une organisation ne peut avoir qu'un seul administrateur délégué.

Vous ne pouvez avoir qu'un seul administrateur délégué de Security Lake par organisation.

Le compte de gestion de l'organisation ne peut pas être l'administrateur délégué.

Sur la base des meilleures pratiques de AWS sécurité et du principe du moindre privilège, le compte de gestion de votre organisation ne peut pas être l'administrateur délégué.

L'administrateur délégué doit faire partie d'une organisation active.

Lorsque vous supprimez une organisation, le compte d'administrateur délégué ne peut plus gérer Security Lake. Vous devez désigner un administrateur délégué d'une autre organisation ou utiliser Security Lake avec un compte autonome ne faisant pas partie d'une organisation.

IAMautorisations requises pour désigner l'administrateur délégué

Lorsque vous désignez l'administrateur délégué de Security Lake, vous devez disposer des autorisations nécessaires pour activer Security Lake et utiliser certaines AWS Organizations API opérations répertoriées dans la déclaration de politique suivante.

Vous pouvez ajouter l'instruction suivante à la fin d'une politique AWS Identity and Access Management (IAM) pour accorder ces autorisations.

{ "Sid": "Grant permissions to designate a delegated Security Lake administrator", "Effect": "Allow", "Action": [ "securitylake:RegisterDataLakeDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }

Désignation de l'administrateur délégué de Security Lake et ajout de comptes de membres

Choisissez votre méthode d'accès pour désigner le compte administrateur délégué de Security Lake pour votre organisation. Seul le compte de gestion de l'organisation peut désigner le compte d'administrateur délégué pour son organisation. Le compte de gestion de l'organisation ne peut pas être le compte d'administrateur délégué de leur organisation.

Note
  • Le compte de gestion de l'organisation doit utiliser l'RegisterDataLakeDelegatedAdministratoropération Security Lake pour désigner le compte administrateur Security Lake délégué. La désignation de l'administrateur délégué de Security Lake via Organizations n'est pas prise en charge.

  • Si vous souhaitez modifier l'administrateur délégué de l'organisation, vous devez d'abord supprimer l'administrateur délégué actuel. Vous pouvez ensuite désigner un nouvel administrateur délégué.

Console
  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

    Connectez-vous à l'aide des informations d'identification du compte de gestion de votre organisation.

    • Si Security Lake n'est pas encore activé, sélectionnez Get Started, puis désignez l'administrateur délégué de Security Lake sur la page Activer Security Lake.

    • Si Security Lake est déjà activé, désignez l'administrateur délégué de Security Lake sur la page Paramètres.

  2. Sous Déléguer l'administration à un autre compte, sélectionnez le compte qui fait déjà office d'administrateur délégué pour les autres services AWS de sécurité (recommandé). Vous pouvez également saisir l' Compte AWS identifiant à 12 chiffres du compte que vous souhaitez désigner comme administrateur délégué de Security Lake.

  3. Choisisssez Delegate (Déléguer). Si Security Lake n'est pas déjà activé, la désignation de l'administrateur délégué activera Security Lake pour ce compte dans votre région actuelle.

API

Pour désigner l'administrateur délégué par programmation, utilisez le RegisterDataLakeDelegatedAdministratorfonctionnement du lac de sécuritéAPI. Vous devez appeler l'opération depuis le compte de gestion de l'organisation. Si vous utilisez le AWS CLI, exécutez le register-data-lake-delegated-administratorcommande depuis le compte de gestion de l'organisation. Dans votre demande, utilisez le accountId paramètre pour spécifier l'ID de compte à 12 chiffres du compte Compte AWS à désigner comme compte d'administrateur délégué pour l'organisation.

Par exemple, la AWS CLI commande suivante désigne l'administrateur délégué. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake register-data-lake-delegated-administrator \ --account-id 123456789012

L'administrateur délégué peut également choisir d'automatiser la collecte des données des AWS journaux et des événements pour les nouveaux comptes de l'organisation. Avec cette configuration, Security Lake est automatiquement activé dans les nouveaux comptes lorsque ceux-ci sont ajoutés à l'organisation dans AWS Organizations. En tant qu'administrateur délégué, vous pouvez activer cette configuration à l'aide du CreateDataLakeOrganizationConfigurationfonctionnement du Security Lake API ou, si vous utilisez le AWSCLI, en exécutant le create-data-lake-organization-configurationcommande. Dans votre demande, vous pouvez également spécifier certains paramètres de configuration pour les nouveaux comptes.

Par exemple, la AWS CLI commande suivante active automatiquement Security Lake et la collecte des journaux de requêtes du résolveur Amazon Route 53, des AWS Security Hub résultats et des journaux de flux Amazon Virtual Private Cloud (AmazonVPC) dans les nouveaux comptes d'entreprise. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake create-data-lake-organization-configuration \ --auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"ROUTE53"},{"sourceName":"SH_FINDINGS"},{"sourceName":"VPC_FLOW"}]}]'

Une fois que le compte de gestion de l'organisation a désigné l'administrateur délégué, celui-ci peut activer et configurer Security Lake pour l'organisation. Cela inclut l'activation et la configuration de Security Lake pour collecter les données des AWS journaux et des événements pour les comptes individuels de l'organisation. Pour de plus amples informations, veuillez consulter Collecte de données Services AWS depuis Security Lake.

Vous pouvez utiliser le GetDataLakeOrganizationConfigurationopération pour obtenir des informations sur la configuration actuelle de votre organisation pour les nouveaux comptes membres.

Suppression de l'administrateur délégué de Security Lake

Seul le compte de gestion de l'organisation peut supprimer l'administrateur délégué de Security Lake pour son organisation. Si vous souhaitez modifier l'administrateur délégué de l'organisation, supprimez l'administrateur délégué actuel, puis désignez le nouvel administrateur délégué.

Important

La suppression de l'administrateur délégué de Security Lake supprime votre lac de données et désactive Security Lake pour les comptes de votre organisation.

Vous ne pouvez pas modifier ou supprimer l'administrateur délégué à l'aide de la console Security Lake. Ces tâches ne peuvent être effectuées que par programmation.

Pour supprimer l'administrateur délégué par programme, utilisez le DeregisterDataLakeDelegatedAdministratorfonctionnement du lac de sécuritéAPI. Vous devez appeler l'opération depuis le compte de gestion de l'organisation. Si vous utilisez le AWS CLI, exécutez le deregister-data-lake-delegated-administratorcommande depuis le compte de gestion de l'organisation.

Par exemple, la AWS CLI commande suivante supprime l'administrateur délégué de Security Lake.

$ aws securitylake deregister-data-lake-delegated-administrator

Pour conserver la désignation d'administrateur délégué mais modifier les paramètres de configuration automatique des nouveaux comptes membres, utilisez le DeleteDataLakeOrganizationConfigurationfonctionnement du Security LakeAPI, ou, si vous utilisez le AWS CLI, delete-data-lake-organization-configurationcommande. Seul l'administrateur délégué peut modifier ces paramètres pour l'organisation.

Par exemple, la AWS CLI commande suivante arrête la collecte automatique des résultats du Security Hub à partir des nouveaux comptes membres qui rejoignent l'organisation. Les nouveaux comptes membres ne transmettront pas les résultats du Security Hub au lac de données une fois que l'administrateur délégué aura invoqué cette opération. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake delete-data-lake-organization-configuration \ --auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS"}]}]'

Accès sécurisé à Security Lake

Une fois que vous avez configuré Security Lake pour une organisation, le compte AWS Organizations de gestion peut permettre un accès sécurisé avec Security Lake. L'accès sécurisé permet à Security Lake de créer un rôle IAM lié à un service et d'effectuer des tâches au sein de votre organisation et de ses comptes en votre nom. Pour plus d'informations, consultez la section Utilisation AWS Organizations avec d'autres Services AWS dans le Guide de AWS Organizations l'utilisateur.

En tant qu'utilisateur du compte de gestion de l'organisation, vous pouvez désactiver l'accès sécurisé à Security Lake in AWS Organizations. Pour obtenir des instructions sur la désactivation de l'accès sécurisé, voir Comment activer ou désactiver l'accès sécurisé dans le Guide de l'AWS Organizations utilisateur.

Nous recommandons de désactiver l'accès sécurisé si celui de l'administrateur délégué Compte AWS est suspendu, isolé ou fermé.