Danau Keamanan Amazon dan AWS Organizations - AWS Organizations
Peran terkait layananPrinsipal layananAktifkan akses terpercayaNonaktifkan akses terpercayaMengaktifkan akun administrator yang didelegasikan untuk Amazon Security LakeMenonaktifkan administrator yang didelegasikan untuk Amazon Security Lake

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Danau Keamanan Amazon dan AWS Organizations

Amazon Security Lake memusatkan data keamanan dari sumber cloud, lokal, dan kustom ke dalam data lake yang disimpan di akun Anda. Dengan mengintegrasikan dengan Organizations, Anda dapat membuat data lake yang mengumpulkan log dan peristiwa di seluruh akun Anda. Untuk informasi selengkapnya lihat Mengelola beberapa akun dengan AWS Organizationsdi panduan pengguna Amazon Security Lake.

Gunakan informasi berikut untuk membantu Anda mengintegrasikan Amazon Security Lake dengan AWS Organizations.

Peran tertaut layanan yang dibuat saat Anda mengaktifkan integrasi

Peran terkait layanan berikut dibuat secara otomatis di akun manajemen organisasi Anda saat Anda memanggil. RegisterDataLakeDelegatedAdministratorAPI Peran ini memungkinkan Amazon Security Lake untuk melakukan operasi yang didukung dalam akun organisasi Anda di organisasi Anda.

Anda dapat menghapus atau mengubah peran ini hanya jika Anda menonaktifkan akses tepercaya antara Amazon Security Lake dan Organizations, atau jika Anda menghapus akun anggota dari organisasi.

  • AWSServiceRoleForSecurityLake

Rekomendasi: Gunakan Security Lake RegisterDataLakeDelegatedAdministrator API untuk memungkinkan Security Lake mengakses Organisasi Anda dan untuk mendaftarkan administrator yang didelegasikan Organisasi

Jika Anda menggunakan Organizations' APIs untuk mendaftarkan administrator yang didelegasikan, peran terkait layanan untuk Organizations mungkin tidak berhasil dibuat. Untuk memastikan fungsionalitas penuh, gunakan Danau KeamananAPIs.

Prinsipal layanan yang digunakan oleh peran tertaut layanan

Peran tertaut layanan di bagian sebelumnya dapat diambil hanya oleh prinsipal layanan yang diotorisasi oleh hubungan kepercayaan yang ditetapkan untuk peran tersebut. Peran terkait layanan yang digunakan oleh Amazon Security Lake memberikan akses ke prinsip layanan berikut:

  • securitylake.amazonaws.com

Mengaktifkan akses tepercaya dengan Amazon Security Lake

Saat Anda mengaktifkan akses tepercaya dengan Security Lake, Security Lake dapat bereaksi secara otomatis terhadap perubahan keanggotaan organisasi. Administrator yang didelegasikan dapat mengaktifkan AWS pengumpulan log dari layanan yang didukung di akun organisasi apa pun. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk Amazon Security Lake di panduan pengguna Amazon Security Lake.

Untuk informasi tentang izin yang diperlukan untuk mengaktifkan akses terpercaya, lihat Izin yang diperlukan untuk mengaktifkan akses terpercaya.

Anda dapat mengaktifkan akses terpercaya hanya menggunakan alat Organizations.

Anda dapat mengaktifkan akses tepercaya dengan menggunakan salah satu AWS Organizations konsol, dengan menjalankan AWS CLI perintah, atau dengan memanggil API operasi di salah satu AWS SDKs.

AWS Management Console
Untuk mengaktifkan akses layanan terpercaya menggunakan konsol Organizations

  1. Masuk ke AWS Organizations konsol. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pada panel navigasi, silakan pilih Layanan.

  3. Pilih Amazon Security Lake dalam daftar layanan.

  4. Pilih Aktifkan akses terpercaya.

  5. Di kotak dialog Aktifkan akses tepercaya untuk Amazon Security Lake, ketik aktifkan untuk mengonfirmasinya, lalu pilih Aktifkan akses tepercaya.

  6. Jika Anda adalah administrator dari AWS Organizations, beri tahu administrator Amazon Security Lake bahwa mereka sekarang dapat mengaktifkan layanan itu menggunakan konsolnya untuk bekerja dengannya AWS Organizations.

AWS CLI, AWS API
Untuk mengaktifkan akses layanan tepercaya menggunakan OrganizationsCLI/SDK

Anda dapat menggunakan yang berikut ini AWS CLI perintah atau API operasi untuk mengaktifkan akses layanan tepercaya:

  • AWS CLI: enable-aws-service-access

    Anda dapat menjalankan perintah berikut untuk mengaktifkan Amazon Security Lake sebagai layanan tepercaya dengan Organizations.

    $ aws organizations enable-aws-service-access \ 
    --service-principal securitylake.amazonaws.com

    Perintah ini tidak menghasilkan output saat berhasil.

  • AWS API: nableAWSServiceAkses E

Menonaktifkan akses tepercaya dengan Amazon Security Lake

Hanya administrator di akun manajemen Organizations yang dapat menonaktifkan akses tepercaya dengan Amazon Security Lake.

Anda dapat menonaktifkan akses terpercaya hanya menggunakan alat Organizations.

Anda dapat menonaktifkan akses tepercaya dengan menggunakan salah satu AWS Organizations konsol, dengan menjalankan Organizations AWS CLI perintah, atau dengan memanggil API operasi Organizations di salah satu AWS SDKs.

AWS Management Console
Untuk menonaktifkan akses layanan terpercaya menggunakan konsol Organizations

  1. Masuk ke AWS Organizations konsol. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pada panel navigasi, silakan pilih Layanan.

  3. Pilih Amazon Security Lake dalam daftar layanan.

  4. Pilih Menonaktifkan akses terpercaya.

  5. Di kotak dialog Nonaktifkan akses tepercaya untuk Amazon Security Lake, ketik nonaktifkan untuk mengonfirmasinya, lalu pilih Nonaktifkan akses tepercaya.

  6. Jika Anda adalah administrator dari AWS Organizations, beri tahu administrator Amazon Security Lake bahwa mereka sekarang dapat menonaktifkan layanan itu menggunakan konsol atau alatnya agar tidak berfungsi AWS Organizations.

AWS CLI, AWS API
Untuk menonaktifkan akses layanan tepercaya menggunakan OrganizationsCLI/SDK

Anda dapat menggunakan yang berikut ini AWS CLI perintah atau API operasi untuk menonaktifkan akses layanan tepercaya:

  • AWS CLI: disable-aws-service-access

    Anda dapat menjalankan perintah berikut untuk menonaktifkan Amazon Security Lake sebagai layanan tepercaya dengan Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal securitylake.amazonaws.com

    Perintah ini tidak menghasilkan output saat berhasil.

  • AWS API: D isableAWSService Akses

Mengaktifkan akun administrator yang didelegasikan untuk Amazon Security Lake

Administrator yang didelegasikan Amazon Security Lake menambahkan akun lain di organisasi sebagai akun anggota. Administrator yang didelegasikan dapat mengaktifkan Amazon Security Lake dan mengonfigurasi pengaturan Amazon Security Lake untuk akun anggota. Administrator yang didelegasikan dapat mengumpulkan log di seluruh organisasi AWS Wilayah tempat Amazon Security Lake diaktifkan (terlepas dari titik akhir Regional mana yang Anda gunakan saat ini).

Anda juga dapat mengatur administrator yang didelegasikan untuk secara otomatis menambahkan akun baru di organisasi sebagai anggota. Administrator yang didelegasikan Amazon Security Lake memiliki akses ke log dan peristiwa di akun anggota terkait. Dengan demikian, Anda dapat mengatur Amazon Security Lake untuk mengumpulkan data yang dimiliki oleh akun anggota terkait. Anda juga dapat memberikan izin kepada pelanggan untuk mengkonsumsi data yang dimiliki oleh akun anggota terkait.

Untuk informasi selengkapnya lihat Mengelola beberapa akun dengan AWS Organizationsdi panduan pengguna Amazon Security Lake.

Izin minimum

Hanya administrator di akun manajemen Organisasi yang dapat mengonfigurasi akun anggota sebagai administrator yang didelegasikan untuk Amazon Security Lake di organisasi

Anda dapat menentukan akun administrator yang didelegasikan menggunakan konsol Amazon Security Lake, CreateDatalakeDelegatedAdmin API operasi Amazon Security Lake, atau create-datalake-delegated-admin CLI perintah. Atau, Anda dapat menggunakan Organizations RegisterDelegatedAdministrator CLI atau SDK Operation. Untuk petunjuk tentang mengaktifkan akun administrator yang didelegasikan untuk Amazon Security Lake, lihat Menunjuk administrator Security Lake yang didelegasikan dan menambahkan akun anggota di panduan pengguna Amazon Security Lake.

AWS CLI, AWS API

Jika Anda ingin mengonfigurasi akun administrator yang didelegasikan menggunakan AWS CLIatau salah satu AWS SDKs, Anda dapat menggunakan perintah berikut:

  • AWS CLI: 

    $  aws organizations register-delegated-administrator \
    --account-id 123456789012 \ --service-principal securitylake.amazonaws.com

  • AWS SDK: Hubungi RegisterDelegatedAdministrator operasi Organizations dan nomor ID akun anggota dan identifikasi prinsipal layanan akun account.amazonaws.com sebagai parameter.

Menonaktifkan administrator yang didelegasikan untuk Amazon Security Lake

Hanya administrator di akun manajemen Organizations atau akun administrator yang didelegasikan Amazon Security Lake yang dapat menghapus akun administrator yang didelegasikan dari organisasi.

Anda dapat menghapus akun administrator yang didelegasikan dengan menggunakan DeleteDatalakeDelegatedAdmin API operasi Amazon Security Lake, delete-datalake-delegated-admin CLI perintah, atau dengan menggunakan Organizations DeregisterDelegatedAdministrator CLI atau SDK operasi. Untuk menghapus administrator yang didelegasikan menggunakan Amazon Security Lake, lihat Menghapus administrator yang didelegasikan Amazon Security Lake di panduan pengguna Amazon Security Lake.