Amazon Security Lake e AWS Organizations - AWS Organizations
Ruoli collegati ai serviziPrincipali del servizioAbilitazione dell'accesso attendibileDisabilitare l'accesso attendibileAbilitazione di un account amministratore delegato per Amazon Security LakeDisabilitazione di un amministratore delegato per Amazon Security Lake

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Amazon Security Lake e AWS Organizations

Amazon Security Lake centralizza i dati di sicurezza provenienti da origini cloud, on-premise e personalizzate in un data lake archiviato nel tuo account. Grazie all'integrazione con Organizations, puoi creare un data lake che raccoglie log ed eventi nei tuoi account. Per ulteriori informazioni, consulta Gestione di più account con AWS Organizationsnella guida per l'utente di Amazon Security Lake.

Utilizza le seguenti informazioni per aiutarti a integrare Amazon Security Lake con AWS Organizations.

Ruoli collegati ai servizi creato quando è stata abilitata l'integrazione

Il seguente ruolo collegato al servizio viene creato automaticamente nell'account di gestione della tua organizzazione quando chiami il. RegisterDataLakeDelegatedAdministratorAPI Questo ruolo consente ad Amazon Security Lake di eseguire le operazioni supportate all'interno degli account dell'organizzazione.

Puoi eliminare o modificare questo ruolo solo se disabiliti l'accesso affidabile tra Amazon Security Lake e Organizations o se rimuovi l'account membro dall'organizzazione.

  • AWSServiceRoleForSecurityLake

Raccomandazione: usa Security RegisterDataLakeDelegatedAdministrator API Lake's per consentire a Security Lake l'accesso alla tua organizzazione e per registrare l'amministratore delegato dell'organizzazione

Se si utilizza Organizations APIs per registrare un amministratore delegato, è possibile che i ruoli collegati ai servizi per le Organizzazioni non vengano creati correttamente. Per garantire la piena funzionalità, utilizza Security Lake. APIs

Principali del servizio utilizzati dai ruoli collegati ai servizi

Il ruolo collegato ai servizi nella sezione precedente può essere assunto solo dai principali del servizio autorizzati dalle relazioni di attendibilità definite per il ruolo. I ruoli collegati ai servizi utilizzati da Amazon Security Lake garantiscono l'accesso ai seguenti principali di servizio:

  • securitylake.amazonaws.com

Abilitare l'accesso affidabile con Amazon Security Lake

Quando abiliti l'accesso attendibile con Security Lake, quest'ultimo può reagire automaticamente ai cambiamenti nell'appartenenza all'organizzazione. L'amministratore delegato può abilitare AWS raccolta di registri dai servizi supportati in qualsiasi account dell'organizzazione. Per ulteriori informazioni, consulta il ruolo collegato al servizio per Amazon Security Lake nella Guida per l'utente di Amazon Security Lake.

Per informazioni sulle autorizzazioni necessarie per abilitare l'accesso attendibile, consulta Autorizzazioni necessarie per abilitare l'accesso sicuro.

Puoi abilitare l'accesso attendibile utilizzando solo gli strumenti di Organizations.

È possibile abilitare l'accesso affidabile utilizzando uno dei AWS Organizations console, eseguendo un AWS CLI comando o chiamando un'APIoperazione in uno dei AWS SDKs.

AWS Management Console
Per abilitare l'accesso al servizio attendibile tramite la console Organizations

  1. Accedere a AWS Organizations console. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nel riquadro di navigazione, scegli Servizi.

  3. Scegli Amazon Security Lake nell'elenco dei servizi.

  4. Scegliere Enable trusted access (Abilita accesso sicuro).

  5. Nella finestra di dialogo Abilita accesso affidabile per Amazon Security Lake, digita enable per confermarlo, quindi scegli Abilita accesso affidabile.

  6. Se sei l'amministratore di solo AWS Organizations, comunica all'amministratore di Amazon Security Lake che ora può abilitare quel servizio utilizzando la sua console con cui lavorare AWS Organizations.

AWS CLI, AWS API
Per abilitare l'accesso affidabile ai servizi utilizzando OrganizationsCLI/SDK

È possibile utilizzare quanto segue AWS CLI comandi o API operazioni per abilitare l'accesso affidabile ai servizi:

  • AWS CLI: enable-aws-service-access

    Puoi eseguire il seguente comando per abilitare Amazon Security Lake come servizio attendibile con Organizations.

    $ aws organizations enable-aws-service-access \ 
    --service-principal securitylake.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: E nableAWSService Accesso

Disabilitazione dell'accesso affidabile con Amazon Security Lake

Solo un amministratore dell'account di gestione Organizations può disabilitare l'accesso affidabile con Amazon Security Lake.

Puoi disabilitare l'accesso attendibile utilizzando solo gli strumenti di Organizations.

Puoi disabilitare l'accesso affidabile utilizzando uno dei AWS Organizations console, eseguendo un Organizations AWS CLI comando, o chiamando un'APIoperazione Organizations in uno dei AWS SDKs.

AWS Management Console
Per disabilitare l'accesso al servizio attendibile utilizzando la console Organizations

  1. Accedi a AWS Organizations console. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nel riquadro di navigazione, scegli Servizi.

  3. Scegli Amazon Security Lake nell'elenco dei servizi.

  4. Scegli Disable trusted access (Disabilita accesso attendibile).

  5. Nella finestra di dialogo Disabilita l'accesso affidabile per Amazon Security Lake, digita disable per confermarlo, quindi scegli Disabilita accesso affidabile.

  6. Se sei l'amministratore di solo AWS Organizations, comunica all'amministratore di Amazon Security Lake che ora può disabilitare quel servizio utilizzando la console o gli strumenti con cui lavorare AWS Organizations.

AWS CLI, AWS API
Per disabilitare l'accesso affidabile ai servizi utilizzando OrganizationsCLI/SDK

È possibile utilizzare quanto segue AWS CLI comandi o API operazioni per disabilitare l'accesso affidabile ai servizi:

  • AWS CLI: disable-aws-service-access

    Puoi eseguire il comando seguente per disabilitare Amazon Security Lake come servizio attendibile con Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal securitylake.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: D isableAWSService Accesso

Abilitazione di un account amministratore delegato per Amazon Security Lake

L'amministratore delegato di Amazon Security Lake aggiunge altri account dell'organizzazione come account membro. L'amministratore delegato può abilitare Amazon Security Lake e configurare le impostazioni di Amazon Security Lake per gli account dei membri. L'amministratore delegato può raccogliere tutti i log di un'organizzazione AWS Regioni in cui Amazon Security Lake è abilitato (indipendentemente dall'endpoint regionale attualmente in uso).

Puoi anche configurare l'amministratore delegato per aggiungere automaticamente nuovi account nell'organizzazione come membri. L'amministratore delegato di Amazon Security Lake ha accesso ai log e agli eventi negli account dei membri associati. Di conseguenza, puoi configurare Amazon Security Lake per raccogliere dati di proprietà degli account dei membri associati. Puoi anche concedere agli abbonati l'autorizzazione per utilizzare i dati di proprietà degli account membri associati.

Per ulteriori informazioni, consulta Gestione di più account con AWS Organizationsnella guida per l'utente di Amazon Security Lake.

Autorizzazioni minime

Solo un amministratore dell'account di gestione Organizations può configurare un account membro come amministratore delegato per Amazon Security Lake nell'organizzazione.

Puoi specificare un account amministratore delegato utilizzando la console Amazon Security Lake, l'CreateDatalakeDelegatedAdminAPIoperazione Amazon Security Lake o il create-datalake-delegated-admin CLI comando. In alternativa, puoi utilizzare l'organizzazione RegisterDelegatedAdministrator CLI o SDK l'operazione. Per istruzioni sull'attivazione di un account amministratore delegato per Amazon Security Lake, consulta Designazione dell'amministratore delegato di Security Lake e aggiunta di account membro nella guida per l'utente di Amazon Security Lake.

AWS CLI, AWS API

Se desideri configurare un account amministratore delegato utilizzando il AWS CLIo uno dei AWS SDKs, è possibile utilizzare i seguenti comandi:

  • AWS CLI: 

    $  aws organizations register-delegated-administrator \
    --account-id 123456789012 \ --service-principal securitylake.amazonaws.com

  • AWS SDK: richiama l'RegisterDelegatedAdministratoroperazione Organizations e il numero ID dell'account membro e identifica il responsabile del servizio dell'account account.amazonaws.com come parametri.

Disabilitazione di un amministratore delegato per Amazon Security Lake

Solo un amministratore dell'account di gestione Organizations o dell'account amministratore delegato di Amazon Security Lake può rimuovere un account amministratore delegato dall'organizzazione.

Puoi rimuovere l'account amministratore delegato utilizzando l'DeleteDatalakeDelegatedAdminAPIoperazione Amazon Security Lake, il delete-datalake-delegated-admin CLI comando o utilizzando l'SDKoperazione Organizations DeregisterDelegatedAdministrator CLI o. Per rimuovere un amministratore delegato utilizzando Amazon Security Lake, consulta Rimozione dell'amministratore delegato di Amazon Security Lake nella guida per l'utente di Amazon Security Lake.