翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Security Lake と AWS Organizations

Amazon Security Lake は、クラウド、オンプレミス、カスタムソースのセキュリティデータを、アカウントに保存されているデータレイクに一元化します。Organizations と統合することで、アカウント全体からログとイベントを収集するデータレイクを作成できます。詳細については、「Amazon Security Lake ユーザーガイド」の「AWS Organizationsで複数のアカウントを管理する」を参照してください。

Amazon Security Lake を と統合するには、以下の情報を参考にしてください AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

を呼び出すと、次のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されますRegisterDataLakeDelegatedAdministratorAPI。このロールにより、Amazon Security Lake はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Amazon Security Lake と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Amazon Security Lake によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

Amazon Security Lake との信頼されたアクセスの有効化

Security Lake との信頼されたアクセスを有効化すると、組織のメンバーシップに変更があった場合、Security Lake が自動的に対応するようになります。委任管理者は、任意の組織アカウントでサポートされているサービスからの AWS ログ収集を有効にできます。詳細については、「Amazon Security Lake ユーザーガイド」の「Amazon Security Lake のサービスにリンクされたロール」を参照してください。

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

信頼されたアクセスは、Organizations ツールを使用してのみ有効にできます。

信頼されたアクセスを有効にするには、 AWS Organizations コンソールを使用するか、 AWS CLI コマンドを実行するか、 のいずれかで APIオペレーションを呼び出します AWS SDKs。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを有効にするには

1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

2. ナビゲーションペインで [Services (サービス)] を選択します。

3. サービスのリストで [Amazon Security Lake] を選択します。

4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

5. Amazon Security Lake の信頼されたアクセスを有効にするダイアログボックスで、確認のために有効化と入力し、信頼されたアクセスを有効にするを選択します。

6. の管理者のみである場合は AWS Organizations、Amazon Security Lake の管理者に、サービスコンソール からそのサービスが と AWS Organizations 連携できるようになったことを知らせます。

AWS CLI, AWS API

OrganizationsCLI/ を使用して信頼されたサービスアクセスを有効にするにはSDK

次の AWS CLI コマンドまたはAPIオペレーションを使用して、信頼されたサービスアクセスを有効にします。

• AWS CLI: enable-aws-service-access

  次のコマンドを実行して、Amazon Security Lake を Organizations の信頼されたサービスとして有効にします。

  $ aws organizations enable-aws-service-access \ 
      --service-principal securitylake.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: E nableAWSServiceアクセス

Amazon Security Lake との信頼できるアクセスの無効化

Amazon Security Lake との信頼されたアクセスを無効にできるのは、Organizations の管理アカウントの管理者だけです。

Organizations ツールを使用してのみ、信頼されたアクセスを無効にできます。

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの で Organizations APIオペレーションを呼び出します AWS SDKs。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを無効にするには

1. AWS Organizations コンソール にサインインします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

2. ナビゲーションペインで [Services (サービス)] を選択します。

3. サービスのリストで [Amazon Security Lake] を選択します。

4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

5. Amazon Security Lake の信頼されたアクセスを無効にする ダイアログボックスで、「確認のために無効化」と入力し、「信頼されたアクセスを無効にする」を選択します。

6. の管理者のみの場合は AWS Organizations、Amazon Security Lake の管理者に、サービスコンソールまたはツール を使用して、そのサービスが で AWS Organizations 動作することを無効にできることを伝えます。

AWS CLI, AWS API

Organizations CLI/ を使用して信頼されたサービスアクセスを無効にするにはSDK

次の AWS CLI コマンドまたはAPIオペレーションを使用して、信頼されたサービスへのアクセスを無効にできます。

• AWS CLI: disable-aws-service-access

  次のコマンドを実行して、Organizations で Amazon Security Lake を信頼されたサービスとして無効にします。

  $ aws organizations disable-aws-service-access \
      --service-principal securitylake.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: D isableAWSServiceアクセス

Amazon Security Lake の委任された管理者アカウントの有効化

Amazon Security Lake の委任された管理者は、組織内の他のアカウントをメンバーアカウントとして追加します。委任された管理者は、Amazon Security Lake を有効にし、メンバーアカウントの Amazon Security Lake の設定を行うことができます。委任管理者は、Amazon Security Lake が有効になっているすべての AWS リージョン (現在使用しているリージョンエンドポイントに関係なく) の組織全体のログを収集できます。

委任された管理者を設定して、組織の新しいアカウントをメンバーとして自動的に追加することもできます。Amazon Security Lake の委任された管理者は、関連するメンバーアカウントのログとイベントにアクセスできます。そのため、関連するメンバーアカウントが所有するデータを収集するように Amazon Security Lake を設定することができます。また、関連するメンバーアカウントが所有するデータを使用する権限をサブスクライバーに付与することもできます。

詳細については、「Amazon Security Lake ユーザーガイド」の「AWS Organizationsで複数のアカウントを管理する」を参照してください。

Amazon Security Lake コンソール、Amazon Security Lake CreateDatalakeDelegatedAdminAPIオペレーション、または create-datalake-delegated-admin CLI コマンドを使用して、委任管理者アカウントを指定できます。または、Organizations RegisterDelegatedAdministratorCLIまたは SDKオペレーションを使用することもできます。Amazon Security Lake の委任管理者アカウントを有効にする手順については、「Amazon Security Lake ユーザーガイド」の「Designating the delegated Security Lake administrator and adding member accounts」を参照してください。

AWS CLI, AWS API

CLI または のいずれかを使用して AWS 委任管理者アカウントを設定する場合は AWS SDKs、次のコマンドを使用できます。

• AWS CLI:

  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \ --service-principal securitylake.amazonaws.com

• AWS SDK: Organizations RegisterDelegatedAdministratorオペレーションとメンバーアカウントの ID 番号を呼び出し、アカウントサービスプリンシパルをパラメータaccount.amazonaws.comとして識別します。

Amazon Security Lake の委任管理者の無効化

組織から委任された管理者アカウントを削除できるのは、Organizations の管理者アカウントまたは Amazon Security Lake の委任された管理者アカウントのいずれかの管理者のみです。

委任管理者アカウントを削除するには、Amazon Security Lake DeregisterDataLakeDelegatedAdministratorAPIオペレーション、 deregister-data-lake-delegated-administrator CLI コマンド、または Organizations DeregisterDelegatedAdministratorCLIまたは SDKオペレーションを使用します。Amazon Security Lake を使用して委任された管理者を削除するには、「Amazon Security Lake ユーザーガイド」の「Removing the Amazon Security Lake delegated administrator 」を参照してください。