委任された Security Lake 管理者に関する重要な考慮事項 IAM 委任された管理者を指定するために必要なアクセス許可委任された Security Lake 管理者を指定し、メンバーアカウントを追加します。委任された Security Lake 管理者を削除する。Security Lake の信頼できるアクセス

Security Lake AWS Organizations でのでの複数のアカウントの管理

Amazon Security Lake を使用して、複数の AWS アカウントからセキュリティログとイベントを収集できます。複数のアカウントの管理を自動化および合理化するには、Security Lake をAWS Organizationsと統合することを強くお勧めします。

組織では、組織の作成に使用するアカウントは管理アカウントと呼ばれます。Security Lake をOrganizations と統合するには、管理アカウントが組織の委任された Security Lake 管理者アカウントを指定する必要があります。

委任された Security Lake 管理者は、Security Lake を有効にし、メンバーアカウントの Security Lake 設定を構成できます。委任された管理者は、Security Lake が有効になってい AWS リージョンるすべてので (現在使用しているリージョンエンドポイントに関係なく) 組織全体のログとイベントを収集できます。委任管理者は、新しい組織アカウントのログとイベントデータを自動的に収集するように Security Lake を設定することもできます。

委任された Security Lake 管理者は、関連付けられたメンバーアカウントのログおよびイベントデータにアクセスできます。したがって、関連するメンバーアカウントが所有するデータを収集するように Security Lake を構成できます。また、関連付けられたメンバーアカウントが所有するデータを使用する権限をサブスクライバーに付与することもできます。

組織内の複数のアカウントで Security Lake を有効にするには、まず組織の管理アカウントが組織の委任された Security Lake 管理者アカウントを指定する必要があります。これで委任された管理者は、組織の Security Lake を有効化して設定できます。

重要

Security Lake のを使用して、Security Lake RegisterDataLakeDelegatedAdministratorAPIに Organization へのアクセスを許可し、Organizations の委任された管理者を登録します。

Organizations のを使用して委任された管理者APIsを登録すると、Organizations のサービスにリンクされたロールが正常に作成されない可能性があります。完全な機能を確保するには、Security Lake を使用しますAPIs。

Organizations のセットアップについては、「AWS Organizations ユーザーガイド」の「組織の作成と管理」を参照してください。

委任された Security Lake 管理者に関する重要な考慮事項

Security Lake で委任された管理者がどのように動作するかを定義する次の要素に注意してください。

委任管理者はすべてのリージョンで同一です。

委任管理者を作成すると、その委任管理者が Security Lake を有効にするすべてのリージョンの委任管理者になります。

ログアーカイブアカウントを Security Lake 委任管理者として設定することをお勧めします。

Log Archive アカウントは AWS アカウント、すべてのセキュリティ関連のログの取り込みとアーカイブ専用のです。通常、このアカウントへのアクセスは、コンプライアンス調査を行う監査人やセキュリティチームなど、少数のユーザーに限定されます。Log Archive アカウントを Security Lake の委任管理者として設定して、コンテキストの切り替えを最小限に抑えてセキュリティ関連のログとイベントを表示できるようにすることをお勧めします。

また、Log Archive アカウントに直接アクセスできるのは最小限のユーザーのみにすることをお勧めします。この選択グループ以外で、Security Lake が収集するデータにユーザーがアクセスする必要がある場合は、そのユーザーを Security Lake サブスクライバーとして追加できます。サブスクライバーを追加する方法については、「Security Lake でのサブスクライバー管理」を参照してください。

AWS Control Tower サービスを使用しない場合、ログアーカイブアカウントがない可能性があります。Log Archive アカウントについて詳しくは、セキュリティリファレンスアーキテクチャの「Security OU — Log Archive アカウント」を参照してください。AWS

組織は、委任された管理者を 1 名だけ持つことができます。

Security Lake 管理者は、組織あたり 1 名のみです。

組織管理アカウントを代理管理者にすることはできません。

AWS セキュリティのベストプラクティスと最小特権の原則に基づいて、組織管理アカウントを委任管理者にすることはできません。

委任された管理者は、アクティブな組織に属している必要があります。

組織を削除すると、委任された管理者アカウントは Security Lake を管理できなくなります。別の組織の委任管理者を指定するか、組織の一部ではないスタンドアロンアカウントで Security Lake を使用する必要があります。

IAM 委任された管理者を指定するために必要なアクセス許可

委任された Security Lake 管理者を指定する場合、Security Lake を有効にし、次のポリシーステートメントに記載されている特定の AWS Organizations APIオペレーションを使用するアクセス許可が必要です。

AWS Identity and Access Management （IAM) ポリシーの末尾に次のステートメントを追加して、これらのアクセス許可を付与できます。


{
    "Sid": "Grant permissions to designate a delegated Security Lake administrator",
    "Effect": "Allow",
    "Action": [
        "securitylake:RegisterDataLakeDelegatedAdministrator",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListAccounts",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

委任された Security Lake 管理者を指定し、メンバーアカウントを追加します。

アクセス方法を選択して、組織の委任された Security Lake 管理者アカウントを指定します。組織管理アカウントのみが、組織の委任された管理者アカウントを指定できます。組織の管理アカウントを組織の委任管理者アカウントにすることはできません。

注記

組織管理アカウントは、Security Lake の RegisterDataLakeDelegatedAdministrator オペレーションを使用して、委任された Security Hub 管理者アカウントを指定する必要があります。Organizations を通じて委任された Security Lake 管理者の指定はサポートされていません。
組織の委任された管理者を変更する場合は、まず現在の委任された管理者を削除する必要があります。その後、新しく委任された管理者を指定できます。

Console

で Security Lake コンソールを開きますhttps://console.aws.amazon.com/securitylake/。

組織の管理アカウントの認証情報を使用してサインインします。
- Security Lake がまだ有効になっていない場合は、「はじめに」を選択し、「Security Lakeを有効にする」ページで Security Lake の委任管理者を指定します。
- Security Lake がすでに有効になっている場合は、設定ページで委任されたSecurity Lake管理者を指定します。
別のアカウントへの委任管理 で、他の AWS セキュリティサービスの委任管理者として既に機能しているアカウントを選択します (推奨）。または、委任された Security Lake 管理者として指定するアカウントの 12 桁の AWS アカウント ID を入力します。
[委任] を選択します。Security Lake がまだ有効になっていない場合は、委任された管理者を指定すると、現在のリージョンでそのアカウントに対して Security Lake が有効になります。

API

委任された管理者をプログラムで指定するには、 RegisterDataLakeDelegatedAdministrator Security Lake のオペレーションAPI。組織管理アカウントからオペレーションを呼び出す必要があります。を使用している場合は AWS CLI、を実行します。 register-data-lake-delegated-administrator 組織管理アカウントからのコマンド。リクエストでは、 accountIdパラメータを使用して、組織の委任管理者アカウントとして AWS アカウント指定するの 12 桁のアカウント ID を指定します。

例えば、次の AWS CLI コマンドは委任された管理者を指定します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。


$ aws securitylake register-data-lake-delegated-administrator \
--account-id 123456789012

委任管理者は、新しい組織アカウントの AWS ログとイベントデータの収集を自動化することもできます。この設定では、アカウントがの組織に追加されると、新しいアカウントで Security Lake が自動的に有効になります AWS Organizations。委任管理者は、を使用してこの設定を有効にすることができます。 CreateDataLakeOrganizationConfiguration Security Lake AWS のオペレーション、APIまたはを使用している場合はCLI、を実行して create-data-lake-organization-configuration コマンド。リクエストでは、新しいアカウントの特定の設定を指定することもできます。

例えば、次の AWS CLI コマンドにより、Security Lake と、新しい組織アカウントでの Amazon Route 53 リゾルバークエリログ、 AWS Security Hub 検出結果、Amazon Virtual Private Cloud (Amazon VPC) フローログの収集が自動的に有効になります。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。


$ aws securitylake create-data-lake-organization-configuration \
--auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"ROUTE53"},{"sourceName":"SH_FINDINGS"},{"sourceName":"VPC_FLOW"}]}]'

組織管理アカウントが委任された管理者を指定すると、管理者は組織に対して Security Lake を有効にして構成できるようになります。これには、Security Lake を有効にして設定し、組織内の個々のアカウントの AWS ログとイベントデータを収集することが含まれます。詳細については、「Security Lake AWS のサービスでのからのデータ収集」を参照してください。

を使用できます。 GetDataLakeOrganizationConfiguration オペレーションを使用して、新しいメンバーアカウントの組織の現在の設定に関する詳細を取得します。

委任された Security Lake 管理者を削除する。

組織管理アカウントのみが、組織の委任された Security Lake 管理者を削除できます。組織の委任管理者を変更する場合は、現在の委任管理者を削除し、新しい委任管理者を指定します。

重要

委任されたSecurity Lake管理者を削除すると、データレイクが削除され、組織内のアカウントのSecurity Lakeが無効になります。

Security Lake コンソールを使用して委任された管理者を変更または削除することはできません。これらのタスクはプログラムでのみ実行できます。

委任された管理者をプログラムで削除するには、 DeregisterDataLakeDelegatedAdministrator Security Lake のオペレーションAPI。組織管理アカウントからオペレーションを呼び出す必要があります。を使用している場合は AWS CLI、を実行します。 deregister-data-lake-delegated-administrator 組織管理アカウントからのコマンド。

例えば、次の AWS CLI コマンドは委任された Security Lake 管理者を削除します。


$ aws securitylake deregister-data-lake-delegated-administrator

委任された管理者の指定は維持しますが、新しいメンバーアカウントの自動設定を変更するには、を使用します。 DeleteDataLakeOrganizationConfiguration Security Lake のオペレーションAPI、またはを使用している場合は AWS CLI、 delete-data-lake-organization-configuration コマンド。組織のこれらの設定を変更できるのは、委任された管理者のみです。

例えば、次の AWS CLI コマンドは、組織に参加する新しいメンバーアカウントからの Security Hub の検出結果の自動収集を停止します。委任された管理者がこのオペレーションを呼び出した後、新しいメンバーアカウントは Security Hub の検出結果をデータレイクに提供しません。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。


$ aws securitylake delete-data-lake-organization-configuration \
--auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS"}]}]'

Security Lake の信頼できるアクセス

組織の Security Lake を設定した後、 AWS Organizations 管理アカウントは Security Lake で信頼されたアクセスを有効にできます。信頼されたアクセスにより、Security Lake はユーザーに代わってIAMサービスにリンクされたロールを作成し、組織とそのアカウントでタスクを実行できます。詳細については、AWS Organizations ユーザーガイド の「AWS Organizations と他の AWS のサービスの使用」を参照してください。

組織管理アカウントのユーザーは、 AWS Organizationsの Security Lake に対する信頼されたアクセスを無効にすることができます。信頼できるアクセスを無効にする手順については、『AWS Organizations ユーザーガイド』の「信頼できるアクセスを有効または無効にする方法」を参照してください。

委任された管理者の AWS アカウントが一時停止、分離、または閉鎖されている場合、信頼されたアクセスを無効にすることをお勧めします。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS CLI または API の使用

リージョンの管理

Security Lake AWS Organizations での での複数のアカウントの管理

重要