Amazon Security Lake e AWS Organizations

O Amazon Security Lake centraliza dados de segurança de fontes na nuvem, on-premises e personalizadas em um data lake armazenado em sua conta. Ao se integrar ao Organizations, você pode criar um data lake que coleta registros e eventos em suas contas. Para obter mais informações, consulte Gerenciar várias contas com o AWS Organizations no Guia do usuário do Amazon Security Lake.

Use as informações a seguir para obter ajuda para integrar o Amazon Security Lake ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

O perfil vinculado ao serviço a seguir é criado automaticamente na conta de gerenciamento da sua organização quando você chama a API RegisterDataLakeDelegatedAdministrator. Esse perfil permite que o Amazon Security Lake realize operações válidas nas contas da sua organização.

Você só poderá excluir ou modificar esse perfil se desabilitar o acesso confiável entre o Amazon Security Lake e o Organizations, ou se remover a conta-membro da organização.

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. Os perfis vinculados ao serviço usados pelo Amazon Security Lake concedem acesso às seguintes entidades principais de serviço:

Como habilitar o acesso confiável ao Amazon Security Lake

Quando o acesso confiável for habilitado no Security Lake, o Security Lake poderá reagir automaticamente às alterações na associação à organização. O administrador delegado pode habilitar a coleta de logs da AWS para os serviços compatíveis em qualquer conta da organização. Para obter mais informações, consulte Função vinculada ao serviço para o Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando apenas as ferramentas do Organizations.

Você pode habilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI ou chamando uma operação da API em um dos AWS SDKs.

AWS Management Console

Para habilitar o acesso ao serviço confiável usando o console do Organizations

1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

2. No painel de navegação, escolha Serviços.

3. Selecione Amazon Security Lake na lista de serviços.

4. Escolha Enable trusted access (Habilitar acesso confiável).

5. Na caixa de diálogo Enable trusted access for Amazon Security Lake, digite enable para confirmar e selecione Enable trusted access.

6. Se você for o administrador apenas do AWS Organizations, informe ao administrador do Amazon Security Lake que ele agora pode habilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API

Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

• AWS CLI: enable-aws-service-access

  É possível executar o comando a seguir para habilitar o Amazon Security Lake como um serviço confiável com o Organizations.

  $ aws organizations enable-aws-service-access \ 
      --service-principal securitylake.amazonaws.com

  Esse comando não gera nenhuma saída quando é bem-sucedido.

• AWS API: EnableAWSServiceAccess

Como desabilitar o acesso confiável ao Amazon Security Lake

Apenas um administrador na conta de gerenciamento Organizations pode desabilitar o acesso confiável com o Amazon Security Lake.

Você pode desabilitar o acesso confiável usando apenas as ferramentas do Organizations.

Você pode desabilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS Management Console

Para desabilitar o acesso confiável usando o console do Organizations

1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

2. No painel de navegação, escolha Serviços.

3. Selecione Amazon Security Lake na lista de serviços.

4. Escolha Disable trusted access (Desabilitar acesso confiável).

5. Na caixa de diálogo Disable trusted access for Amazon Security Lake, digite disable para confirmar e selecione Disable trusted access.

6. Se você for o administrador apenas do AWS Organizations, informe ao administrador do Amazon Security Lake que ele agora pode desabilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

• AWS CLI: disable-aws-service-access

  É possível executar o comando a seguir para desabilitar o Amazon Security Lake como um serviço confiável com o Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal securitylake.amazonaws.com

  Esse comando não gera nenhuma saída quando é bem-sucedido.

• AWS API: DisableAWSServiceAccess

Como habilitar uma conta de administrador delegado para o Amazon Security Lake

O administrador delegado do Amazon Security Lake adiciona outras contas na organização como contas-membro. O administrador delegado pode ativar o Amazon Security Lake e definir as configurações do Amazon Security Lake para as contas-membro. O administrador delegado pode coletar logs em uma organização em todas as regiões da AWS em que o Amazon Security Lake está ativado (independentemente do endpoint regional que você está usando).

Você também pode configurar o administrador delegado para adicionar automaticamente novas contas na organização como membros. O administrador delegado do Amazon Security Lake tem acesso aos logs e eventos nas contas-membro associadas. Assim, você pode configurar o Amazon Security Lake para coletar dados pertencentes às contas-membro associadas. Também é possível conceder aos assinantes permissão para consumir dados pertencentes às contas-membro associadas.

Para obter mais informações, consulte Gerenciar várias contas com o AWS Organizations no Guia do usuário do Amazon Security Lake.

É possível especificar uma conta de administrador delegado usando o console do Amazon Security Lake, a ação CreateDatalakeDelegatedAdmin da API do Amazon Security Lake ou o comando create-datalake-delegated-admin da CLI. Como alternativa, você pode usar a operação RegisterDelegatedAdministrator da CLI ou SDK do Organizations. Para obter instruções sobre como habilitar uma conta de administrador delegado para o Amazon Security Lake, consulte Designar o administrador delegado do Security Lake e adicionar contas-membro no Guia do usuário do Amazon Security Lake.

AWS CLI, AWS API

Se você quiser configurar uma conta de administrador delegado usando a AWS CLI ou um dos AWS SDKs, poderá usar os seguintes comandos:

• AWS CLI:

  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \ --service-principal securitylake.amazonaws.com

• AWS SDK: chame a operação RegisterDelegatedAdministrator do Organizations e o número de ID da conta-membro e identifique a entidade principal do serviço de conta account.amazonaws.com como parâmetros.

Desabilitar um administrador delegado para o Amazon Security Lake

Somente um administrador na conta de gerenciamento do Organizations ou a conta de administrador delegado do Amazon Security Lake podem remover uma conta de administrador delegado da organização.

É possível remover a conta de administrador delegado usando a operação DeregisterDataLakeDelegatedAdministrator da API do Amazon Security Lake, o comando deregister-data-lake-delegated-administrator da CLI ou a operação DeregisterDelegatedAdministrator da CLI ou SDK do Organizations. Para remover um administrador delegado usando o Amazon Security Lake, consulte Removing the Amazon Security Lake delegated administrator no Guia do usuário do Amazon Security Lake.