本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Security Lake AWS Organizations 中管理多个账户
您可以使用 Amazon Security Lake 从多个 AWS 账户收集安全日志和事件。为帮助您自动化和简化多个账户的管理,我们强烈建议您将 Security Lake 与 AWS Organizations 集成。
在 Organizations 中,用于创建组织的账户称为管理账户。要将 Security Lake 与 Organizations 集成,管理账户必须为组织指定一个委托的 Security Lake 管理员账户。
委托的 Security Lake 管理员可以启用 Security Lake,并为成员账户配置 Security Lake 设置。委派的管理员可以在所有启用了 Security Lake AWS 区域 的地方(无论他们当前使用的是哪个区域终端节点)收集整个组织的日志和事件。委托管理员还可以配置 Security Lake 来自动收集新组织账户的日志和事件数据。
委托的 Security Lake 管理员有权访问关联成员账户中的日志和事件数据。因此,他们可以配置 Security Lake 来收集关联成员账户拥有的数据。他们还可以向订阅用户授予使用关联成员账户所拥有的数据的权限。
要为组织中的多个账户启用 Security Lake,组织管理账户必须首先为组织指定一个委托的 Security Lake 管理员账户。然后,委托管理员可以为组织启用和配置 Security Lake。
重要
使用 Security RegisterDataLakeDelegatedAdministratorAPILake 允许 Security Lake 访问您的组织并注册组织的授权管理员。
如果您使用 Organi APIs zations 注册委托管理员,则可能无法成功创建组织的服务相关角色。为确保全部功能,请使用安全湖APIs。
有关设置 Organizations 的信息,请参阅《AWS Organizations 用户指南》中的创建和管理组织。
委托的 Security Lake 管理员的重要注意事项
请注意以下因素,它们定义了委托管理员在 Security Lake 中的行为方式:
- 委托管理员在所有区域都是相同的。
-
在您创建委托管理员后,它将成为您启用了 Security Lake 的每个区域的委托管理员。
- 我们建议将日志存档账户设置为 Security Lake 委托管理员。
-
日志存档账户专用于 AWS 账户 接收和存档所有与安全相关的日志。通常只有少数用户拥有对该账户的访问权限,例如审计员和进行合规调查的安全团队。我们建议将日志存档账户设置为 Security Lake 委托管理员,这样您就可以查看与安全相关的日志和事件,且只需进行极少的上下文切换。
此外,我们建议仅允许极少数用户直接访问日志存档账户。除了这些用户外,如果其他用户需要访问 Security Lake 收集的数据,您可以将其添加为 Security Lake 订阅用户。有关添加订阅用户的信息,请参阅 安全湖中的用户管理。
如果您不使用该 AWS Control Tower 服务,则可能没有日志存档帐户。有关日志存档账户的更多信息,请参阅《AWS 安全参考架构》中的安全 OU – 日志存档账户。
- 一个组织只能有一个委托管理员。
-
每个组织只能有一个委托的 Security Lake 管理员。
- 组织的管理账户不能成为委托管理员。
-
根据 AWS 安全最佳实践和最低权限原则,您的组织管理账户不能成为委托管理员。
- 委托管理员必须属于有效组织。
-
删除组织后,委托管理员账户将无法再管理 Security Lake。您必须从其他组织指定一个委托管理员,或通过不属于组织的独立账户来使用 Security Lake。
IAM指定委派管理员所需的权限
在指定委派的 Security Lake 管理员时,您必须具有启用 Security Lake 和使用以下策略声明中列出的某些 AWS Organizations API操作的权限。
您可以在 AWS Identity and Access Management (IAM) 策略的末尾添加以下语句来授予这些权限。
{ "Sid": "Grant permissions to designate a delegated Security Lake administrator", "Effect": "Allow", "Action": [ "securitylake:RegisterDataLakeDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }
指定委托的 Security Lake 管理员并添加成员账户
选择您的访问方式,为组织指定委托的 Security Lake 管理员账户。只有组织管理账户可以为其组织指定委托管理员账户。组织管理账户不能成为其组织的委托管理员账户。
注意
-
组织管理账户应使用 Security Lake
RegisterDataLakeDelegatedAdministrator
操作来指定委派的 Security Lake 管理员账户。不支持通过 Organizations 指定委派的 Security Lake 管理员。 -
如果要更改组织的委托管理员,您必须首先删除当前的委托管理员,然后再指定新的委托管理员。
组织的管理账户指定委托管理员后,管理员可以为组织启用和配置 Security Lake。这包括启用和配置 Security Lake 以收集组织中各个账户的 AWS 日志和事件数据。有关更多信息,请参阅 从 Security Lake AWS 服务 中收集数据。
你可以使用 GetDataLakeOrganizationConfiguration操作可获取有关贵组织新成员账户当前配置的详细信息。
移除委托的 Security Lake 管理员
只有组织管理账户可以为其组织移除委托的 Security Lake 管理员。如果要更改组织的委托管理员,请移除当前的委托管理员,然后指定新的委托管理员。
重要
移除委托的 Security Lake 管理员会删除数据湖,并针对组织中的账户禁用 Security Lake。
您无法使用 Security Lake 控制台更改或移除委托管理员。这些任务只能以编程方式执行。
要以编程方式移除委派的管理员,请使用 DeregisterDataLakeDelegatedAdministrator安全湖的运营API。您必须从组织管理账户调用该操作。如果你使用的是 AWS CLI,请运行 deregister-data-lake-delegated-administrator
例如,以下 AWS CLI 命令删除委派的 Security Lake 管理员。
$
aws securitylake deregister-data-lake-delegated-administrator
要保留委派管理员的指定,但要更改新成员账户的自动配置设置,请使用 DeleteDataLakeOrganizationConfiguration安全湖的运营API,或者,如果你使用的是 AWS CLI,delete-data-lake-organization-configuration
例如,以下 AWS CLI 命令停止从加入组织的新成员账户自动收集 Security Hub 调查结果。在委派的管理员调用此操作后,新的成员账户将不会将 Security Hub 的发现结果贡献给数据湖。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。
$
aws securitylake delete-data-lake-organization-configuration \ --auto-enable-new-account '[{"region":"
us-east-1
","sources":[{"sourceName":"SH_FINDINGS
"}]}]'
Security Lake 可信访问
为组织设置 Security Lake 后, AWS Organizations 管理账户可以通过 Security Lake 启用可信访问。可信访问权限允许 Security Lake 创建IAM服务相关角色并代表您执行组织及其账户中的任务。有关详细信息,请参阅《AWS Organizations 用户指南》中的结合使用 AWS Organizations 与其他 AWS 服务。
作为组织管理账户的用户,您可以在 AWS Organizations中禁用对 Security Lake 的可信访问。有关禁用可信访问的说明,请参阅《AWS Organizations 用户指南》中的如何启用或禁用可信访问。
如果委派的管理员 AWS 账户 处于暂停状态、隔离状态或关闭状态,我们建议您禁用可信访问权限。