本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon 安全湖和 AWS Organizations

Amazon Security Lake 將來自雲端、內部部署和自訂來源的安全資料，集中到存放在您的帳戶的資料湖中。透過與 Organizations 整合，您可以建立資料湖來收集跨帳戶的日誌和事件。如需詳細資訊，請參閱管理多個帳戶 AWS Organizations在 Amazon 安全湖用戶指南。

使用下列資訊來協助您整合 Amazon 安全湖與 AWS Organizations.

當您啟用整合時，即會建立服務連結角色。

當您呼叫時，會在組織的管理帳戶中自動建立下列服務連結角色。RegisterDataLakeDelegatedAdministratorAPI此角色可讓 Amazon Security Lake 在組織帳戶內執行受支援的操作。

只有在停用 Amazon Security Lake 和組織之間的受信任存取，或從組織中移除成員帳戶時，才可以刪除或修改此角色。

服務連結角色所使用的服務委託人

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Amazon 安全湖使用的服務連結角色可授與下列服務主體的存取權：

透過 Amazon 安全湖啟用受信任存取

當您使用 Security Lake 啟用受信任存取時，Security Lake 可以自動對組織成員資格的變更做出回應。委派的管理員可以啟用 AWS 記錄來自任何組織帳戶中支援服務的收集。如需詳細資訊，請參閱 Amazon Security Lake 使用者指南中的 Amazon Security Lake 的服務連結角色。

如需啟用受信任存取所需許可的資訊，請參閱啟用信任的存取所需的許可。

您只能使用 Organizations 工具來啟用受信任存取。

您可以啟用受信任的存取 AWS Organizations 控制台, 通過運行 AWS CLI 命令，或者通過調用其中一個API操作 AWS SDKs.

AWS Management Console

使用 Organizations 主控台來啟用受信任的服務存取

1. 登入 AWS Organizations 控制台。您必須以IAM使用者身分登入、擔任IAM角色，或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。

2. 在導覽窗格中，選擇服務。

3. 在服務列表中選擇 Amazon 安全湖。

4. 選擇 Enable trusted access (啟用信任存取)。

5. 在 [啟用 Amazon Security Lake 的受信任存取] 對話方塊中，輸入 enable 以確認，然後選擇 [啟用受信任的存取]。

6. 如果您是唯一的管理員 AWS Organizations，告訴 Amazon 安全湖的管理員，他們現在可以使用其控制台啟用該服務 AWS Organizations.

AWS CLI, AWS API

使用 Organizations 啟用受信任的服務存取CLI/SDK

您可以使用以下內容 AWS CLI 啟用受信任服務存取的命令或API作業：

• AWS CLI: enable-aws-service-access

  您可以執行下列命令來啟用 Amazon Security Lake 作為 Organizations 受信任的服務。

  $ aws organizations enable-aws-service-access \ 
      --service-principal securitylake.amazonaws.com

  此命令成功後就不會產生輸出。

• AWS API：電子nableAWSService訪問

使用 Amazon 安全湖停用受信任存取

只有 Organizations 管理帳戶中的管理員可以使用 Amazon 安全湖停用受信任的存取。

您只能使用 Organizations 工具來停用受信任的存取。

您可以停用受信任的存取 AWS Organizations 主控台, 執行組 Organizations AWS CLI 指令，或透過呼叫其中一個「Organizations」API 作業 AWS SDKs.

AWS Management Console

使用 Organizations 主控台來受信停用任的服務存取

1. 登入 AWS Organizations 控制台。您必須以IAM使用者身分登入、擔任IAM角色，或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。

2. 在導覽窗格中，選擇服務。

3. 在服務列表中選擇 Amazon 安全湖。

4. 選擇停用受信任的存取。

5. 在 [停用 Amazon Security Lake 的受信任存取] 對話方塊中，輸入 [禁用] 以確認，然後選擇 [停用受信任的存取]。

6. 如果您是唯一的管理員 AWS Organizations，告訴 Amazon 安全湖的管理員，他們現在可以使用其控制台或工具禁用該服務 AWS Organizations.

AWS CLI, AWS API

若要使用 Organizations 停用受信任的服務存取CLI/SDK

您可以使用以下內容 AWS CLI 停用受信任服務存取的指令或API作業：

• AWS CLI: disable-aws-service-access

  您可以執行下列命令來停用 Amazon Security Lake 作為 Organizations 受信任的服務。

  $ aws organizations disable-aws-service-access \
      --service-principal securitylake.amazonaws.com

  此命令成功後就不會產生輸出。

• AWS API：D isableAWSService 訪問

啟用 Amazon 安全湖的委派管理員帳戶

Amazon 安全湖委派管理員會將組織中的其他帳戶新增為成員帳戶。委派的管理員可以啟用 Amazon 安全湖，並為成員帳戶設定 Amazon 安全湖設定。委派的系統管理員可以在所有組織中收集記錄 AWS 啟用 Amazon 安全湖的區域 (無論您目前使用的是哪個區域端點)。

您還可以設定委派管理員在組織中自動將新帳戶新增為成員。Amazon 安全湖委派管理員可以存取關聯成員帳戶中的日誌和事件。因此，您可以設定 Amazon 安全湖來收集關聯成員帳戶擁有的資料。您還可以授權訂閱用戶取用關聯成員帳戶擁有的資料。

如需詳細資訊，請參閱管理多個帳戶 AWS Organizations在 Amazon 安全湖用戶指南。

您可以使用 Amazon 安全湖主控台、Amazon 安全湖CreateDatalakeDelegatedAdminAPI操作或create-datalake-delegated-adminCLI命令來指定委派的管理員帳戶。或者，您可以使用「Organizations」RegisterDelegatedAdministrator CLI 或SDK作業。如需針對 Amazon Security Lake 啟用委派管理員帳戶的相關指示，請參閱 Amazon Security Lake 使用者指南中的指定委派的安全湖管理員和新增成員帳戶。

AWS CLI, AWS API

如果您想要使用 AWS CLI或其中一個 AWS SDKs，您可以使用下列指令：

• AWS CLI:

  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \ --service-principal securitylake.amazonaws.com

• AWS SDK：呼叫「Organizations」RegisterDelegatedAdministrator 作業與成員帳戶的 ID 號碼，並將帳戶服務主體識別account.amazonaws.com為參數。

停用 Amazon 安全湖的委派管理員

只有組 Organizations 管理帳戶或 Amazon Security Lake 委派管理員帳戶中的管理員可以從組織中移除委派的管理員帳戶。

您可以使用 Amazon Security Lake DeleteDatalakeDelegatedAdmin API 操作、delete-datalake-delegated-adminCLI命令或使用 Organizations DeregisterDelegatedAdministrator CLI 或操作來移除委派的管理員帳戶。SDK若要使用 Amazon 安全湖移除委派的管理員，請參閱 Amazon 安全湖使用者指南中的移除 Amazon 安全湖委派管理員。