Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione di più account con AWS Organizations Security Lake
Puoi utilizzare Amazon Security Lake per raccogliere log di sicurezza ed eventi da piùAccount AWS fonti. Per aiutare ad automatizzare e semplificare la gestione di più account, ti consigliamo vivamente di integrare Security Lake con. [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
In Organizations, l'account utilizzato per creare l'organizzazione è chiamato account di gestione. Per integrare Security Lake con Organizations, l'account di gestione deve designare un account amministratore delegato di Security Lake per l'organizzazione.
L'amministratore delegato di Security Lake può abilitare Security Lake e configurare le impostazioni di Security Lake per gli account dei membri. L'amministratore delegato può raccogliere registri ed eventi in tutta l'organizzazione Regioni AWS ovunque sia abilitato Security Lake (indipendentemente dall'endpoint regionale attualmente utilizzato). L'amministratore delegato può anche configurare Security Lake per raccogliere automaticamente i dati di log ed eventi per i nuovi account dell'organizzazione.
L'amministratore delegato di Security Lake ha accesso ai dati di registro ed eventi per gli account dei membri associati. Di conseguenza, può configurare Security Lake per raccogliere i dati di proprietà degli account dei membri associati. Possono inoltre concedere agli abbonati il permesso di utilizzare i dati di proprietà degli account dei membri associati.
Per abilitare Security Lake per più account in un'organizzazione, l'account di gestione dell'organizzazione deve prima designare un account amministratore delegato di Security Lake per l'organizzazione. L'amministratore delegato può quindi abilitare e configurare Security Lake per l'organizzazione.
**Importante**
Utilizza l'[RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com//security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator.html)API di Security Lake per consentire a Security Lake di accedere alla tua organizzazione e registrare l'amministratore delegato dell'organizzazione.
Se si utilizza Organizations APIs per registrare un amministratore delegato, è possibile che i ruoli collegati ai servizi per le Organizzazioni non vengano creati correttamente. Per garantire la piena funzionalità, utilizza Security Lake. APIs
Per informazioni sulla configurazione di Organizations, vedere [Creating and managing an organization](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) nella *AWS Organizations User Guide*.
**Per gli account Security Lake esistenti**
Se hai abilitato Security Lake prima del 17 aprile 2025, ti consigliamo di abilitare il[Autorizzazioni SLR (Service-Linked Role) per la gestione delle risorse](AWSServiceRoleForSecurityLakeResourceManagement.md). Utilizzando questa reflex, puoi continuare a eseguire un monitoraggio continuo e miglioramenti delle prestazioni, che possono potenzialmente ridurre latenza e costi. Per informazioni sulle autorizzazioni associate a questa reflex, vedere. [Autorizzazioni SLR (Service-Linked Role) per la gestione delle risorse](AWSServiceRoleForSecurityLakeResourceManagement.md)
Se utilizzi la console Security Lake, riceverai una notifica che ti chiederà di abilitare il. AWSServiceRoleForSecurityLakeResourceManagement Se lo utilizzi AWS CLI, vedi [Creazione del ruolo collegato al servizio Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/AWSServiceRoleForSecurityLakeResourceManagement.html#create-slr).
## Considerazioni importanti per gli amministratori delegati di Security Lake
Prendi nota dei seguenti fattori che definiscono il comportamento di un amministratore delegato in Security Lake:
**L'amministratore delegato è lo stesso in tutte le regioni.**
Quando si crea l'amministratore delegato, questo diventa l'amministratore delegato per ogni regione in cui si abilita Security Lake.
**Si consiglia di impostare l'account Log Archive come amministratore delegato di Security Lake.**
L'account Log Archive è dedicato all'acquisizione e all'archiviazione di tutti i log relativi alla sicurezza.Account AWS L'accesso a questo account è in genere limitato a pochi utenti, come revisori e team di sicurezza per le indagini di conformità. Si consiglia di impostare l'account Log Archive come amministratore delegato di Security Lake in modo da poter visualizzare i log e gli eventi relativi alla sicurezza con un cambio di contesto minimo.
Inoltre, consigliamo che solo un numero minimo di utenti abbia accesso diretto all'account Log Archive. Al di fuori di questo gruppo selezionato, se un utente deve accedere ai dati raccolti da Security Lake, è possibile aggiungerlo come abbonato a Security Lake. Per informazioni sull'aggiunta di un abbonato, consulta. [Gestione degli abbonati in Security Lake](subscriber-management.md)
Se non utilizzi il AWS Control Tower servizio, potresti non avere un account Log Archive. Per ulteriori informazioni sull'account Log Archive, vedere [Security OU — Log Archive account](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/log-archive.html) nella *AWS Security Reference Architecture*.
**Un'organizzazione può avere un solo amministratore delegato.**
È possibile avere un solo amministratore delegato di Security Lake per ogni organizzazione.
**L'account di gestione dell'organizzazione non può essere l'amministratore delegato.**
In base alle migliori pratiche di AWS sicurezza e al principio del privilegio minimo, l'account di gestione dell'organizzazione non può essere l'amministratore delegato.
**L'amministratore delegato deve far parte di un'organizzazione attiva.**
Quando si elimina un'organizzazione, l'account amministratore delegato non può più gestire Security Lake. È necessario designare un amministratore delegato di un'altra organizzazione o utilizzare Security Lake con un account autonomo che non fa parte di un'organizzazione.
## Autorizzazioni IAM necessarie per designare l'amministratore delegato
Quando si designa l'amministratore delegato di Security Lake, è necessario disporre delle autorizzazioni per abilitare Security Lake e utilizzare determinate operazioni AWS Organizations API elencate nella seguente dichiarazione politica.
È possibile aggiungere la seguente dichiarazione alla fine di una policy AWS Identity and Access Management(IAM) per concedere queste autorizzazioni.
```
{
"Sid": "Grant permissions to designate a delegated Security Lake administrator",
"Effect": "Allow",
"Action": [
"securitylake:RegisterDataLakeDelegatedAdministrator",
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
```
## Designazione dell'amministratore delegato di Security Lake e aggiunta degli account dei membri
Scegliete il metodo di accesso per designare l'account amministratore delegato di Security Lake per la vostra organizzazione. Solo l'account di gestione dell'organizzazione può designare l'account amministratore delegato per la propria organizzazione. L'account di gestione dell'organizzazione non può essere l'account amministratore delegato dell'organizzazione.
**Nota**
L'account di gestione dell'organizzazione deve utilizzare l'`RegisterDataLakeDelegatedAdministrator`operazione Security Lake per designare l'account amministratore delegato di Security Lake. La designazione dell'amministratore delegato di Security Lake tramite Organizations non è supportata.
Se si desidera modificare l'amministratore delegato dell'organizzazione, è necessario prima [rimuovere l'amministratore delegato corrente](#remove-delegated-admin). È quindi possibile designare un nuovo amministratore delegato.
------
#### [ Console ]
1. Aprire la console di Security Lake all'indirizzo. [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)
Accedi utilizzando le credenziali dell'account di gestione dell'organizzazione.
1.
+ Se Security Lake non è ancora abilitato, seleziona **Inizia**, quindi designa l'amministratore delegato di Security Lake nella pagina **Abilita Security** Lake.
+ **Se Security Lake è già abilitato, designa l'amministratore delegato di Security Lake nella pagina Impostazioni.**
1. In **Delega l'amministrazione a un altro account**, inserisci l'Account AWS ID a 12 cifre del tuo account Log Archive.
Consigliamo di utilizzare Log Archive come amministratore delegato di Security Lake. Per ulteriori informazioni, consulta [Considerazioni importanti per gli amministratori delegati di Security Lake](#delegated-admin-important).
1. Scegli **Delega**. Se Security Lake non è già abilitato, la designazione dell'amministratore delegato abiliterà Security Lake per quell'account nella regione corrente.
------
#### [ API ]
Per designare l'amministratore delegato a livello di codice, utilizza il [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator)funzionamento dell'API Security Lake. È necessario richiamare l'operazione dall'account di gestione dell'organizzazione. Se utilizzi il AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securitylake/register-data-lake-delegated-administrator.html](https://docs.aws.amazon.com/cli/latest/reference/securitylake/register-data-lake-delegated-administrator.html)comando dall'account di gestione dell'organizzazione. Nella richiesta, utilizza il `accountId` parametro per specificare l'ID account a 12 cifre dell'account Account AWS da designare come amministratore delegato per l'organizzazione.
Ad esempio, il AWS CLI comando seguente designa l'amministratore delegato. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securitylake register-data-lake-delegated-administrator \
--account-id 123456789012
```
L'amministratore delegato può anche scegliere di automatizzare la raccolta di dati di AWS registro ed eventi per i nuovi account dell'organizzazione. Con questa configurazione, Security Lake viene automaticamente abilitato nei nuovi account quando gli account vengono aggiunti all'organizzazione in.AWS Organizations In qualità di amministratore delegato, puoi abilitare questa configurazione utilizzando l'[https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeOrganizationConfiguration](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeOrganizationConfiguration)operazione dell'API Security Lake o, se utilizzi la CLI AWS, [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake-organization-configuration.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake-organization-configuration.html)eseguendo il comando. Nella richiesta, puoi anche specificare determinate impostazioni di configurazione per nuovi account.
Ad esempio, il AWS CLI comando seguente abilita automaticamente Security Lake e la raccolta di log di query del resolver Amazon Route 53,AWS Security Hub CSPM risultati e log di flusso di Amazon Virtual Private Cloud (Amazon VPC) nei nuovi account dell'organizzazione. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securitylake create-data-lake-organization-configuration \
--auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"ROUTE53"},{"sourceName":"SH_FINDINGS"},{"sourceName":"VPC_FLOW"}]}]'
```
------
Dopo che l'account di gestione dell'organizzazione ha designato l'amministratore delegato, l'amministratore può abilitare e configurare Security Lake per l'organizzazione. Ciò include l'abilitazione e la configurazione di Security Lake per raccogliere dati di AWS log ed eventi per i singoli account dell'organizzazione. Per ulteriori informazioni, consulta [Raccolta di dati da Servizi AWS Security Lake](internal-sources.md).
È possibile utilizzare l'[https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeOrganizationConfiguration.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeOrganizationConfiguration.html)operazione per ottenere dettagli sulla configurazione corrente dell'organizzazione per gli account dei nuovi membri.
## Modifica della configurazione di attivazione automatica per i nuovi account dell'organizzazione
Un amministratore delegato di Security Lake può visualizzare e modificare le impostazioni di attivazione automatica per gli account quando entrano a far parte dell'organizzazione. Security Lake inserisce i dati in base a queste impostazioni solo per i nuovi account, non per gli account esistenti.
Utilizza i seguenti passaggi per modificare la configurazione dei nuovi account dell'organizzazione:
1. Aprire la console di Security Lake all'indirizzo [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).
1. Dal riquadro di navigazione, selezionare **Accounts (Account)**.
1. Nella pagina **Account**, espandi la sezione **Configurazione del nuovo account**. È possibile visualizzare quali **Sources** Security Lake acquisisce da ciascuna **regione.**
1. Scegli **Modifica** per modificare questa configurazione.
1. Nella pagina **Modifica nuova configurazione dell'account**, procedi nel seguente modo:
1. Per **Seleziona regioni**, seleziona una o più regioni per le quali desideri aggiornare le fonti da cui importare i dati. Quindi, seleziona **Successivo**.
1. Per **Seleziona fonti**, scegli una delle seguenti opzioni per la **selezione della fonte:**
1. **Inserisci AWS fonti predefinite**: quando scegli l'opzione consigliata, per impostazione predefinita, CloudTrail gli eventi di dati S3 non AWS WAF sono inclusi per l'inserimento. Questo perché l'ingestione di volumi elevati di entrambi i tipi di fonti potrebbe avere un impatto significativo sui costi di utilizzo. Per importare queste fonti, seleziona prima l'opzione Inserisci **AWS fonti specifiche, quindi seleziona queste fonti** dall'elenco Sorgenti di **log ed eventi**.
1. **Inserisci AWS fonti specifiche**: con questa opzione, puoi selezionare una o più fonti di log ed eventi che desideri importare.
1. **Non importare alcuna fonte**: selezionate questa opzione se non desiderate importare alcuna fonte dalle regioni selezionate nel passaggio precedente.
1. Scegli **Next (Successivo)**.
**Nota**
Quando abiliti Security Lake in un account per la prima volta, tutte le fonti di log ed eventi selezionate faranno parte di un periodo di prova gratuito di 15 giorni. Per ulteriori informazioni sulle statistiche di utilizzo, vedere[Analisi dell'utilizzo e dei costi stimati](reviewing-usage-costs.md).
1. Dopo aver esaminato le modifiche, scegli **Applica**.
Quando un utente Account AWS entra a far parte della tua organizzazione, queste impostazioni verranno applicate a quell'account per impostazione predefinita.
## Rimozione dell'amministratore delegato di Security Lake
Solo l'account di gestione dell'organizzazione può rimuovere l'amministratore delegato di Security Lake dalla propria organizzazione. Se si desidera modificare l'amministratore delegato dell'organizzazione, rimuovere l'amministratore delegato corrente e quindi designare il nuovo amministratore delegato.
**Importante**
La rimozione dell'amministratore delegato di Security Lake elimina il data lake e disabilita Security Lake per gli account dell'organizzazione.
Non è possibile modificare o rimuovere l'amministratore delegato utilizzando la console Security Lake. Queste attività possono essere eseguite solo a livello di codice.
Per rimuovere l'amministratore delegato a livello di codice, utilizza il [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeregisterDataLakeDelegatedAdministrator.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeregisterDataLakeDelegatedAdministrator.html)funzionamento dell'API Security Lake. È necessario richiamare l'operazione dall'account di gestione dell'organizzazione. Se si utilizza il AWS CLI, eseguire il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/deregister-data-lake-delegated-administrator.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/deregister-data-lake-delegated-administrator.html)comando dall'account di gestione dell'organizzazione.
Ad esempio, il AWS CLI comando seguente rimuove l'amministratore delegato di Security Lake.
```
$ aws securitylake deregister-data-lake-delegated-administrator
```
Per mantenere la designazione di amministratore delegato ma modificare le impostazioni di configurazione automatica dei nuovi account membro, usa il [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteDataLakeOrganizationConfiguration.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteDataLakeOrganizationConfiguration.html)funzionamento dell'API Security Lake o, se stai usando il AWS CLI, il comando. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-data-lake-organization-configuration.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-data-lake-organization-configuration.html) Solo l'amministratore delegato può modificare queste impostazioni per l'organizzazione.
Ad esempio, il AWS CLI comando seguente interrompe la raccolta automatica dei risultati CSPM di Security Hub dai nuovi account membri che entrano a far parte dell'organizzazione. I nuovi account membro non contribuiranno ai risultati CSPM di Security Hub al data lake dopo che l'amministratore delegato avrà richiamato questa operazione. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securitylake delete-data-lake-organization-configuration \
--auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS"}]}]'
```
## Accesso affidabile a Security Lake
Dopo aver configurato Security Lake per un'organizzazione, l'account di AWS Organizations gestione può abilitare l'accesso affidabile con Security Lake. L'accesso affidabile consente a Security Lake di creare un ruolo collegato ai servizi IAM ed eseguire attività nell'organizzazione e nei relativi account per conto dell'utente. Per ulteriori informazioni, consulta [Using AWS Organizations with other Servizi AWS nella Guida](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) per l'*AWS Organizations utente*.
Come utente dell'account di gestione dell'organizzazione, puoi disabilitare l'accesso affidabile per Security Lake in AWS Organizations. Per istruzioni sulla disabilitazione dell'accesso affidabile, consulta [Come abilitare o disabilitare l'accesso affidabile](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_how-to-enable-disable-trusted-access) nella *Guida per l'AWS Organizations utente*.
Ti consigliamo di disabilitare l'accesso affidabile se quello dell'amministratore delegato Account AWSè sospeso, isolato o chiuso.