翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Security Lake と AWS Organizations
Amazon Security Lake は、クラウド、オンプレミス、カスタムソースのセキュリティデータを、アカウントに保存されているデータレイクに一元化します。Organizations と統合することで、アカウント全体からログとイベントを収集するデータレイクを作成できます。詳細については、「Amazon Security Lake ユーザーガイド」の「Managing multiple accounts with AWS Organizations」を参照してください。
Amazon Security Lake と AWS Organizations の統合には、次の情報を参考にしてください。
統合を有効にする際に作成されるサービスにリンクされたロール
RegisterDataLakeDelegatedAdministrator API を呼び出すと、次のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Amazon Security Lake はサポートされているオペレーションを組織内のアカウントで実行できます。
このロールを削除または変更できるのは、Amazon Security Lake と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
-
AWSServiceRoleForSecurityLake
推奨事項: Security Lake の RegisterDataLakeDelegatedAdministrator API を使用して、Security Lake による Organization へのアクセスを許可し、Organizations の委任管理者を登録します。
Organizations の API を使用して委任管理者を登録すると、Organizations のサービスにリンクされたロールが正常に作成されない可能性があります。完全な機能を確保するには、Security Lake APIs を使用します。
サービスにリンクされたロールで使用されるサービスプリンシパル
前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Amazon Security Lake によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
-
securitylake.amazonaws.com
Amazon Security Lake との信頼されたアクセスの有効化
Security Lake との信頼されたアクセスを有効化すると、組織のメンバーシップに変更があった場合、Security Lake が自動的に対応するようになります。委任された管理者は、どの組織のアカウントでも、サポートされているサービスからの AWS ログ収集を有効にすることができます。詳細については、「Amazon Security Lake ユーザーガイド」の「Service-linked role for Amazon Security Lake」を参照してください。
信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。
Organizations ツールを使用してのみ、信頼されたアクセスのみを有効にできます。
信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。
Amazon Security Lake との信頼できるアクセスの無効化
Amazon Security Lake との信頼されたアクセスを無効にできるのは、Organizations の管理アカウントの管理者だけです。
信頼されたアクセスは、Organizations ツールを使用してのみ無効にできます。
信頼されたアクセスの無効化には、AWS Organizations コンソールを使用する方法、Organizations の AWS CLI コマンドを実行する方法、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。
Amazon Security Lake の委任された管理者アカウントの有効化
Amazon Security Lake の委任された管理者は、組織内の他のアカウントをメンバーアカウントとして追加します。委任された管理者は、Amazon Security Lake を有効にし、メンバーアカウントの Amazon Security Lake の設定を行うことができます。委任された管理者は、Amazon Security Lake が有効になっているすべての AWS リージョンの組織全体のログを収集できます (現在使用しているリージョンのエンドポイントは問いません)。
委任された管理者を設定して、組織の新しいアカウントをメンバーとして自動的に追加することもできます。Amazon Security Lake の委任された管理者は、関連するメンバーアカウントのログとイベントにアクセスできます。そのため、関連するメンバーアカウントが所有するデータを収集するように Amazon Security Lake を設定することができます。また、関連するメンバーアカウントが所有するデータを使用する権限をサブスクライバーに付与することもできます。
詳細については、「Amazon Security Lake ユーザーガイド」の「Managing multiple accounts with AWS Organizations」を参照してください。
最小アクセス許可
組織内のメンバーアカウントを Amazon Security Lake の委任された管理者として設定できるのは、Organizations 管理アカウントの管理者だけです。
委任された管理者アカウントは、Amazon Security Lake コンソールや Amazon Security Lake CreateDatalakeDelegatedAdmin API アクション、または create-datalake-delegated-admin CLI コマンドを使用して指定できます。または、Organizations RegisterDelegatedAdministrator CLI または SDK オペレーションを使用できます。Amazon Security Lake の委任管理者アカウントを有効にする手順については、「Amazon Security Lake ユーザーガイド」の「Designating the delegated Security Lake administrator and adding member accounts」を参照してください。
Amazon Security Lake の委任管理者の無効化
組織から委任された管理者アカウントを削除できるのは、Organizations の管理者アカウントまたは Amazon Security Lake の委任された管理者アカウントのいずれかの管理者のみです。
委任された管理者を削除するには、Amazon Security Lake DeregisterDataLakeDelegatedAdministrator API オペレーションや、deregister-data-lake-delegated-administrator CLI コマンドを使用するか、Organizations DeregisterDelegatedAdministrator CLI または SDK オペレーションを使用します。Amazon Security Lake を使用して委任された管理者を削除するには、「Amazon Security Lake ユーザーガイド」の「Removing the Amazon Security Lake delegated administrator 」を参照してください。
