翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Lake AWS Organizationsでの での複数のアカウントの管理
<a name="multi-account-management"></a>

Amazon Security Lake を使用して、複数のAWS アカウントからセキュリティログとイベントを収集できます。複数のアカウントの管理を自動化および合理化するには、Security Lake を[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)と統合することを強くお勧めします。

組織では、組織の作成に使用するアカウントは管理アカウントと呼ばれます。Security Lake をOrganizations と統合するには、管理アカウントが組織の委任された Security Lake 管理者アカウントを指定する必要があります。

委任された Security Lake 管理者は、Security Lake を有効にし、メンバー アカウントの Security Lake 設定を構成できます。委任管理者は、Security Lake が有効になっていAWS リージョンるすべての で (現在使用しているリージョンエンドポイントに関係なく）、組織全体のログとイベントを収集できます。委任管理者は、新しい組織アカウントのログとイベントデータを自動的に収集するように Security Lake を設定することもできます。

委任された Security Lake 管理者は、関連付けられたメンバー アカウントのログおよびイベント データにアクセスできます。したがって、関連するメンバー アカウントが所有するデータを収集するように Security Lake を構成できます。また、関連付けられたメンバー アカウントが所有するデータを使用する権限をサブスクライバーに付与することもできます。

組織内の複数のアカウントで Security Lake を有効にするには、まず組織の管理アカウントが組織の委任された Security Lake 管理者アカウントを指定する必要があります。これで委任された管理者は、組織の Security Lake を有効化して設定できます。

**重要**  
Security Lake の [RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com//security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator.html) API を使用して、Security Lake に組織へのアクセスを許可し、Organizations の委任された管理者を登録します。  
Organizations の API を使用して委任管理者を登録すると、Organizations のサービスにリンクされたロールが正常に作成されない可能性があります。完全な機能を確保するには、Security Lake APIs を使用します。

Organizations のセットアップについては、「*AWS Organizationsユーザーガイド*」の「[組織の作成と管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)」を参照してください。

**既存の Security Lake アカウントの場合**  
2025 年 4 月 17 日より前に Security Lake を有効にした場合は、 を有効にすることをお勧めします[リソース管理のためのサービスリンクロール (SLR) アクセス許可](AWSServiceRoleForSecurityLakeResourceManagement.md)。この SLR を使用することで、継続的なモニタリングとパフォーマンスの向上を継続できるため、レイテンシーとコストを削減できる可能性があります。この SLR に関連付けられたアクセス許可の詳細については、「」を参照してください[リソース管理のためのサービスリンクロール (SLR) アクセス許可](AWSServiceRoleForSecurityLakeResourceManagement.md)。  
Security Lake コンソールを使用する場合、 を有効にするように求める通知が送信されますAWSServiceRoleForSecurityLakeResourceManagement。を使用する場合はAWS CLI、[「Security Lake サービスにリンクされたロールの作成](https://docs.aws.amazon.com/security-lake/latest/userguide/AWSServiceRoleForSecurityLakeResourceManagement.html#create-slr)」を参照してください。

## 委任された Security Lake 管理者に関する重要な考慮事項
<a name="delegated-admin-important"></a>

Security Lake で委任された管理者がどのように動作するかを定義する次の要素に注意してください。

**委任管理者はすべてのリージョンで同一です。**  
委任管理者を作成すると、その委任管理者が Security Lake を有効にするすべてのリージョンの委任管理者になります。

**ログアーカイブアカウントを Security Lake 委任管理者として設定することをお勧めします。**  
Log Archive アカウントはAWS アカウント、すべてのセキュリティ関連ログの取り込みとアーカイブ専用の です。通常、このアカウントへのアクセスは、コンプライアンス調査を行う監査人やセキュリティチームなど、少数のユーザーに限定されます。Log Archive アカウントを Security Lake の委任管理者として設定して、コンテキストの切り替えを最小限に抑えてセキュリティ関連のログとイベントを表示できるようにすることをお勧めします。  
また、Log Archive アカウントに直接アクセスできるのは最小限のユーザーのみにすることをお勧めします。この選択グループ以外で、Security Lake が収集するデータにユーザーがアクセスする必要がある場合は、そのユーザーを Security Lake サブスクライバーとして追加できます。サブスクライバーを追加する方法については、「[Security Lake でのサブスクライバー管理](subscriber-management.md)」を参照してください。  
AWS Control Towerサービスを使用しない場合は、ログアーカイブアカウントがない可能性があります。Log Archive アカウントについて詳しくは、*セキュリティリファレンスアーキテクチャ*の「[Security OU — Log Archive アカウント](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/log-archive.html)」を参照してください。AWS

**組織は、委任された管理者を 1 名だけ持つことができます。**  
Security Lake 管理者は、組織あたり 1 名のみです。

**組織管理アカウントを代理管理者にすることはできません。**  
AWSセキュリティのベストプラクティスと最小特権の原則に基づいて、組織管理アカウントを委任管理者にすることはできません。

**委任された管理者は、アクティブな組織に属している必要があります。**  
組織を削除すると、委任された管理者アカウントは Security Lake を管理できなくなります。別の組織の委任管理者を指定するか、組織の一部ではないスタンドアロンアカウントで Security Lake を使用する必要があります。

## 委任された管理者を指定するには IAM 許可が必要です
<a name="organizations-permissions"></a>

委任 Security Lake 管理者を指定する場合、Security Lake を有効にし、次のポリシーステートメントに記載されている特定のAWS Organizations API オペレーションを使用するためのアクセス許可が必要です。

AWS Identity and Access Management(IAM) ポリシーの末尾に次のステートメントを追加して、これらのアクセス許可を付与できます。

```
{
    "Sid": "Grant permissions to designate a delegated Security Lake administrator",
    "Effect": "Allow",
    "Action": [
        "securitylake:RegisterDataLakeDelegatedAdministrator",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListAccounts",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}
```

## 委任された Security Lake 管理者を指定し、メンバーアカウントを追加します。
<a name="designated-admin"></a>

アクセス方法を選択して、組織の委任された Security Lake 管理者アカウントを指定します。組織管理アカウントのみが、組織の委任された管理者アカウントを指定できます。組織の管理アカウントを組織の委任管理者アカウントにすることはできません。

**注記**  
組織管理アカウントは、Security Lake の `RegisterDataLakeDelegatedAdministrator` オペレーションを使用して、委任された Security Hub 管理者アカウントを指定する必要があります。Organizations を通じて委任された Security Lake 管理者の指定はサポートされていません。
組織の委任された管理者を変更する場合は、まず[現在の委任された管理者を削除する](#remove-delegated-admin)必要があります。その後、新しく委任された管理者を指定できます。

------
#### [ Console ]

1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) を開きます。

   組織の管理アカウントの認証情報を使用してサインインします。

1. 
   + Security Lake がまだ有効になっていない場合は、「**はじめに**」を選択し、「**Security Lakeを有効にする**」ページで Security Lake の委任管理者を指定します。
   + Security Lake がすでに有効になっている場合は、**設定**ページで委任されたSecurity Lake管理者を指定します。

1. 管理**を別のアカウントに委任** で、ログアーカイブアカウントの 12 桁のAWS アカウント ID を入力します。

   ログアーカイブを委任 Security Lake 管理者として使用することをお勧めします。詳細については、「[委任された Security Lake 管理者に関する重要な考慮事項](#delegated-admin-important)」を参照してください。

1. **[委任]** を選択します。Security Lake がまだ有効になっていない場合は、委任された管理者を指定すると、現在のリージョンでそのアカウントに対して Security Lake が有効になります。

------
#### [ API ]

プログラムで委任管理者を指定するには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator)オペレーションを使用します。組織管理アカウントから オペレーションを呼び出す必要があります。を使用している場合はAWS CLI、組織管理アカウントから [https://docs.aws.amazon.com/cli/latest/reference/securitylake/register-data-lake-delegated-administrator.html](https://docs.aws.amazon.com/cli/latest/reference/securitylake/register-data-lake-delegated-administrator.html) コマンドを実行します。リクエストで、 `accountId`パラメータを使用して、組織の委任管理者アカウントとしてAWS アカウント指定する の 12 桁のアカウント ID を指定します。

たとえば、次のAWS CLIコマンドは委任された管理者を指定します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securitylake register-data-lake-delegated-administrator \
--account-id 123456789012
```

委任管理者は、新しい組織アカウントのAWSログとイベントデータの収集を自動化することもできます。この設定では、アカウントが組織に追加されると、新しいアカウントで Security Lake が自動的に有効になりますAWS Organizations。委任管理者は、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeOrganizationConfiguration](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeOrganizationConfiguration)オペレーションを使用するか、AWS CLI を使用している場合は [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake-organization-configuration.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake-organization-configuration.html) コマンドを実行して、この設定を有効にできます。リクエストでは、新しいアカウントの特定の設定を指定することもできます。

たとえば、次のAWS CLIコマンドは、Security Lake と、新しい組織アカウントでの Amazon Route 53 リゾルバークエリログ、AWS Security Hub CSPM検出結果、Amazon Virtual Private Cloud (Amazon VPC) フローログの収集を自動的に有効にします。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securitylake create-data-lake-organization-configuration \
--auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"ROUTE53"},{"sourceName":"SH_FINDINGS"},{"sourceName":"VPC_FLOW"}]}]'
```

------

組織管理アカウントが委任された管理者を指定すると、管理者は組織に対して Security Lake を有効にして構成できるようになります。これには、組織内の個々のアカウントのAWSログとイベントデータを収集するための Security Lake の有効化と設定が含まれます。詳細については、「[Security Lake AWS のサービス での からのデータ収集](internal-sources.md)」を参照してください。

[https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeOrganizationConfiguration.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeOrganizationConfiguration.html) オペレーションを使用して、新しいメンバーアカウントの組織の現在の設定に関する詳細を取得できます。

## 新しい組織アカウントの自動有効化設定の編集
<a name="security-lake-new-account-auto-enable"></a>

委任 Security Lake 管理者は、アカウントが組織に参加するときに、アカウントの自動有効化設定を表示および編集できます。Security Lake は、既存のアカウントではなく、新しいアカウントに対してのみこれらの設定に基づいてデータを取り込みます。

次の手順を使用して、新しい組織アカウントの設定を編集します。

1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) を開きます。

1. ナビゲーションペインで、**[Accounts]** (アカウント) を選択します。

1. **アカウント**ページで、**新しいアカウント設定**セクションを展開します。Security Lake が各**リージョン**から取り込む **Sources** を表示できます。

1. **編集** を選択して、この設定を編集します。

1. **新しいアカウント設定の編集**ページで、次の手順を実行します。

   1. **Select Regions** で、データを取り込むソースを更新するリージョンを 1 つ以上選択します。その後、**[Next]** を選択します。

   1. **ソースの選択** では、**ソースの選択**に次のいずれかのオプションを選択します。

      1. **デフォルトのAWSソースの取り込み** – 推奨オプションを選択すると、CloudTrail - S3 データイベント およびAWS WAFはデフォルトでは取り込みに含まれません。これは、両方のソースタイプを大量に取り込むと、使用コストに大きな影響を与える可能性があるためです。これらのソースを取り込むには、まず**特定のAWSソースの取り込み**オプションを選択し、次に**ログとイベントソースリストからこれらのソース**を選択します。

      1. **特定のAWSソースを取り込む** – このオプションでは、取り込む 1 つ以上のログソースとイベントソースを選択できます。

      1. **ソースを取り込まない** – 前のステップで選択したリージョンからソースを取り込まない場合は、このオプションを選択します。

      1. [**次へ**] を選択します。
**注記**  
アカウントで Security Lake を初めて有効にすると、選択したすべてのログソースとイベントソースが 15 日間の無料試用期間に含まれます。使用情報の詳細については、「[使用状況と推定コストの確認](reviewing-usage-costs.md)」を参照してください。

   1. 変更を確認したら、**適用**を選択します。

      が組織AWS アカウントに参加すると、これらの設定はデフォルトでそのアカウントに適用されます。

## 委任された Security Lake 管理者を削除する。
<a name="remove-delegated-admin"></a>

組織管理アカウントのみが、組織の委任された Security Lake 管理者を削除できます。組織の委任管理者を変更する場合は、現在の委任管理者を削除し、新しい委任管理者を指定します。

**重要**  
委任されたSecurity Lake管理者を削除すると、データレイクが削除され、組織内のアカウントのSecurity Lakeが無効になります。

Security Lake コンソールを使用して委任された管理者を変更または削除することはできません。これらのタスクはプログラムでのみ実行できます。

委任された管理者をプログラムで削除するには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeregisterDataLakeDelegatedAdministrator.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeregisterDataLakeDelegatedAdministrator.html)オペレーションを使用します。組織管理アカウントから オペレーションを呼び出す必要があります。を使用している場合はAWS CLI、組織管理アカウントから [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/deregister-data-lake-delegated-administrator.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/deregister-data-lake-delegated-administrator.html) コマンドを実行します。

たとえば、次のAWS CLIコマンドは、委任 Security Lake 管理者を削除します。

```
$ aws securitylake deregister-data-lake-delegated-administrator
```

委任管理者の指定を保持しながら、新しいメンバーアカウントの自動設定を変更するには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteDataLakeOrganizationConfiguration.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteDataLakeOrganizationConfiguration.html)オペレーションを使用するか、 を使用している場合は [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-data-lake-organization-configuration.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-data-lake-organization-configuration.html) コマンドAWS CLIを使用します。委任された管理者のみが、組織のこれらの設定を変更できます。

たとえば、次のAWS CLIコマンドは、組織に参加する新しいメンバーアカウントからの Security Hub CSPM の検出結果の自動収集を停止します。委任管理者がこのオペレーションを呼び出した後、新しいメンバーアカウントは Security Hub CSPM の検出結果をデータレイクに提供しません。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
$ aws securitylake delete-data-lake-organization-configuration \
--auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS"}]}]'
```

## Security Lake の信頼できるアクセス
<a name="trusted-access"></a>

組織の Security Lake を設定すると、AWS Organizations管理アカウントは Security Lake との信頼されたアクセスを有効にできます。信頼されたアクセスを利用すると、Security Lake は IAM サービスにリンクされたロールを作成し、組織およびそのアカウントでタスクを実行することを代理で実行できます。詳細については、*AWS Organizationsユーザー ガイド*の「[他のAWS のサービスでAWS Organizationsを利用する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。

組織管理アカウントのユーザーは、AWS Organizationsの Security Lake に対する信頼されたアクセスを無効にすることができます。信頼できるアクセスを無効にする手順については、『*AWS Organizationsユーザー ガイド*』の「[信頼できるアクセスを有効または無効にする方法](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_how-to-enable-disable-trusted-access)」を参照してください。

委任された管理者のAWS アカウントが停止、分離、または閉じられている場合は、信頼されたアクセスを無効にすることをお勧めします。