As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Amazon Security Lake e AWS Organizations
O Amazon Security Lake centraliza dados de segurança de fontes na nuvem, on-premises e personalizadas em um data lake armazenado em sua conta. Ao se integrar ao Organizations, você pode criar um data lake que coleta registros e eventos em suas contas. Para obter mais informações, consulte Gerenciar várias contas com o AWS Organizations no Guia do usuário do Amazon Security Lake.
Use as informações a seguir para obter ajuda para integrar o Amazon Security Lake ao AWS Organizations.
Funções vinculadas ao serviço, criadas quando você habilitou a integração
O perfil vinculado ao serviço a seguir é criado automaticamente na conta gerencial da sua organização quando você chama a API RegisterDataLakeDelegatedAdministrator. Esse perfil permite que o Amazon Security Lake realize operações válidas nas contas da sua organização.
Você só poderá excluir ou modificar esse perfil se desabilitar o acesso confiável entre o Amazon Security Lake e o Organizations, ou se remover a conta-membro da organização.
-
AWSServiceRoleForSecurityLake
Recomendação: use a API RegisterDataLakeDelegatedAdministrator do Security Lake para permitir que o Security Lake acesse sua organização e registrar o administrador delegado do Organizations.
Se você usar as APIs do Organizations para registrar um administrador delegado, os perfis vinculados ao serviço do Organizations talvez não sejam criadas com êxito. Para garantir a funcionalidade completa, use as APIs do Security Lake.
Entidades de serviço primárias usadas pelas funções vinculadas ao serviço
A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. Os perfis vinculados ao serviço usados pelo Amazon Security Lake concedem acesso às seguintes entidades principais de serviço:
-
securitylake.amazonaws.com
Como habilitar o acesso confiável ao Amazon Security Lake
Quando o acesso confiável for habilitado no Security Lake, o Security Lake poderá reagir automaticamente às alterações na associação à organização. O administrador delegado pode habilitar a coleta de logs da AWS para os serviços compatíveis em qualquer conta da organização. Para obter mais informações, consulte Função vinculada ao serviço para o Amazon Security Lake no Guia do usuário do Amazon Security Lake.
Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.
Você só pode habilitar o acesso confiável usando as ferramentas do Organizations.
Você pode habilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI ou chamando uma operação da API em um dos AWS SDKs.
Como desabilitar o acesso confiável ao Amazon Security Lake
Apenas um administrador na conta gerencial Organizations pode desabilitar o acesso confiável com o Amazon Security Lake.
Você só pode desabilitar o acesso confiável usando as ferramentas do Organizations.
Você pode desabilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.
Como habilitar uma conta de administrador delegado para o Amazon Security Lake
O administrador delegado do Amazon Security Lake adiciona outras contas na organização como contas-membro. O administrador delegado pode ativar o Amazon Security Lake e definir as configurações do Amazon Security Lake para as contas-membro. O administrador delegado pode coletar logs em uma organização em todas as regiões da AWS em que o Amazon Security Lake está ativado (independentemente do endpoint regional que você está usando).
Você também pode configurar o administrador delegado para adicionar automaticamente novas contas na organização como membros. O administrador delegado do Amazon Security Lake tem acesso aos logs e eventos nas contas-membro associadas. Assim, você pode configurar o Amazon Security Lake para coletar dados pertencentes às contas-membro associadas. Também é possível conceder aos assinantes permissão para consumir dados pertencentes às contas-membro associadas.
Para obter mais informações, consulte Gerenciar várias contas com o AWS Organizations no Guia do usuário do Amazon Security Lake.
Permissões mínimas
Somente um administrador na conta gerencial do Organizations pode configurar uma conta-membro como um administrador delegado para o Amazon Security Lake na organização
É possível especificar uma conta de administrador delegado usando o console do Amazon Security Lake, a ação CreateDatalakeDelegatedAdmin da API do Amazon Security Lake ou o comando create-datalake-delegated-admin da CLI. Como alternativa, você pode usar a operação RegisterDelegatedAdministrator da CLI ou SDK do Organizations. Para obter instruções sobre como habilitar uma conta de administrador delegado para o Amazon Security Lake, consulte Designar o administrador delegado do Security Lake e adicionar contas-membro no Guia do usuário do Amazon Security Lake.
Desabilitar um administrador delegado para o Amazon Security Lake
Somente um administrador na conta gerencial do Organizations ou a conta de administrador delegado do Amazon Security Lake podem remover uma conta de administrador delegado da organização.
É possível remover a conta de administrador delegado usando a operação DeregisterDataLakeDelegatedAdministrator da API do Amazon Security Lake, o comando deregister-data-lake-delegated-administrator da CLI ou a operação DeregisterDelegatedAdministrator da CLI ou SDK do Organizations. Para remover um administrador delegado usando o Amazon Security Lake, consulte Removing the Amazon Security Lake delegated administrator no Guia do usuário do Amazon Security Lake.
