Perfis vinculados ao serviço Entidades de serviço primárias Habilitar acesso confiável Desabilitar acesso confiável Como habilitar uma conta de administrador delegado para o Amazon Security Lake Desabilitar um administrador delegado para o Amazon Security Lake

Amazon Security Lake e AWS Organizations

O Amazon Security Lake centraliza dados de segurança de fontes na nuvem, on-premises e personalizadas em um data lake armazenado em sua conta. Ao se integrar ao Organizations, você pode criar um data lake que coleta registros e eventos em suas contas. Para obter mais informações, consulte Gerenciar várias contas com o AWS Organizations no Guia do usuário do Amazon Security Lake.

Use as informações a seguir para ajudá-lo a integrar o Amazon Security Lake com AWS Organizations o.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento da sua organização quando você chama a RegisterDataLakeDelegatedAdministratorAPI. Esse perfil permite que o Amazon Security Lake realize operações válidas nas contas da sua organização.

Você só poderá excluir ou modificar esse perfil se desabilitar o acesso confiável entre o Amazon Security Lake e o Organizations, ou se remover a conta-membro da organização.

AWSServiceRoleForSecurityLake

Recomendação: use a RegisterDataLakeDelegatedAdministrator API do Security Lake para permitir que o Security Lake acesse sua organização e para registrar o administrador delegado da organização

Se você usar 'Organizations' APIs para registrar um administrador delegado, as funções vinculadas ao serviço das Organizations podem não ser criadas com êxito. Para garantir a funcionalidade total, use o Security Lake APIs.

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. Os perfis vinculados ao serviço usados pelo Amazon Security Lake concedem acesso às seguintes entidades principais de serviço:

securitylake.amazonaws.com

Como habilitar o acesso confiável ao Amazon Security Lake

Quando o acesso confiável for habilitado no Security Lake, o Security Lake poderá reagir automaticamente às alterações na associação à organização. O administrador delegado pode ativar a coleta de AWS registros de serviços compatíveis em qualquer conta da organização. Para obter mais informações, consulte Função vinculada ao serviço para o Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você só pode habilitar o acesso confiável usando as ferramentas Organizations.

Você pode habilitar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando ou chamando uma operação de API em um dos AWS SDKs.

AWS Management Console

Para habilitar o acesso ao serviço confiável usando o console do Organizations

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
No painel de navegação, escolha Serviços.
Selecione Amazon Security Lake na lista de serviços.
Escolha Enable trusted access (Habilitar acesso confiável).
Na caixa de diálogo Habilitar acesso confiável para o Amazon Security Lake, digite habilitar para confirmar e escolha Habilitar acesso confiável.
Se você for administrador do Only AWS Organizations, informe ao administrador do Amazon Security Lake que agora ele pode habilitar esse serviço para funcionar a AWS Organizations partir do console de serviços.

AWS CLI, AWS API

Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations

Use os seguintes AWS CLI comandos ou operações de API para habilitar o acesso confiável ao serviço:

AWS CLI: enable-aws-service-access

Execute o comando a seguir para habilitar o Amazon Security Lake como um serviço confiável com Organizations.
```
$ aws organizations enable-aws-service-access \ 
    --service-principal securitylake.amazonaws.com
```
Esse comando não gera nenhuma saída quando é bem-sucedido.
AWS API: Habilitar AWSService acesso

Como desabilitar o acesso confiável ao Amazon Security Lake

Apenas um administrador na conta de gerenciamento Organizations pode desabilitar o acesso confiável com o Amazon Security Lake.

Você só pode desativar o acesso confiável usando as ferramentas Organizations.

Você pode desativar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando do Organizations ou chamando uma operação da API Organizations em um dos AWS SDKs.

AWS Management Console

Para desabilitar o acesso confiável usando o console do Organizations

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
No painel de navegação, escolha Serviços.
Selecione Amazon Security Lake na lista de serviços.
Escolha Desabilitar acesso confiável.
Na caixa de diálogo Desativar acesso confiável para o Amazon Security Lake, digite desabilitar para confirmar e, em seguida, escolha Desativar acesso confiável.
Se você for administrador do Only AWS Organizations, diga ao administrador do Amazon Security Lake que agora ele pode impedir que esse serviço funcione AWS Organizations usando o console de serviço ou as ferramentas.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os seguintes AWS CLI comandos ou operações de API para desativar o acesso confiável a serviços:

AWS CLI: disable-aws-service-access

Execute o comando a seguir para desativar o Amazon Security Lake como um serviço confiável com Organizations.
```
$ aws organizations disable-aws-service-access \
    --service-principal securitylake.amazonaws.com
```
Esse comando não gera nenhuma saída quando é bem-sucedido.
AWS API: Desativar AWSService acesso

Como habilitar uma conta de administrador delegado para o Amazon Security Lake

O administrador delegado do Amazon Security Lake adiciona outras contas na organização como contas-membro. O administrador delegado pode ativar o Amazon Security Lake e definir as configurações do Amazon Security Lake para as contas-membro. O administrador delegado pode coletar registros em toda a organização em todas as AWS regiões em que o Amazon Security Lake está habilitado (independentemente do endpoint regional que você está usando atualmente).

Você também pode configurar o administrador delegado para adicionar automaticamente novas contas na organização como membros. O administrador delegado do Amazon Security Lake tem acesso aos logs e eventos nas contas-membro associadas. Assim, você pode configurar o Amazon Security Lake para coletar dados pertencentes às contas-membro associadas. Também é possível conceder aos assinantes permissão para consumir dados pertencentes às contas-membro associadas.

Para obter mais informações, consulte Gerenciar várias contas com o AWS Organizations no Guia do usuário do Amazon Security Lake.

Permissões mínimas

Somente um administrador na conta de gerenciamento do Organizations pode configurar uma conta-membro como um administrador delegado para o Amazon Security Lake na organização

É possível especificar uma conta de administrador delegado usando o console do Amazon Security Lake, a ação CreateDatalakeDelegatedAdmin da API do Amazon Security Lake ou o comando create-datalake-delegated-admin da CLI. Como alternativa, você pode usar a operação RegisterDelegatedAdministrator da CLI ou SDK do Organizations. Para obter instruções sobre como habilitar uma conta de administrador delegado para o Amazon Security Lake, consulte Designar o administrador delegado do Security Lake e adicionar contas-membro no Guia do usuário do Amazon Security Lake.

Desabilitar um administrador delegado para o Amazon Security Lake

Somente um administrador na conta de gerenciamento do Organizations ou a conta de administrador delegado do Amazon Security Lake podem remover uma conta de administrador delegado da organização.

É possível remover a conta de administrador delegado usando a operação DeregisterDataLakeDelegatedAdministrator da API do Amazon Security Lake, o comando deregister-data-lake-delegated-administrator da CLI ou a operação DeregisterDelegatedAdministrator da CLI ou SDK do Organizations. Para remover um administrador delegado usando o Amazon Security Lake, consulte Removing the Amazon Security Lake delegated administrator no Guia do usuário do Amazon Security Lake.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS Resposta a incidentes de segurança

AWS Service Catalog