本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Security Lake 和 AWS Organizations
<a name="services-that-can-integrate-sl"></a>

Amazon Security Lake 將來自雲端、內部部署和自訂來源的安全資料，集中到存放在您的帳戶的資料湖中。透過與 Organizations 整合，您可以建立資料湖來收集跨帳戶的日誌和事件。如需詳細資訊，請參閱 *Amazon Security Lake 使用者指南*中的[ 使用  AWS Organizations 管理多個帳戶](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html)。

使用以下資訊來協助您整合 Amazon Security Lake 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-sl"></a>

當您呼叫 [RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator.html) API 時，系統會自動在組織的管理帳戶中建立下列[服務連結角色](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin)。此角色可讓 Amazon Security Lake 在組織中的組織帳戶中執行支援的操作。

只有在您停用 Amazon Security Lake 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForSecurityLake`

**建議：使用 Security Lake 的 RegisterDataLakeDelegatedAdministrator API 來允許 Security Lake 存取您的 Organization 並註冊 Organizations 的委派管理員**  
如果您使用 Organizations 的 APIs 註冊委派管理員，可能不會成功建立 Organizations 的服務連結角色。若要確保完整功能，請使用 Security Lake APIs。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-sl"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Amazon Security Lake 使用的服務連結角色會將存取權授予下列服務主體：
+ `securitylake.amazonaws.com`

## 使用 Amazon Security Lake 啟用受信任存取
<a name="integrate-enable-ta-sl"></a>

當您使用 Security Lake 啟用受信任存取時，Security Lake 可以自動對組織成員資格的變更做出回應。委派管理員可以從任何組織帳戶中支援的 服務啟用 AWS 日誌收集。如需詳細資訊，請參閱 *Amazon Security Lake 使用者指南*中的 [Amazon Security Lake 的服務連結角色](https://docs.aws.amazon.com/security-lake/latest/userguide/service-linked-roles.html)。

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Organizations 工具啟用受信任存取。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇 **Amazon Security Lake**。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用 Amazon Security Lake 的受信任存取**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Amazon Security Lake 的管理員，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，讓 Amazon Security Lake 成為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal securitylake.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 Amazon Security Lake 停用受信任存取
<a name="integrate-disable-ta-sl"></a>

只有 Organizations 管理帳戶中的管理員可以使用 Amazon Security Lake 停用受信任存取。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇 **Amazon Security Lake**。

1. 選擇**停用受信任的存取**。

1. 在**停用 Amazon Security Lake 的受信任存取**對話方塊中，輸入**停用**進行確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Amazon Security Lake 的管理員，他們現在可以使用服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 Amazon Security Lake 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal securitylake.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Amazon Security Lake 的委派管理員帳戶
<a name="integrate-enable-da-sl"></a>

Amazon Security Lake 委派管理員會將組織中的其他帳戶新增為成員帳戶。委派管理員可以啟用 Amazon Security Lake 並為成員帳戶設定 Amazon Security Lake 設定。委派管理員可以在啟用 Amazon Security Lake 的所有 AWS 區域中跨組織收集日誌 （無論您目前正在使用哪個區域端點）。

您還可以設定委派管理員在組織中自動將新帳戶新增為成員。Amazon Security Lake 委派管理員可存取相關聯成員帳戶中的日誌和事件。因此，您可以設定 Amazon Security Lake 來收集關聯成員帳戶擁有的資料。您還可以授權訂閱用戶取用關聯成員帳戶擁有的資料。

如需詳細資訊，請參閱 *Amazon Security Lake 使用者指南*中的[ 使用  AWS Organizations 管理多個帳戶](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html)。

**最低許可**  
只有 Organizations 管理帳戶中的管理員可以將成員帳戶設定為組織中 Amazon Security Lake 的委派管理員

您可以使用 Amazon Security Lake 主控台、Amazon Security Lake `CreateDatalakeDelegatedAdmin` API 操作或 CLI `create-datalake-delegated-admin` 命令來指定委派管理員帳戶。或者，您可以使用 Organizations `RegisterDelegatedAdministrator` CLI 或 SDK 操作。如需為 Amazon Security Lake 啟用委派管理員帳戶的指示，請參閱《Amazon [ Security Lake 使用者指南》中的指定委派的 Security Lake 管理員和新增成員帳戶](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#designated-admin)。 **

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \ --service-principal securitylake.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務主體識別`account.amazonaws.com`為參數。

------

## 停用 Amazon Security Lake 的委派管理員
<a name="integrate-disable-da-sl"></a>

只有 Organizations 管理帳戶或 Amazon Security Lake 委派管理員帳戶中的管理員，才能從組織中移除委派管理員帳戶。

您可以使用 Amazon Security Lake `DeregisterDataLakeDelegatedAdministrator` API 操作、 CLI `deregister-data-lake-delegated-administrator` 命令，或使用 Organizations CLI 或 SDK `DeregisterDelegatedAdministrator` 操作來移除委派的管理員帳戶。若要使用 Amazon Security Lake 移除委派管理員，請參閱[《Amazon Security Lake 使用者指南》中的移除 Amazon Security Lake 委派管理員](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#remove-delegated-admin)。 **