Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Amazon Security Lake y AWS Organizations
<a name="services-that-can-integrate-sl"></a>

Amazon Security Lake centraliza los datos de seguridad de fuentes en la nube, en las instalaciones y personalizadas en un lago de datos almacenado en su cuenta. Al integrarse con Organizations, puede crear un lago de datos que recopile registros y eventos en todas sus cuentas. Para obtener más información, consulte [Administración de varias cuentas con AWS Organizations](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html) en la *Guía del usuario de Amazon Security Lake*. 

Utilice la siguiente información para ayudarle a integrar Amazon Security Lake con AWS Organizations.



## Roles vinculados al servicio creados al habilitar la integración
<a name="integrate-enable-slr-sl"></a>

El siguiente [rol vinculado al servicio](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin) se crea automáticamente en la cuenta de administración de su organización cuando llama a la [RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator.html)API. Este rol permite a Amazon Security Lake llevar a cabo operaciones compatibles dentro de las cuentas de su organización.

Puede eliminar o modificar este rol solo si deshabilita el acceso de confianza entre Amazon Security Lake y Organizations, o si elimina la cuenta de miembro de la organización.
+ `AWSServiceRoleForSecurityLake`

**Recomendación: utilice la RegisterDataLakeDelegatedAdministrator API de Security Lake para permitir que Security Lake acceda a su organización y para registrar al administrador delegado de la organización**  
Si utiliza Organizations' APIs para registrar un administrador delegado, es posible que las funciones vinculadas al servicio para las organizaciones no se creen correctamente. Para garantizar una funcionalidad completa, utilice Security Lake. APIs

## Los principales de servicios utilizados por los roles vinculados a servicios
<a name="integrate-enable-svcprin-sl"></a>

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados a servicios utilizados por Amazon Security Lake otorgan acceso a las siguientes entidades principales de servicio:
+ `securitylake.amazonaws.com`

## Activación del acceso de confianza con Amazon Security Lake
<a name="integrate-enable-ta-sl"></a>

Cuando habilita el acceso de confianza con Security Lake, este puede reaccionar automáticamente a los cambios en la membresía de la organización. El administrador delegado puede habilitar la recopilación de AWS registros de los servicios compatibles en cualquier cuenta de la organización. Para obtener más información, consulte [Rol vinculado al servicio para Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/service-linked-roles.html) en la guía del *usuario de Amazon Security Lake*.

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte [Permisos necesarios para habilitar el acceso de confianza](orgs_integrate_services.md#orgs_trusted_access_perms).

Solo puede habilitar el acceso de confianza mediante las herramientas de Organizations.

Puede habilitar el acceso confiable mediante la AWS Organizations consola, ejecutando un AWS CLI comando o llamando a una operación de API en una de las AWS SDKs.

------
#### [ Consola de administración de AWS ]

**Para habilitar el acceso de confianza mediante la consola de Organizations**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. En el panel de navegación, elija **Servicios**.

1. Elija **Amazon Security Lake** en la lista de servicios.

1. Elija **Habilitar acceso de confianza**.

1. En el cuadro de diálogo **Habilitar el acceso de confianza para Amazon Security Lake**, escriba **habilitar** para confirmar y, a continuación, seleccione **Habilitar el acceso de confianza**.

1. Si es el administrador de Only AWS Organizations, dígale al administrador de Amazon Security Lake que ahora puede habilitar ese servicio para que funcione AWS Organizations desde la consola de servicios.

------
#### [ AWS CLI, AWS API ]

**Para habilitar el acceso de confianza mediante OrganizationsCLI/SDK**  
Utilice los siguientes AWS CLI comandos u operaciones de API para habilitar el acceso a un servicio confiable:
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Ejecute el siguiente comando para habilitar Amazon Security Lake como servicio de confianza con Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal securitylake.amazonaws.com
  ```

  Este comando no genera ninguna salida si se realiza correctamente.
+ AWS API: [habilite el AWSService acceso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Desactivación del acceso de confianza con Amazon Security Lake
<a name="integrate-disable-ta-sl"></a>

Solo un administrador de la cuenta de administración de Organizations puede deshabilitar el acceso de confianza con Amazon Security Lake. 

Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza mediante la AWS Organizations consola, ejecutando un AWS CLI comando de Organizations o llamando a una operación de la API de Organizations en uno de los AWS SDKs.

------
#### [ Consola de administración de AWS ]

**Para deshabilitar el acceso de confianza mediante la consola de Organizations**

1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.

1. En el panel de navegación, elija **Servicios**.

1. Elija **Amazon Security Lake** en la lista de servicios.

1. Seleccione **Deshabilitar el acceso de confianza**.

1. En el cuadro de diálogo **Deshabilitar el acceso de confianza para Amazon Security Lake**, escriba **deshabilitar** para confirmar y, a continuación, seleccione **Deshabilitar el acceso de confianza**.

1. Si usted es el administrador de Only AWS Organizations, dígale al administrador de Amazon Security Lake que ahora puede deshabilitar el funcionamiento de ese servicio AWS Organizations mediante la consola de servicios o las herramientas.

------
#### [ AWS CLI, AWS API ]

**Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK**  
Puede usar los siguientes AWS CLI comandos u operaciones de API para deshabilitar el acceso a un servicio confiable:
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Ejecute el siguiente comando para deshabilitar Amazon Security Lake como servicio de confianza con Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal securitylake.amazonaws.com
  ```

  Este comando no genera ninguna salida si se realiza correctamente.
+ AWS API: [inhabilitar el AWSService acceso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activación de una cuenta de administrador delegado para Amazon Security Lake
<a name="integrate-enable-da-sl"></a>

El administrador delegado de Amazon Security Lake agrega otras cuentas de la organización como cuentas de miembro. El administrador delegado puede habilitar Amazon Security Lake y configurar los ajustes de Amazon Security Lake para las cuentas de miembro. El administrador delegado puede recopilar registros en una organización en todas AWS las regiones en las que Amazon Security Lake esté activado (independientemente del punto de conexión regional que utilice actualmente).

También puede configurar el administrador delegado para que añada automáticamente nuevas cuentas en la organización como miembros. El administrador delegado de Amazon Security Lake tiene acceso a los registros y eventos de las cuentas de miembro asociadas. En consecuencia, puede configurar Amazon Security Lake para recopilar datos propiedad de las cuentas de miembro asociadas. También puede conceder permiso a los suscriptores para que consuman los datos que pertenecen a las cuentas asociadas de los miembros.

Para obtener más información, consulte [Administración de varias cuentas con AWS Organizations](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html) en la *Guía del usuario de Amazon Security Lake*.

**Permisos mínimos**  
Solo un administrador en la cuenta de administración de Organizations puede configurar una cuenta de miembro como administrador delegado para Amazon Security Lake en la organización.

Puede especificar una cuenta de administrador delegado mediante la consola de Amazon Security Lake, la operación de la API `CreateDatalakeDelegatedAdmin` de Amazon Security Lake o el comando de la CLI `create-datalake-delegated-admin`. También puede utilizar la operación `RegisterDelegatedAdministrator` CLI o SDK de Organizations. Para obtener instrucciones sobre cómo habilitar una cuenta de administrador delegado para Amazon Security Lake, consulte [Designating the delegated Security Lake administrator and adding member accounts](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#designated-admin) en la *Guía del usuario de Amazon Security Lake*.

------
#### [ AWS CLI, AWS API ]

Si desea configurar una cuenta de administrador delegado mediante la AWS CLI o una de las AWS SDKs, puede utilizar los siguientes comandos:
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \ --service-principal securitylake.amazonaws.com
  ```
+ AWS SDK: llame a la `RegisterDelegatedAdministrator` operación de la organización y al número de identificación de la cuenta del miembro e identifique el principal de servicio de la cuenta `account.amazonaws.com` como parámetros. 

------

## Desactivación de un administrador delegado para Amazon Security Lake
<a name="integrate-disable-da-sl"></a>

Solo un administrador en la cuenta de administración de Organizations o en la cuenta de administrador delegado de Amazon Security Lake puede eliminar una cuenta de administrador delegado de la organización. 

Puede eliminar una cuenta de administrador delegado utilizando la operación de la API `DeregisterDataLakeDelegatedAdministrator` de Amazon Security Lake, el comando de la CLI `deregister-data-lake-delegated-administrator` o la operación del SDK o la CLI `DeregisterDelegatedAdministrator` de Organizations. Para eliminar un administrador delegado mediante Amazon Security Lake, consulte [Removing the Amazon Security Lake delegated administrator](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#remove-delegated-admin) en la *Guía del usuario de Amazon Security Lake*.