翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Security Lake と AWS Organizations
Amazon Security Lake は、クラウド、オンプレミス、カスタムソースのセキュリティデータを、アカウントに保存されているデータレイクに一元化します。Organizations と統合することで、アカウント全体からログとイベントを収集するデータレイクを作成できます。詳細については、「*Amazon Security Lake ユーザーガイド*」の「[Managing multiple accounts with AWS Organizations](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html)」を参照してください。
次の情報は、Amazon Security Lake を と統合するのに役立ちます AWS Organizations。
## 統合を有効にする際に作成されるサービスにリンクされたロール
[RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator.html) API を呼び出すと、次の[サービスにリンクされたロール](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin)が組織の管理アカウントに自動的に作成されます。このロールにより、Amazon Security Lake はサポートされているオペレーションを組織内のアカウントで実行できます。
このロールを削除または変更できるのは、Amazon Security Lake と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
+ `AWSServiceRoleForSecurityLake`
**推奨事項: Security Lake の RegisterDataLakeDelegatedAdministrator API を使用して、Security Lake による Organization へのアクセスを許可し、Organizations の委任管理者を登録します。**
Organizations の API を使用して委任管理者を登録すると、Organizations のサービスにリンクされたロールが正常に作成されない可能性があります。完全な機能を確保するには、Security Lake APIs を使用します。
## サービスにリンクされたロールで使用されるサービスプリンシパル
前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Amazon Security Lake によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
+ `securitylake.amazonaws.com`
## Amazon Security Lake との信頼されたアクセスの有効化
Security Lake との信頼されたアクセスを有効化すると、組織のメンバーシップに変更があった場合、Security Lake が自動的に対応するようになります。委任管理者は、任意の組織アカウントでサポートされているサービスからの AWS ログ収集を有効にできます。詳細については、「*Amazon Security Lake ユーザーガイド*」の「[Service-linked role for Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/service-linked-roles.html)」を参照してください。
信頼されたアクセスの有効化に必要な権限に関しては、[信頼されたアクセスを有効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_perms) を参照してください。
Organizations ツールを使用してのみ、信頼されたアクセスのみを有効にできます。
信頼されたアクセスを有効にするには、 AWS Organizations コンソールを使用するか、 AWS CLI コマンドを実行するか、いずれかの AWS SDKs。
------
#### [ AWS マネジメントコンソール ]
**Organizations コンソールを使用して信頼されたアクセスを有効にするには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. ナビゲーションペインで [**Services (サービス)**] を選択します。
1. サービスのリストで **[Amazon Security Lake]** を選択します。
1. [**Enable trusted access (信頼されたアクセスを有効にする)**] を選択します。
1. **[Amazon Security Lake の信頼されたアクセスを有効にする]** ダイアログボックスで、**[有効にする]** と入力して確定し、**[信頼されたアクセスを有効にする]** を選択します。
1. の管理者のみの場合は AWS Organizations、Amazon Security Lake の管理者に、サービスコンソール からそのサービスが と AWS Organizations 連携できるようになったことを知らせます。
------
#### [ AWS CLI, AWS API ]
**Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには**
信頼されたサービスアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
次のコマンドを実行し、Amazon Security Lake を Organizations で信頼されたサービスとして有効にします。
```
$ aws organizations enable-aws-service-access \
--service-principal securitylake.amazonaws.com
```
このコマンドが成功した場合、出力は生成されません。
+ AWS API: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)
------
## Amazon Security Lake との信頼できるアクセスの無効化
Amazon Security Lake との信頼されたアクセスを無効にできるのは、Organizations の管理アカウントの管理者だけです。
信頼されたアクセスは、Organizations ツールを使用してのみ無効にできます。
信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。
------
#### [ AWS マネジメントコンソール ]
**Organizations コンソールを使用して信頼されたアクセスを無効にするには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. ナビゲーションペインで [**Services (サービス)**] を選択します。
1. サービスのリストで **[Amazon Security Lake]** を選択します。
1. **Disable trusted access** (信頼されたアクセスを無効にする) を選択します。
1. **[Amazon Security Lake の信頼されたアクセスを無効にする]** ダイアログボックスで、**[無効にする]** と入力して確定し、**[信頼されたアクセスを無効にする]** を選択します。
1. の管理者のみの場合は AWS Organizations、Amazon Security Lake の管理者に、そのサービスがサービスコンソールまたはツール を使用して で AWS Organizations 動作することを無効にできることを伝えます。
------
#### [ AWS CLI, AWS API ]
**Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには**
次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを無効にすることができます。
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
次のコマンドを実行し、Organizations で Amazon Security Lake を信頼されたサービスとすることを無効にします。
```
$ aws organizations disable-aws-service-access \
--service-principal securitylake.amazonaws.com
```
このコマンドが成功した場合、出力は生成されません。
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## Amazon Security Lake の委任された管理者アカウントの有効化
Amazon Security Lake の委任された管理者は、組織内の他のアカウントをメンバーアカウントとして追加します。委任された管理者は、Amazon Security Lake を有効にし、メンバーアカウントの Amazon Security Lake の設定を行うことができます。委任管理者は、Amazon Security Lake が有効になっているすべての AWS リージョン (現在使用しているリージョンエンドポイントに関係なく) の組織全体のログを収集できます。
委任された管理者を設定して、組織の新しいアカウントをメンバーとして自動的に追加することもできます。Amazon Security Lake の委任された管理者は、関連するメンバーアカウントのログとイベントにアクセスできます。そのため、関連するメンバーアカウントが所有するデータを収集するように Amazon Security Lake を設定することができます。また、関連するメンバーアカウントが所有するデータを使用する権限をサブスクライバーに付与することもできます。
詳細については、「*Amazon Security Lake ユーザーガイド*」の「[Managing multiple accounts with AWS Organizations](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html)」を参照してください。
**最小アクセス許可**
組織内のメンバーアカウントを Amazon Security Lake の委任された管理者として設定できるのは、Organizations 管理アカウントの管理者だけです。
委任された管理者アカウントは、Amazon Security Lake コンソールや Amazon Security Lake `CreateDatalakeDelegatedAdmin` API アクション、または `create-datalake-delegated-admin` CLI コマンドを使用して指定できます。または、Organizations `RegisterDelegatedAdministrator` CLI または SDK オペレーションを使用できます。Amazon Security Lake の委任管理者アカウントを有効にする手順については、「*Amazon Security Lake ユーザーガイド*」の「[Designating the delegated Security Lake administrator and adding member accounts](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#designated-admin)」を参照してください。
------
#### [ AWS CLI, AWS API ]
CLI またはいずれかの AWS SDKs を使用して AWS 委任管理者アカウントを設定する場合は、次のコマンドを使用できます。
+ AWS CLI:
```
$ aws organizations register-delegated-administrator \
--account-id 123456789012 \ --service-principal securitylake.amazonaws.com
```
+ AWS SDK: Organizations `RegisterDelegatedAdministrator`オペレーションとメンバーアカウントの ID 番号を呼び出し、アカウントサービスプリンシパルをパラメータ`account.amazonaws.com`として識別します。
------
## Amazon Security Lake の委任管理者の無効化
組織から委任された管理者アカウントを削除できるのは、Organizations の管理者アカウントまたは Amazon Security Lake の委任された管理者アカウントのいずれかの管理者のみです。
委任された管理者を削除するには、Amazon Security Lake `DeregisterDataLakeDelegatedAdministrator` API オペレーションや、`deregister-data-lake-delegated-administrator` CLI コマンドを使用するか、Organizations `DeregisterDelegatedAdministrator` CLI または SDK オペレーションを使用します。Amazon Security Lake を使用して委任された管理者を削除するには、「*Amazon Security Lake ユーザーガイド*」の「[Removing the Amazon Security Lake delegated administrator ](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#remove-delegated-admin)」を参照してください。