As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Amazon Security Lake e AWS Organizations
<a name="services-that-can-integrate-sl"></a>

O Amazon Security Lake centraliza dados de segurança de fontes na nuvem, on-premises e personalizadas em um data lake armazenado em sua conta. Ao se integrar ao Organizations, você pode criar um data lake que coleta registros e eventos em suas contas. Para obter mais informações, consulte [Gerenciar várias contas com o AWS Organizations](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html) no *Guia do usuário do Amazon Security Lake*. 

Use as informações a seguir para ajudá-lo a integrar o Amazon Security Lake com AWS Organizations o.



## Funções vinculadas ao serviço, criadas quando você habilitou a integração
<a name="integrate-enable-slr-sl"></a>

A [função vinculada ao serviço](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin) a seguir é criada automaticamente na conta de gerenciamento da sua organização quando você chama a [RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator.html)API. Esse perfil permite que o Amazon Security Lake realize operações válidas nas contas da sua organização.

Você só poderá excluir ou modificar esse perfil se desabilitar o acesso confiável entre o Amazon Security Lake e o Organizations, ou se remover a conta-membro da organização.
+ `AWSServiceRoleForSecurityLake`

**Recomendação: use a RegisterDataLakeDelegatedAdministrator API do Security Lake para permitir que o Security Lake acesse sua organização e para registrar o administrador delegado da organização**  
Se você usar 'Organizations' APIs para registrar um administrador delegado, as funções vinculadas ao serviço das Organizations podem não ser criadas com êxito. Para garantir a funcionalidade total, use o Security Lake APIs.

## Entidades de serviço primárias usadas pelas funções vinculadas ao serviço
<a name="integrate-enable-svcprin-sl"></a>

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. Os perfis vinculados ao serviço usados pelo Amazon Security Lake concedem acesso às seguintes entidades principais de serviço:
+ `securitylake.amazonaws.com`

## Como habilitar o acesso confiável ao Amazon Security Lake
<a name="integrate-enable-ta-sl"></a>

Quando o acesso confiável for habilitado no Security Lake, o Security Lake poderá reagir automaticamente às alterações na associação à organização. O administrador delegado pode ativar a coleta de AWS registros de serviços compatíveis em qualquer conta da organização. Para obter mais informações, consulte [Função vinculada ao serviço para o Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/service-linked-roles.html) no *Guia do usuário do Amazon Security Lake*.

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte [Permissões necessárias para habilitar o acesso confiável](orgs_integrate_services.md#orgs_trusted_access_perms).

Você só pode habilitar o acesso confiável usando as ferramentas do Organizations.

Você pode habilitar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando ou chamando uma operação de API em um dos AWS SDKs.

------
#### [ Console de gerenciamento da AWS ]

**Para habilitar o acesso ao serviço confiável usando o console do Organizations**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.

1. No painel de navegação, escolha **Serviços**.

1. Selecione **Amazon Security Lake** na lista de serviços.

1. Escolha **Enable trusted access (Habilitar acesso confiável)**.

1. Na caixa de diálogo **Habilitar o acesso confiável para o Amazon Security Lake**, digite **habilitar** para confirmar e, em seguida, escolha **Habilitar o acesso confiável**.

1. Se você for administrador do Only AWS Organizations, informe ao administrador do Amazon Security Lake que agora ele pode habilitar esse serviço para funcionar a AWS Organizations partir do console de serviços.

------
#### [ AWS CLI, AWS API ]

**Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations**  
Use os seguintes AWS CLI comandos ou operações de API para habilitar o acesso confiável ao serviço:
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Execute o comando a seguir para habilitar o Amazon Security Lake como um serviço confiável com o Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal securitylake.amazonaws.com
  ```

  Esse comando não gera nenhuma saída quando é bem-sucedido.
+ AWS API: [Habilitar AWSService acesso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Como desabilitar o acesso confiável ao Amazon Security Lake
<a name="integrate-disable-ta-sl"></a>

Apenas um administrador na conta gerencial Organizations pode desabilitar o acesso confiável com o Amazon Security Lake. 

Você só pode desabilitar o acesso confiável usando as ferramentas do Organizations.

Você pode desativar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando do Organizations ou chamando uma operação da API Organizations em um dos AWS SDKs.

------
#### [ Console de gerenciamento da AWS ]

**Para desabilitar o acesso confiável usando o console do Organizations**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.

1. No painel de navegação, escolha **Serviços**.

1. Selecione **Amazon Security Lake** na lista de serviços.

1. Escolha **Desabilitar acesso confiável**.

1. Na caixa de diálogo **Desabilitar o acesso confiável para o Amazon Security Lake**, digite **desabilitar** para confirmar e, sem seguida, selecione **Desabilitar o acesso confiável**.

1. Se você for administrador do Only AWS Organizations, diga ao administrador do Amazon Security Lake que agora ele pode impedir que esse serviço funcione AWS Organizations usando o console de serviço ou as ferramentas.

------
#### [ AWS CLI, AWS API ]

**Para desabilitar o acesso confiável usando a CLI/SKD do Organizations**  
Você pode usar os seguintes AWS CLI comandos ou operações de API para desativar o acesso confiável a serviços:
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Execute o comando a seguir para desabilitar o Amazon Security Lake como um serviço confiável com o Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal securitylake.amazonaws.com
  ```

  Esse comando não gera nenhuma saída quando é bem-sucedido.
+ AWS API: [Desativar AWSService acesso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Como habilitar uma conta de administrador delegado para o Amazon Security Lake
<a name="integrate-enable-da-sl"></a>

O administrador delegado do Amazon Security Lake adiciona outras contas na organização como contas-membro. O administrador delegado pode ativar o Amazon Security Lake e definir as configurações do Amazon Security Lake para as contas-membro. O administrador delegado pode coletar registros em toda a organização em todas as AWS regiões em que o Amazon Security Lake está habilitado (independentemente do endpoint regional que você está usando atualmente).

Você também pode configurar o administrador delegado para adicionar automaticamente novas contas na organização como membros. O administrador delegado do Amazon Security Lake tem acesso aos logs e eventos nas contas-membro associadas. Assim, você pode configurar o Amazon Security Lake para coletar dados pertencentes às contas-membro associadas. Também é possível conceder aos assinantes permissão para consumir dados pertencentes às contas-membro associadas.

Para obter mais informações, consulte [Gerenciar várias contas com o AWS Organizations](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html) no *Guia do usuário do Amazon Security Lake*.

**Permissões mínimas**  
Somente um administrador na conta gerencial do Organizations pode configurar uma conta-membro como um administrador delegado para o Amazon Security Lake na organização

É possível especificar uma conta de administrador delegado usando o console do Amazon Security Lake, a ação `CreateDatalakeDelegatedAdmin` da API do Amazon Security Lake ou o comando `create-datalake-delegated-admin` da CLI. Como alternativa, você pode usar a operação `RegisterDelegatedAdministrator` da CLI ou SDK do Organizations. Para obter instruções sobre como habilitar uma conta de administrador delegado para o Amazon Security Lake, consulte [Designar o administrador delegado do Security Lake e adicionar contas-membro](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#designated-admin) no *Guia do usuário do Amazon Security Lake*.

------
#### [ AWS CLI, AWS API ]

Se você quiser configurar uma conta de administrador delegado usando a AWS CLI ou uma das, você pode usar AWS SDKs os seguintes comandos:
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \ --service-principal securitylake.amazonaws.com
  ```
+ AWS SDK: chame a `RegisterDelegatedAdministrator` operação da Organizations e o número de identificação da conta do membro e identifique o responsável pelo serviço da conta `account.amazonaws.com` como parâmetros. 

------

## Desabilitar um administrador delegado para o Amazon Security Lake
<a name="integrate-disable-da-sl"></a>

Somente um administrador na conta gerencial do Organizations ou a conta de administrador delegado do Amazon Security Lake podem remover uma conta de administrador delegado da organização. 

É possível remover a conta de administrador delegado usando a operação `DeregisterDataLakeDelegatedAdministrator` da API do Amazon Security Lake, o comando `deregister-data-lake-delegated-administrator` da CLI ou a operação `DeregisterDelegatedAdministrator` da CLI ou SDK do Organizations. Para remover um administrador delegado usando o Amazon Security Lake, consulte [Removing the Amazon Security Lake delegated administrator](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#remove-delegated-admin) no *Guia do usuário do Amazon Security Lake*.