Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Amazon Security Lake et AWS Organizations
<a name="services-that-can-integrate-sl"></a>

Amazon Security Lake centralise les données de sécurité provenant de sources cloud, sur site et personnalisées dans un lac de données qui est stocké dans votre compte. Grâce à l'intégration avec Organizations, vous pouvez créer un lac de données qui collecte les journaux et les événements de l'ensemble de vos comptes. Pour plus d'informations, consultez [Gestion de plusieurs comptes avec AWS Organizations](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html) (français non garanti) dans le *Guide de l'utilisateur Amazon Security Lake* (français non garanti). 

Utilisez les informations suivantes pour vous aider à intégrer Amazon Security Lake à AWS Organizations.



## Création de rôles liés à un service lors de l'activation de l'intégration
<a name="integrate-enable-slr-sl"></a>

Le [rôle lié au service](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin) suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous appelez l'[RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator.html)API. Ce rôle permet à Amazon Security Lake d'effectuer des opérations prises en charge au sein des comptes de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre Amazon Security Lake et Organizations, ou si vous supprimez le compte membre de l'organisation.
+ `AWSServiceRoleForSecurityLake`

**Recommandation : utilisez l' RegisterDataLakeDelegatedAdministrator API de Security Lake pour autoriser Security Lake à accéder à votre organisation et pour enregistrer l'administrateur délégué de l'organisation**  
Si vous utilisez « Organisations » APIs pour enregistrer un administrateur délégué, les rôles liés aux services pour les organisations risquent de ne pas être créés correctement. Pour garantir une fonctionnalité complète, utilisez le Security Lake APIs.

## Principaux de service utilisés par les rôles liés à un service
<a name="integrate-enable-svcprin-sl"></a>

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par Amazon Security Lake donnent accès aux principaux de service suivants :
+ `securitylake.amazonaws.com`

## Permettre un accès fiable avec Amazon Security Lake
<a name="integrate-enable-ta-sl"></a>

Lorsque vous activez l'accès approuvé avec Security Lake, il peut réagir automatiquement aux changements dans l'appartenance à l'organisation. L'administrateur délégué peut activer la collecte de AWS journaux à partir des services pris en charge dans n'importe quel compte d'organisation. Pour plus d'informations, consultez la section [Rôle lié à un service pour Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/service-linked-roles.html) (français non garanti) dans le *guide de l'utilisateur Amazon Security Lake* (français non garanti).

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez [Autorisations requises pour activer l'accès approuvé](orgs_integrate_services.md#orgs_trusted_access_perms).

Vous ne pouvez activer l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour activer l'accès approuvé aux services à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Amazon Security Lake** dans la liste des services.

1. Choisissez **Enable trusted access (Activer l'accès approuvé)**.

1. Dans la boîte de dialogue **Activer l'accès sécurisé pour Amazon Security Lake**, tapez **enable** pour confirmer, puis sélectionnez **Activer l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Security Lake qu'il peut désormais activer ce service pour qu'il fonctionne avec ce service AWS Organizations depuis la console de service.

------
#### [ AWS CLI, AWS API ]

**Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations**  
Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Exécutez la commande suivante pour activer Amazon Security Lake en tant que service fiable auprès d'Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal securitylake.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Activer AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Désactiver l'accès sécurisé avec Amazon Security Lake
<a name="integrate-disable-ta-sl"></a>

Seul un administrateur du compte de gestion des Organizations peut désactiver l'accès sécurisé à Amazon Security Lake. 

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

------
#### [ AWS Management Console ]

**Pour désactiver l'accès approuvé à l'aide de la console Organizations**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Dans le panneau de navigation, choisissez **Services**.

1. Choisissez **Amazon Security Lake** dans la liste des services.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Dans la boîte de dialogue **Désactiver l'accès sécurisé pour Amazon Security Lake**, tapez **désactiver** pour confirmer, puis choisissez **Désactiver l'accès sécurisé**.

1. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Security Lake qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

------
#### [ AWS CLI, AWS API ]

**Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations**  
Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Exécutez la commande suivante pour désactiver Amazon Security Lake en tant que service de confiance auprès d'Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal securitylake.amazonaws.com
  ```

  Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS API : [Désactiver AWSService l'accès](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Activation d'un compte d'administrateur délégué pour Amazon Security Lake
<a name="integrate-enable-da-sl"></a>

L'administrateur délégué d'Amazon Security Lake ajoute d'autres comptes au sein de l'organisation en tant que comptes de membres. L'administrateur délégué peut activer Amazon Security Lake et configurer les paramètres Amazon Security Lake pour les comptes des membres. L'administrateur délégué peut collecter des journaux au sein d'une organisation dans toutes les AWS régions où Amazon Security Lake est activé (quel que soit le point de terminaison régional que vous utilisez actuellement).

Vous pouvez également configurer l'administrateur délégué de manière à ce qu'il ajoute automatiquement les nouveaux comptes dans l'organisation en tant que membres. L'administrateur délégué d'Amazon Security Lake a accès aux journaux et aux événements des comptes membres associés. Par conséquent, vous pouvez configurer Amazon Security Lake pour collecter les données détenues par les comptes membres associés. Vous pouvez également accorder aux abonnés l'autorisation de consommer des données appartenant à des comptes membres associés.

Pour plus d'informations, consultez [Gestion de plusieurs comptes avec AWS Organizations](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html) (français non garanti) dans le *Guide de l'utilisateur Amazon Security Lake* (français non garanti).

**Autorisations minimales**  
Seul un administrateur du compte de gestion de l'organisation peut configurer un compte membre en tant qu'administrateur délégué pour Amazon Security Lake au sein de l'organisation.

Vous pouvez spécifier un compte d'administrateur délégué à l'aide de la console Amazon Security Lake, de l'opération d'`CreateDatalakeDelegatedAdmin`API Amazon Security Lake ou de la commande `create-datalake-delegated-admin` CLI. Vous pouvez également utiliser l'opération CLI ou SDK d'Organisations `RegisterDelegatedAdministrator`. Pour obtenir des instructions sur l'activation d'un compte d'administrateur délégué pour Amazon Security Lake, consultez la section [Désignation de l'administrateur délégué de Security Lake et ajout de comptes membres](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#designated-admin) dans le guide de *l'utilisateur d'Amazon Security Lake*.

------
#### [ AWS CLI, AWS API ]

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \ --service-principal securitylake.amazonaws.com
  ```
+ AWS SDK : appelez le `RegisterDelegatedAdministrator` service Organizations et le numéro d'identification du compte membre et identifiez le principal du service du compte `account.amazonaws.com` sous forme de paramètres. 

------

## Désactivation d'un administrateur délégué pour Amazon Security Lake
<a name="integrate-disable-da-sl"></a>

Seul un administrateur du compte de gestion des Organizations ou du compte d'administrateur délégué Amazon Security Lake peut supprimer un compte d'administrateur délégué de l'organisation. 

Vous pouvez supprimer le compte d'administrateur délégué à l'aide de l'opération d'`DeregisterDataLakeDelegatedAdministrator`API Amazon Security Lake, de la commande `deregister-data-lake-delegated-administrator` CLI, ou en utilisant l'opération Organizations `DeregisterDelegatedAdministrator` CLI ou SDK. Pour supprimer un administrateur délégué à l'aide d'Amazon Security Lake, consultez la section [Suppression de l'administrateur délégué Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#remove-delegated-admin) dans le *guide de l'utilisateur d'Amazon Security Lake*.