Servicebezogene Rolle für Security Lake - Amazon Security Lake
Berechtigungen für dienstbezogene Rollen für Security LakeDie serviceverknüpfte Rolle in Security Lake erstellenBearbeitung der serviceverknüpften Rolle in Security LakeLöschen der serviceverknüpften Rolle in Security LakeWird AWS-Regionen für die serviceverknüpfte Security Lake-Rolle unterstützt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Servicebezogene Rolle für Security Lake

Security Lake verwendet eine AWS Identity and Access Management (IAM) dienstverknüpfte Rolle mit dem Namen. AWSServiceRoleForSecurityLake Bei dieser dienstbezogenen Rolle handelt es sich um eine IAM Rolle, die direkt mit Security Lake verknüpft ist. Sie ist von Security Lake vordefiniert und umfasst alle Berechtigungen, die Security Lake benötigt, um andere in AWS-Services Ihrem Namen anzurufen und den Security Data Lake-Dienst zu betreiben. Security Lake verwendet diese dienstbezogene Rolle überall dort, AWS-Regionen wo Security Lake verfügbar ist.

Durch die dienstbezogene Rolle müssen die erforderlichen Berechtigungen bei der Einrichtung von Security Lake nicht mehr manuell hinzugefügt werden. Security Lake definiert die Berechtigungen dieser dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Security Lake die Rolle übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Sie müssen Berechtigungen so konfigurieren, dass eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch. Sie können eine dienstverknüpfte Rolle erst löschen, nachdem Sie die zugehörigen Ressourcen gelöscht haben. Dies schützt Ihre -Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten arbeiten, IAM und suchen Sie in der Spalte Dienstbezogene Rollen nach den Diensten, für die Ja angegeben ist. Wählen Sie Ja mit einem Link aus, um die Dokumentation der dienstbezogenen Rollen für diesen Dienst zu lesen.

Berechtigungen für dienstbezogene Rollen für Security Lake

Security Lake verwendet die angegebene dienstverknüpfte Rolle. AWSServiceRoleForSecurityLake Diese dienstbezogene Rolle vertraut darauf, dass der securitylake.amazonaws.com Dienst die Rolle übernimmt. Weitere Informationen zu AWS verwalteten Richtlinien für Amazon Security Lake finden Sie unter Richtlinien für Amazon Security Lake AWS verwalten.

Die Berechtigungsrichtlinie für die Rolle, bei der es sich um eine AWS verwaltete Richtlinie mit dem Namen handeltSecurityLakeServiceLinkedRole, ermöglicht es Security Lake, den Security Data Lake zu erstellen und zu betreiben. Sie ermöglicht es Security Lake auch, Aufgaben wie die folgenden für die angegebenen Ressourcen auszuführen:

  • Verwenden Sie AWS Organizations Aktionen, um Informationen über zugehörige Konten abzurufen

  • Verwenden Sie Amazon Elastic Compute Cloud (AmazonEC2), um Informationen über Amazon VPC Flow Logs abzurufen

  • Verwenden Sie AWS CloudTrail Aktionen, um Informationen über die serviceverknüpfte Rolle abzurufen

  • Verwenden Sie AWS WAF Aktionen zum Sammeln von AWS WAF Protokollen, wenn es als Protokollquelle in Security Lake aktiviert ist

  • Verwenden Sie LogDelivery Action, um ein Abonnement für die AWS WAF Protokollzustellung zu erstellen oder zu löschen.

Die Rolle ist mit der folgenden Berechtigungsrichtlinie konfiguriert:

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "OrganizationsPolicies",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "organizations:DescribeOrganization"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "DescribeOrgAccounts",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount"
            ],
            "Resource": [
                "arn:aws:organizations::*:account/o-*/*"
            ]
        },
        {
            "Sid": "AllowManagementOfServiceLinkedChannel",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateServiceLinkedChannel",
                "cloudtrail:DeleteServiceLinkedChannel",
                "cloudtrail:GetServiceLinkedChannel",
                "cloudtrail:UpdateServiceLinkedChannel"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*"
        },
        {
            "Sid": "AllowListServiceLinkedChannel",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:ListServiceLinkedChannels"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DescribeAnyVpc",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListDelegatedAdmins",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "securitylake.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowWafLoggingConfiguration",
            "Effect": "Allow",
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:GetLoggingConfiguration",
                "wafv2:ListLoggingConfigurations",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "wafv2:LogScope": "SecurityLake"
                }
            }
        },
        {
            "Sid": "AllowPutLoggingConfiguration",
            "Effect": "Allow",
            "Action": [
                "wafv2:PutLoggingConfiguration"
            ],
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*"
                }
            }
        },
        {
            "Sid": "ListWebACLs",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs"
            ],
            "Resource": "*"
        },
        {
            "Sid": "LogDelivery",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "wafv2.amazonaws.com"
                    ]
                }
            }
        }
        
    ]
}

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch.

Die serviceverknüpfte Rolle in Security Lake erstellen

Sie müssen die AWSServiceRoleForSecurityLake dienstverknüpfte Rolle für Security Lake nicht manuell erstellen. Wenn Sie Security Lake für Sie aktivieren AWS-Konto, erstellt Security Lake automatisch die serviceverknüpfte Rolle für Sie.

Bearbeitung der serviceverknüpften Rolle in Security Lake

In Security Lake können Sie die AWSServiceRoleForSecurityLake dienstverknüpfte Rolle nicht bearbeiten. Nachdem eine dienstverknüpfte Rolle erstellt wurde, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.

Löschen der serviceverknüpften Rolle in Security Lake

Sie können die dienstverknüpfte Rolle nicht aus Security Lake löschen. Stattdessen können Sie die dienstverknüpfte Rolle aus der IAM Konsole löschen,API, oder. AWS CLI Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.

Bevor Sie die dienstverknüpfte Rolle löschen können, müssen Sie zunächst bestätigen, dass die Rolle keine aktiven Sitzungen hat, und alle Ressourcen entfernen, die sie AWSServiceRoleForSecurityLake verwendet.

Anmerkung

Wenn Security Lake die AWSServiceRoleForSecurityLake Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Warten Sie in diesem Fall einige Minuten und führen Sie den Vorgang dann erneut aus.

Wenn Sie die AWSServiceRoleForSecurityLake dienstverknüpfte Rolle löschen und sie erneut erstellen müssen, können Sie sie erneut erstellen, indem Sie Security Lake für Ihr Konto aktivieren. Wenn Sie Security Lake erneut aktivieren, erstellt Security Lake die dienstverknüpfte Rolle automatisch erneut für Sie.

Wird AWS-Regionen für die serviceverknüpfte Security Lake-Rolle unterstützt

Security Lake unterstützt die Verwendung der AWSServiceRoleForSecurityLake dienstbezogenen Rolle in allen Bereichen, in AWS-Regionen denen Security Lake verfügbar ist. Eine Liste der Regionen, in denen Security Lake derzeit verfügbar ist, finden Sie unterSecurity Lake-Regionen und Endpunkte.