Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations de rôle liées à un service pour Security Lake
Security Lake utilise le rôle lié au service nommé. AWSServiceRoleForSecurityLake Ce rôle lié au service fait confiance au securitylake.amazonaws.com service pour assumer le rôle. Pour plus d'informations sur les politiques AWS gérées pour Amazon Security Lake, consultez la section AWS Gérer les politiques pour Amazon Security Lake.
La politique d'autorisations pour le rôle, qui est une stratégie AWS gérée nomméeSecurityLakeServiceLinkedRole, permet à Security Lake de créer et d'exploiter le lac de données de sécurité. Cela permet également à Security Lake d'effectuer des tâches telles que les suivantes sur les ressources spécifiées :
-
Utiliser AWS Organizations des actions pour récupérer des informations sur les comptes associés
-
Utiliser Amazon Elastic Compute Cloud (AmazonEC2) pour récupérer des informations sur Amazon VPC Flow Logs
-
Utiliser AWS CloudTrail des actions pour récupérer des informations sur le rôle lié au service
-
Utiliser AWS WAF des actions pour collecter AWS WAF des journaux, lorsqu'il est activé en tant que source de journaux dans Security Lake
-
Utilisez l'
LogDeliveryaction pour créer ou supprimer un abonnement de livraison de AWS WAF journaux.
Le rôle est configuré selon la politique d'autorisation suivante :
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OrganizationsPolicies", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization" ], "Resource": [ "*" ] }, { "Sid": "DescribeOrgAccounts", "Effect": "Allow", "Action": [ "organizations:DescribeAccount" ], "Resource": [ "arn:aws:organizations::*:account/o-*/*" ] }, { "Sid": "AllowManagementOfServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:CreateServiceLinkedChannel", "cloudtrail:DeleteServiceLinkedChannel", "cloudtrail:GetServiceLinkedChannel", "cloudtrail:UpdateServiceLinkedChannel" ], "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*" }, { "Sid": "AllowListServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:ListServiceLinkedChannels" ], "Resource": "*" }, { "Sid": "DescribeAnyVpc", "Effect": "Allow", "Action": [ "ec2:DescribeVpcs" ], "Resource": "*" }, { "Sid": "ListDelegatedAdmins", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securitylake.amazonaws.com" } } }, { "Sid": "AllowWafLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration", "wafv2:GetLoggingConfiguration", "wafv2:ListLoggingConfigurations", "wafv2:DeleteLoggingConfiguration" ], "Resource": "*", "Condition": { "StringEquals": { "wafv2:LogScope": "SecurityLake" } } }, { "Sid": "AllowPutLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration" ], "Resource": "*", "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*" } } }, { "Sid": "ListWebACLs", "Effect": "Allow", "Action": [ "wafv2:ListWebACLs" ], "Resource": "*" }, { "Sid": "LogDelivery", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "wafv2.amazonaws.com" ] } } } ] }
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, groupe ou rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le Guide de l'IAMutilisateur.
Création du rôle lié au service Security Lake
Il n'est pas nécessaire de créer manuellement le rôle AWSServiceRoleForSecurityLake lié à un service pour Security Lake. Lorsque vous activez Security Lake pour votre Compte AWS, Security Lake crée automatiquement le rôle lié au service pour vous.
Modification du rôle lié au service Security Lake
Security Lake ne vous permet pas de modifier le rôle AWSServiceRoleForSecurityLake lié au service. Une fois qu'un rôle lié à un service est créé, vous ne pouvez pas modifier le nom du rôle car différentes entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l'aide de IAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le Guide de l'IAMutilisateur.
Suppression du rôle lié au service Security Lake
Vous ne pouvez pas supprimer le rôle lié à un service dans Security Lake. Au lieu de cela, vous pouvez supprimer le rôle lié au service de la IAM consoleAPI, ou. AWS CLI Pour plus d'informations, consultez la section Suppression d'un rôle lié à un service dans le Guide de l'IAMutilisateur.
Avant de pouvoir supprimer le rôle lié à un service, vous devez d'abord confirmer qu'aucune session n'est active pour le rôle et supprimer toutes les ressources qui AWSServiceRoleForSecurityLake l'utilisent.
Note
Si Security Lake utilise le AWSServiceRoleForSecurityLake rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Dans ce cas, attendez quelques minutes, puis recommencez l'opération.
Si vous supprimez le rôle AWSServiceRoleForSecurityLake lié au service et que vous devez le créer à nouveau, vous pouvez le créer à nouveau en activant Security Lake pour votre compte. Lorsque vous réactivez Security Lake, Security Lake crée automatiquement le rôle lié au service pour vous.
Pris en charge Régions AWS pour le rôle lié au service Security Lake
Security Lake prend en charge l'utilisation du rôle AWSServiceRoleForSecurityLake lié au service dans tous les Régions AWS endroits où Security Lake est disponible. Pour obtenir la liste des régions dans lesquelles Security Lake est actuellement disponible, consultezRégions et points de terminaison de Security Lake.
