Actions, ressources et clés de condition pour Amazon Security Lake - Référence de l'autorisation de service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Actions, ressources et clés de condition pour Amazon Security Lake

Amazon Security Lake (préfixe de service :securitylake) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans IAM les politiques d'autorisation.

Références :

Actions définies par Amazon Security Lake

Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.

Note

Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.

Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.

Actions Description Niveau d'accès Types de ressources (*obligatoire) Clés de condition Actions dépendantes
CreateAwsLogSource Accorde l'autorisation d'activer n'importe quel type de source dans n'importe quelle région pour les comptes qui font partie d'une organisation de confiance ou les comptes autonomes. Écrire

data-lake*

glue:CreateDatabase

glue:CreateTable

glue:GetDatabase

glue:GetTable

iam:CreateServiceLinkedRole

kms:CreateGrant

kms:DescribeKey

CreateCustomLogSource Accorde l'autorisation d'ajouter une source personnalisée. Écrire

data-lake*

glue:CreateCrawler

glue:CreateDatabase

glue:CreateTable

glue:StartCrawlerSchedule

iam:DeleteRolePolicy

iam:GetRole

iam:PassRole

iam:PutRolePolicy

kms:CreateGrant

kms:DescribeKey

kms:GenerateDataKey

lakeformation:GrantPermissions

lakeformation:RegisterResource

s3:ListBucket

s3:PutObject

CreateDataLake Accorde l'autorisation de créer un nouveau lac de données de sécurité. Écrire

data-lake*

events:PutRule

events:PutTargets

iam:CreateServiceLinkedRole

iam:DeleteRolePolicy

iam:GetRole

iam:ListAttachedRolePolicies

iam:PassRole

iam:PutRolePolicy

kms:CreateGrant

kms:DescribeKey

lakeformation:GetDataLakeSettings

lakeformation:PutDataLakeSettings

lambda:AddPermission

lambda:CreateEventSourceMapping

lambda:CreateFunction

organizations:DescribeOrganization

organizations:ListAccounts

organizations:ListDelegatedServicesForAccount

s3:CreateBucket

s3:GetObject

s3:GetObjectVersion

s3:ListBucket

s3:PutBucketPolicy

s3:PutBucketPublicAccessBlock

s3:PutBucketVersioning

sqs:CreateQueue

sqs:GetQueueAttributes

sqs:SetQueueAttributes

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDataLakeExceptionSubscription Accorde l'autorisation de recevoir des notifications instantanées sur les exceptions. S'abonne aux SNS rubriques relatives aux notifications d'exceptions Écrire
CreateDataLakeOrganizationConfiguration Accorde l'autorisation d'activer automatiquement Amazon Security Lake pour les nouveaux comptes membres de votre organisation. Écrire

data-lake*

CreateSubscriber Accorde l'autorisation de créer un abonné. Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateRole

iam:DeleteRolePolicy

iam:GetRole

iam:PutRolePolicy

lakeformation:GrantPermissions

lakeformation:ListPermissions

lakeformation:RegisterResource

lakeformation:RevokePermissions

ram:GetResourceShareAssociations

ram:GetResourceShares

ram:UpdateResourceShare

s3:PutObject

CreateSubscriberNotification Accorde l'autorisation de créer une invocation de webhook pour informer un client de la présence de nouvelles données dans le lac de données. Écrire

subscriber*

events:CreateApiDestination

events:CreateConnection

events:DescribeRule

events:ListApiDestinations

events:ListConnections

events:PutRule

events:PutTargets

iam:DeleteRolePolicy

iam:GetRole

iam:PassRole

s3:GetBucketNotification

s3:PutBucketNotification

sqs:CreateQueue

sqs:DeleteQueue

sqs:GetQueueAttributes

sqs:GetQueueUrl

sqs:SetQueueAttributes

DeleteAwsLogSource Accorde l'autorisation de désactiver n'importe quel type de source dans n'importe quelle région pour les comptes qui font partie d'une organisation de confiance ou les comptes autonomes. Écrire

data-lake*

DeleteCustomLogSource Accorde l'autorisation de supprimer une source personnalisée. Écrire

data-lake*

glue:StopCrawlerSchedule

DeleteDataLake Accorde l'autorisation de supprimer un lac de données de sécurité. Écrire

data-lake*

organizations:DescribeOrganization

organizations:ListDelegatedAdministrators

organizations:ListDelegatedServicesForAccount

DeleteDataLakeExceptionSubscription Accorde l'autorisation de se désabonner SNS des sujets pour les notifications d'exception. Supprime les notifications d'exception pour le SNS sujet Écrire
DeleteDataLakeOrganizationConfiguration Accorde l'autorisation de supprimer l'activation automatique de l'accès à Amazon Security Lake pour les nouveaux comptes d'organisation. Écrire

data-lake*

DeleteSubscriber Accorde l'autorisation de supprimer l'abonné spécifié. Écrire

subscriber*

events:DeleteApiDestination

events:DeleteConnection

events:DeleteRule

events:DescribeRule

events:ListApiDestinations

events:ListTargetsByRule

events:RemoveTargets

iam:DeleteRole

iam:DeleteRolePolicy

iam:GetRole

iam:ListRolePolicies

lakeformation:ListPermissions

lakeformation:RevokePermissions

sqs:DeleteQueue

sqs:GetQueueUrl

DeleteSubscriberNotification Accorde l'autorisation de supprimer une invocation de webhook pour informer un client de la présence de nouvelles données dans le lac de données. Écrire

subscriber*

events:DeleteApiDestination

events:DeleteConnection

events:DeleteRule

events:DescribeRule

events:ListApiDestinations

events:ListTargetsByRule

events:RemoveTargets

iam:DeleteRole

iam:DeleteRolePolicy

iam:GetRole

iam:ListRolePolicies

lakeformation:RevokePermissions

sqs:DeleteQueue

sqs:GetQueueUrl

DeregisterDataLakeDelegatedAdministrator Accorde l'autorisation de supprimer le compte d'administrateur délégué et de désactiver Amazon Security Lake en tant que service pour cette organisation Écrire

organizations:DeregisterDelegatedAdministrator

organizations:DescribeOrganization

organizations:ListDelegatedServicesForAccount

GetDataLakeExceptionSubscription Accorde l'autorisation d'interroger le protocole et le point de terminaison fournis lors de l'abonnement à SNS des rubriques pour les notifications d'exception Lecture
GetDataLakeOrganizationConfiguration Accorde l'autorisation d'obtenir les paramètres de configuration d'une organisation pour activer automatiquement l'accès à Amazon Security Lake pour les nouveaux comptes de l'organisation Lecture

data-lake*

organizations:DescribeOrganization

GetDataLakeSources Accorde l'autorisation d'obtenir un instantané statique du lac de données de sécurité dans la région actuelle. L'instantané inclut les comptes activés et les sources de journaux. Lecture

data-lake*

GetSubscriber Accorde l'autorisation d'obtenir des informations sur un abonné déjà créé. Lecture

subscriber*

ListDataLakeExceptions Accorde l'autorisation d'obtenir la liste de tous les échecs ne pouvant pas être relancés. Liste
ListDataLakes Accorde l'autorisation de répertorier les informations sur les lacs de données de sécurité. Liste
ListLogSources Accorde l'autorisation d'afficher les comptes activés. Vous pouvez voir les sources activées dans les régions activées. Liste
ListSubscribers Accorde l'autorisation de répertorier tous les abonnés. Liste
ListTagsForResource Octroie l'autorisation de répertorier toutes les balises d'une ressource. Liste

data-lake

subscriber

RegisterDataLakeDelegatedAdministrator Accorde l'autorisation de désigner un compte comme compte administrateur Amazon Security Lake pour l'organisation. Écrire

iam:CreateServiceLinkedRole

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

organizations:ListDelegatedAdministrators

organizations:ListDelegatedServicesForAccount

organizations:RegisterDelegatedAdministrator

TagResource Octroie l'autorisation d'ajouter des balises à la ressource. Identification

data-lake

subscriber

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Octroie l'autorisation de supprimer des balises de la ressource. Identification

data-lake

subscriber

aws:TagKeys

UpdateDataLake Accorde l'autorisation de mettre à jour un lac de données de sécurité. Écrire

data-lake*

events:PutRule

events:PutTargets

iam:CreateServiceLinkedRole

iam:DeleteRolePolicy

iam:GetRole

iam:ListAttachedRolePolicies

iam:PutRolePolicy

kms:CreateGrant

kms:DescribeKey

lakeformation:GetDataLakeSettings

lakeformation:PutDataLakeSettings

lambda:AddPermission

lambda:CreateEventSourceMapping

lambda:CreateFunction

organizations:DescribeOrganization

organizations:ListDelegatedServicesForAccount

s3:CreateBucket

s3:GetObject

s3:GetObjectVersion

s3:ListBucket

s3:PutBucketPolicy

s3:PutBucketPublicAccessBlock

s3:PutBucketVersioning

sqs:CreateQueue

sqs:GetQueueAttributes

sqs:SetQueueAttributes

UpdateDataLakeExceptionSubscription Accorde l'autorisation de mettre à jour les abonnements aux SNS rubriques pour les notifications d'exception Écrire
UpdateSubscriber Accorde l'autorisation de mettre à jour un abonné. Écrire

subscriber*

events:CreateApiDestination

events:CreateConnection

events:DescribeRule

events:ListApiDestinations

events:ListConnections

events:PutRule

events:PutTargets

iam:DeleteRolePolicy

iam:GetRole

iam:PutRolePolicy

UpdateSubscriberNotification Accorde l'autorisation de mettre à jour une invocation de webhook pour informer un client de la présence de nouvelles données dans le lac de données. Écrire

subscriber*

events:CreateApiDestination

events:CreateConnection

events:DescribeRule

events:ListApiDestinations

events:ListConnections

events:PutRule

events:PutTargets

iam:CreateServiceLinkedRole

iam:DeleteRolePolicy

iam:GetRole

iam:PassRole

iam:PutRolePolicy

s3:CreateBucket

s3:GetBucketNotification

s3:ListBucket

s3:PutBucketNotification

s3:PutBucketPolicy

s3:PutBucketPublicAccessBlock

s3:PutBucketVersioning

s3:PutLifecycleConfiguration

sqs:CreateQueue

sqs:DeleteQueue

sqs:GetQueueAttributes

sqs:GetQueueUrl

sqs:SetQueueAttributes

Types de ressources définis par Amazon Security Lake

Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.

Types de ressources ARN Clés de condition
data-lake arn:${Partition}:securitylake:${Region}:${Account}:data-lake/default

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

subscriber arn:${Partition}:securitylake:${Region}:${Account}:subscriber/${SubscriberId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

Clés de condition pour Amazon Security Lake

Amazon Security Lake définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition Description Type
aws:RequestTag/${TagKey} Filtre l'accès en fonction des balises transmises dans la demande Chaîne
aws:ResourceTag/${TagKey} Filtre l'accès en fonction de la paire de clé et de valeur d'identification d'une ressource. Chaîne
aws:TagKeys Filtre l'accès en fonction des clés de balise transmises dans la demande ArrayOfString