Autorizzazioni di ruolo collegate al servizio per Security Lake - Amazon Security Lake

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni di ruolo collegate al servizio per Security Lake

Security Lake utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForSecurityLake Questo ruolo collegato al servizio si fida che il securitylake.amazonaws.com servizio assuma il ruolo. Per ulteriori informazioni sulle politiche AWS gestite per Amazon Security Lake, consulta AWS gestire le politiche per Amazon Security Lake.

La politica di autorizzazione per il ruolo, che è una politica AWS gestita denominataSecurityLakeServiceLinkedRole, consente a Security Lake di creare e gestire il data lake di sicurezza. Consente inoltre a Security Lake di eseguire attività come le seguenti sulle risorse specificate:

  • Utilizza AWS Organizations le azioni per recuperare informazioni sugli account associati

  • Usa Amazon Elastic Compute Cloud (AmazonEC2) per recuperare informazioni su Amazon VPC Flow Logs

  • Utilizza AWS CloudTrail le azioni per recuperare informazioni sul ruolo collegato al servizio

  • Usa AWS WAF le azioni per raccogliere AWS WAF i log, quando è abilitata come fonte di log in Security Lake

  • Utilizza l'LogDeliveryazione per creare o eliminare un abbonamento per la consegna dei AWS WAF log.

Il ruolo è configurato con la seguente politica di autorizzazioni:

{ "Version": "2012-10-17", "Statement": [{ "Sid": "OrganizationsPolicies", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization" ], "Resource": [ "*" ] }, { "Sid": "DescribeOrgAccounts", "Effect": "Allow", "Action": [ "organizations:DescribeAccount" ], "Resource": [ "arn:aws:organizations::*:account/o-*/*" ] }, { "Sid": "AllowManagementOfServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:CreateServiceLinkedChannel", "cloudtrail:DeleteServiceLinkedChannel", "cloudtrail:GetServiceLinkedChannel", "cloudtrail:UpdateServiceLinkedChannel" ], "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*" }, { "Sid": "AllowListServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:ListServiceLinkedChannels" ], "Resource": "*" }, { "Sid": "DescribeAnyVpc", "Effect": "Allow", "Action": [ "ec2:DescribeVpcs" ], "Resource": "*" }, { "Sid": "ListDelegatedAdmins", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securitylake.amazonaws.com" } } }, { "Sid": "AllowWafLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration", "wafv2:GetLoggingConfiguration", "wafv2:ListLoggingConfigurations", "wafv2:DeleteLoggingConfiguration" ], "Resource": "*", "Condition": { "StringEquals": { "wafv2:LogScope": "SecurityLake" } } }, { "Sid": "AllowPutLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration" ], "Resource": "*", "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*" } } }, { "Sid": "ListWebACLs", "Effect": "Allow", "Action": [ "wafv2:ListWebACLs" ], "Resource": "*" }, { "Sid": "LogDelivery", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "wafv2.amazonaws.com" ] } } } ] }

Per consentire a un'entità IAM (ad esempio un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta le autorizzazioni dei ruoli collegati ai servizi nella Guida per l'utente. IAM

Creazione del ruolo collegato al servizio Security Lake

Non è necessario creare manualmente il ruolo AWSServiceRoleForSecurityLake collegato al servizio per Security Lake. Quando abiliti Security Lake per te Account AWS, Security Lake crea automaticamente il ruolo collegato al servizio per te.

Modifica del ruolo collegato al servizio di Security Lake

Security Lake non consente di modificare il ruolo collegato al AWSServiceRoleForSecurityLake servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. Puoi tuttavia modificare la descrizione del ruolo utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'utente. IAM

Eliminazione del ruolo collegato al servizio Security Lake

Non è possibile eliminare il ruolo collegato al servizio da Security Lake. È invece possibile eliminare il ruolo collegato al servizio dalla IAM console, oppure. API AWS CLIPer ulteriori informazioni, consulta Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM

Prima di poter eliminare il ruolo collegato al servizio, è necessario innanzitutto confermare che il ruolo non abbia sessioni attive e rimuovere tutte le risorse in uso. AWSServiceRoleForSecurityLake

Nota

Se Security Lake utilizza il AWSServiceRoleForSecurityLake ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In tal caso, attendi qualche minuto e poi riprova a eseguire l'operazione.

Se elimini il ruolo AWSServiceRoleForSecurityLake collegato al servizio e devi crearlo di nuovo, puoi crearlo di nuovo abilitando Security Lake per il tuo account. Quando abiliti nuovamente Security Lake, Security Lake crea nuovamente automaticamente il ruolo collegato al servizio per te.

Supportato Regioni AWS per il ruolo collegato ai servizi di Security Lake

Security Lake supporta l'utilizzo del ruolo AWSServiceRoleForSecurityLake collegato al servizio in tutti i paesi in Regioni AWS cui Security Lake è disponibile. Per un elenco delle regioni in cui Security Lake è attualmente disponibile, consulta. Regioni ed endpoint di Security Lake