Security Lake のサービスリンクロールの許可 - Amazon Security Lake
Security Lake のサービスリンクロールの作成Security Lake 向けのサービスリンクロールの編集Security Lake 向けのサービスリンクロールの削除Security Lake サービスにリンクされたロール AWS リージョン でサポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Lake のサービスリンクロールの許可

Security Lake では、AWSServiceRoleForSecurityLake という名前のサービスリンクロールを使用します。このサービスリンクロールは、ロールを引き受ける上で securitylake.amazonaws.com サービスを信頼します。Amazon Security Lake AWS の管理ポリシーの詳細については、AWS 「Amazon Security Lake の管理ポリシー」を参照してください。

ロールのアクセス許可ポリシーは、 という名前の AWS マネージドポリシーでありSecurityLakeServiceLinkedRole、Security Lake がセキュリティデータレイクを作成および運用できるようにします。また、Security Lake は指定されたリソースに対して次のようなタスクを実行できるようになります。

  • AWS Organizations アクションを使用して、関連付けられたアカウントに関する情報を取得する

  • Amazon Elastic Compute Cloud (Amazon EC2) を使用して Amazon VPC Flow Logs に関する情報を取得する

  • AWS CloudTrail アクションを使用して、サービスにリンクされたロールに関する情報を取得する

  • Security Lake で AWS WAF ログソースとして有効になっている場合、 AWS WAF アクションを使用してログを収集する

  • LogDelivery アクションを使用して、 AWS WAF ログ配信サブスクリプションを作成または削除します。

そのロールは、次のアクセス許可ポリシーで設定する必要があります。

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "OrganizationsPolicies",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "organizations:DescribeOrganization"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "DescribeOrgAccounts",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount"
            ],
            "Resource": [
                "arn:aws:organizations::*:account/o-*/*"
            ]
        },
        {
            "Sid": "AllowManagementOfServiceLinkedChannel",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateServiceLinkedChannel",
                "cloudtrail:DeleteServiceLinkedChannel",
                "cloudtrail:GetServiceLinkedChannel",
                "cloudtrail:UpdateServiceLinkedChannel"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*"
        },
        {
            "Sid": "AllowListServiceLinkedChannel",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:ListServiceLinkedChannels"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DescribeAnyVpc",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListDelegatedAdmins",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "securitylake.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowWafLoggingConfiguration",
            "Effect": "Allow",
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:GetLoggingConfiguration",
                "wafv2:ListLoggingConfigurations",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "wafv2:LogScope": "SecurityLake"
                }
            }
        },
        {
            "Sid": "AllowPutLoggingConfiguration",
            "Effect": "Allow",
            "Action": [
                "wafv2:PutLoggingConfiguration"
            ],
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*"
                }
            }
        },
        {
            "Sid": "ListWebACLs",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs"
            ],
            "Resource": "*"
        },
        {
            "Sid": "LogDelivery",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "wafv2.amazonaws.com"
                    ]
                }
            }
        }
        
    ]
}

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

Security Lake のサービスリンクロールの作成

Security Lake 用のAWSServiceRoleForSecurityLakeサービスリンクロールを手動で作成する必要はありません。で Security Lake を有効にすると AWS アカウント、Security Lake によってサービスにリンクされたロールが自動的に作成されます。

Security Lake 向けのサービスリンクロールの編集

Security Lake では、AWSServiceRoleForSecurityLake サービスリンクロールの編集は許可されていません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Security Lake 向けのサービスリンクロールの削除

サービスリンクロールを Security Lake から削除することはできません。代わりに、 IAMコンソール、、APIまたは からサービスにリンクされたロールを削除できます AWS CLI。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

サービスリンクロールを削除する前に、まずロールにアクティブなセッションがないことを確認し、AWSServiceRoleForSecurityLake が使用しているリソースを削除する必要があります。

注記

リソースを削除しようとするときに Security Lake が AWSServiceRoleForSecurityLake ロールを使用している場合、削除は失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForSecurityLakeサービスリンクロールを削除したが、再作成する必要がある場合は、アカウントで Security Lake を有効にすることで、ロールを再作成することができます。Security Lake を再作成すると、Security Lake は、ユーザーのためにサービスリンクロールを再作成します。

Security Lake サービスにリンクされたロール AWS リージョン でサポート

Security Lake は、Security Lake AWS リージョン が利用可能なすべての で、AWSServiceRoleForSecurityLakeサービスにリンクされたロールの使用をサポートします。Security Lake が現在利用可能なリージョンのリストについては、「Security Lake リージョンとエンドポイント」を参照してください。