기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Security Lake에 대한 관리형 정책
AWS 관리형 정책은 에서 생성 및 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 AWS 권한을 AWS 업데이트하면 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS 는 새 AWS 서비스 가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.
AWS 관리형 정책: AmazonSecurityLakeMetastoreManager
Amazon Security Lake는 AWS Lambda 함수를 사용하여 데이터 레이크의 메타데이터를 관리합니다. Security Lake는 이 함수를 사용하여 데이터 및 데이터 파일이 포함된 Amazon Simple Storage Service(Amazon S3) 파티션을 AWS Glue 데이터 카탈로그 테이블에 인덱싱할 수 있습니다. 이 관리형 정책에는 S3 파티션 및 데이터 파일을 AWS Glue 테이블에 인덱싱할 수 있는 Lambda 함수에 대한 모든 권한이 포함되어 있습니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
logs- 보안 주체가 Lambda 함수의 출력을 Amazon CloudWatch Logs에 기록할 수 있도록 허용합니다.glue- 보안 주체가 AWS Glue Data Catalog 테이블에 대한 특정 쓰기 작업을 수행할 수 있도록 허용합니다. 또한 이를 통해 AWS Glue 크롤러는 데이터에서 파티션을 식별할 수 있습니다.sqs- 보안 주체가 데이터 레이크에 객체가 추가되거나 업데이트될 때 이벤트 알림을 보내는 Amazon SQS 대기열에 대해 특정 읽기 및 쓰기 작업을 수행할 수 있도록 허용합니다.s3- 보안 주체가 데이터가 포함된 Amazon S3 버킷에 대해 특정 읽기 및 쓰기 작업을 수행할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowWriteLambdaLogs", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/lambda/AmazonSecurityLake*", "arn:aws:logs:*:*:/aws/lambda/AmazonSecurityLake*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowGlueManage", "Effect": "Allow", "Action": [ "glue:CreatePartition", "glue:BatchCreatePartition", "glue:GetTable", "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*", "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*", "arn:aws:glue:*:*:catalog" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowToReadFromSqs", "Effect": "Allow", "Action": [ "sqs:ReceiveMessage", "sqs:DeleteMessage", "sqs:GetQueueAttributes" ], "Resource": [ "arn:aws:sqs:*:*:AmazonSecurityLake*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowMetaDataReadWrite", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::aws-security-data-lake*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowMetaDataCleanup", "Effect": "Allow", "Action": [ "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::aws-security-data-lake*/metadata/*.avro", "arn:aws:s3:::aws-security-data-lake*/metadata/*.metadata.json" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS 관리형 정책: AmazonSecurityLakePermissionsBoundary
Amazon Security Lake는 서드 파티 사용자 지정 소스가 데이터 레이크에 데이터를 쓰고 서드 파티 사용자 지정 구독자가 데이터 레이크에서 데이터를 소비하는 IAM 역할을 생성하고, 이러한 역할을 생성할 때 이 정책을 사용하여 권한의 경계를 정의합니다. 따라서 이 정책을 사용하기 위해 별도의 조치를 취할 필요가 없습니다. 데이터 레이크가 고객 관리형 AWS KMS 키로 암호화kms:Decrypt되고 kms:GenerateDataKey 권한이 추가되는 경우.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowActionsForSecurityLake", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket", "s3:ListBucketVersions", "s3:PutObject", "s3:GetBucketLocation", "kms:Decrypt", "kms:GenerateDataKey", "sqs:ReceiveMessage", "sqs:ChangeMessageVisibility", "sqs:DeleteMessage", "sqs:GetQueueUrl", "sqs:SendMessage", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" }, { "Sid": "DenyActionsForSecurityLake", "Effect": "Deny", "NotAction": [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket", "s3:ListBucketVersions", "s3:PutObject", "s3:GetBucketLocation", "kms:Decrypt", "kms:GenerateDataKey", "sqs:ReceiveMessage", "sqs:ChangeMessageVisibility", "sqs:DeleteMessage", "sqs:GetQueueUrl", "sqs:SendMessage", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" }, { "Sid": "DenyActionsNotOnSecurityLakeBucket", "Effect": "Deny", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket", "s3:ListBucketVersions", "s3:PutObject", "s3:GetBucketLocation" ], "NotResource": [ "arn:aws:s3:::aws-security-data-lake*" ] }, { "Sid": "DenyActionsNotOnSecurityLakeSQS", "Effect": "Deny", "Action": [ "sqs:ReceiveMessage", "sqs:ChangeMessageVisibility", "sqs:DeleteMessage", "sqs:GetQueueUrl", "sqs:SendMessage", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "NotResource": "arn:aws:sqs:*:*:AmazonSecurityLake*" }, { "Sid": "DenyActionsNotOnSecurityLakeKMSS3SQS", "Effect": "Deny", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringNotLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "sqs.*.amazonaws.com" ] } } }, { "Sid": "DenyActionsNotOnSecurityLakeKMSForS3", "Effect": "Deny", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:s3:arn": "false" }, "StringNotLikeIfExists": { "kms:EncryptionContext:aws:s3:arn": [ "arn:aws:s3:::aws-security-data-lake*" ] } } }, { "Sid": "DenyActionsNotOnSecurityLakeKMSForS3SQS", "Effect": "Deny", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:sqs:arn": "false" }, "StringNotLikeIfExists": { "kms:EncryptionContext:aws:sqs:arn": [ "arn:aws:sqs:*:*:AmazonSecurityLake*" ] } } } ] }
AWS 관리형 정책: AmazonSecurityLakeAdministrator
보안 주체가 계정에 대해 Amazon Security Lake를 활성화하기 전에 보안 주체에 AmazonSecurityLakeAdministrator 정책을 연결할 수 있습니다. 이 정책은 보안 주체에게 모든 Security Lake에 대한 전체 액세스를 허용하는 관리 권한을 부여합니다. 그러면 주체가 Security Lake에 온보딩한 다음 Security Lake에서 소스 및 구독자를 구성할 수 있습니다.
이 정책에는 Security Lake 관리자가 Security Lake를 통해 다른 AWS 서비스에서 수행할 수 있는 작업이 포함됩니다.
이 AmazonSecurityLakeAdministrator 정책은 Amazon S3 리전 간 복제를 관리하고, 에서 새 데이터 파티션을 등록하고 AWS Glue, 사용자 지정 소스에 추가된 데이터에 대해 Glue 크롤러를 실행하거나 엔드포인트 HTTPS 구독자에게 새 데이터를 알리는 데 Security Lake에서 필요한 유틸리티 역할 생성을 지원하지 않습니다. Amazon Security Lake 시작하기에 설명된 대로 이러한 역할을 미리 생성할 수 있습니다.
관리AmazonSecurityLakeAdministrator형 정책 외에도 Security Lake에는 온보딩 및 구성 함수에 대한 lakeformation:PutDataLakeSettings 권한이 필요합니다. PutDataLakeSettings 에서는 계정의 모든 리전 Lake Formation 리소스에 대한 관리자로 IAM 보안 주체를 설정할 수 있습니다. 이 역할에는 iam:CreateRole permission뿐만 아니라 AmazonSecurityLakeAdministrator 정책도 첨부되어 있어야 합니다.
Lake Formation 관리자는 Lake Formation 콘솔에 대한 전체 액세스 권한을 가지며 초기 데이터 구성 및 액세스 권한을 제어할 수 있습니다. Security Lake는 Security Lake를 활성화하는 주체와 AmazonSecurityLakeMetaStoreManager 역할(또는 기타 지정된 역할)을 Lake Formation 관리자로 할당하여 이들이 테이블을 생성하고, 테이블 스키마를 업데이트하고, 새 파티션을 등록하고, 테이블에 대한 권한을 구성할 수 있도록 합니다. Security Lake 관리자 사용자 또는 역할에 대한 정책에 다음 권한을 포함해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutLakeFormationSettings", "Effect": "Allow", "Action": "lakeformation:PutDatalakeSettings", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } } ] }
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
securitylake- 보안 주체가 모든 Security Lake에 대한 모든 권한을 허용합니다. -
organizations- 보안 주체가 조직에서 AWS 조직의 계정에 대한 정보를 검색할 수 있습니다. 계정이 조직에 속한 경우 이러한 권한을 통해 Security Lake 콘솔에 계정 이름과 계정 번호를 표시할 수 있습니다. -
iam– 보안 주체가 Security Lake, AWS Lake Formation및 에 대한 서비스 연결 역할을 해당 서비스를 활성화할 때 Amazon EventBridge필요한 단계로 생성할 수 있도록 허용합니다. 또한 구독자 및 사용자 지정 소스 역할에 대한 정책을 만들고 편집할 수 있으며, 이러한 역할의 권한은AmazonSecurityLakePermissionsBoundary정책에서 허용하는 한도로 제한됩니다. -
ram– 보안 주체가 Security Lake 소스에 대한 구독자의 Lake Formation기반 쿼리 액세스를 구성할 수 있도록 허용합니다. -
s3- 보안 주체가 Security Lake 버킷을 생성 및 관리하고 해당 버킷의 내용을 읽을 수 있습니다. -
lambda- 보안 주체가 AWS 소스 전송 및 리전 간 복제 후 테이블 파티션을 업데이트 AWS Glue 하는 데 Lambda 사용되는 를 관리할 수 있습니다. -
glue— 보안 주체가 Security Lake에 사용되는 데이터베이스 및 테이블을 생성 및 관리할 수 있습니다. -
lakeformation- 보안 주체가 Security Lake 테이블에 대한 Lake Formation 권한을 관리할 수 있도록 허용합니다. -
events— 보안 주체가 Security Lake 소스의 새 데이터를 구독자에게 알리는 데 사용되는 규칙을 관리할 수 있습니다. -
sqs– 보안 주체가 Security Lake 소스의 새 데이터를 구독자에게 알리는 데 사용되는 Amazon SQS 대기열을 생성하고 관리할 수 있습니다. -
kms— 보안 주체가 고객 관리 키를 사용하여 데이터를 기록할 수 있는 액세스 권한을 Security Lake에 부여할 수 있습니다. -
secretsmanager- 보안 주체가 HTTPS 엔드포인트를 통해 Security Lake 소스의 새 데이터를 구독자에게 알리는 데 사용되는 보안 암호를 관리할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowActionsWithAnyResource", "Effect": "Allow", "Action": [ "securitylake:*", "organizations:DescribeOrganization", "organizations:ListDelegatedServicesForAccount", "organizations:ListAccounts", "iam:ListRoles", "ram:GetResourceShareAssociations" ], "Resource": "*" }, { "Sid": "AllowActionsWithAnyResourceViaSecurityLake", "Effect": "Allow", "Action": [ "glue:CreateCrawler", "glue:StopCrawlerSchedule", "lambda:CreateEventSourceMapping", "lakeformation:GrantPermissions", "lakeformation:ListPermissions", "lakeformation:RegisterResource", "lakeformation:RevokePermissions", "lakeformation:GetDatalakeSettings", "events:ListConnections", "events:ListApiDestinations", "iam:GetRole", "iam:ListAttachedRolePolicies", "kms:DescribeKey" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowManagingSecurityLakeS3Buckets", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy", "s3:PutBucketPublicAccessBlock", "s3:PutBucketNotification", "s3:PutBucketTagging", "s3:PutEncryptionConfiguration", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration", "s3:PutLifecycleConfiguration", "s3:ListBucket", "s3:PutObject", "s3:GetBucketNotification" ], "Resource": "arn:aws:s3:::aws-security-data-lake*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowLambdaCreateFunction", "Effect": "Allow", "Action": [ "lambda:CreateFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:SecurityLake_Glue_Partition_Updater_Lambda*", "arn:aws:lambda:*:*:function:AmazonSecurityLake*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowLambdaAddPermission", "Effect": "Allow", "Action": [ "lambda:AddPermission" ], "Resource": [ "arn:aws:lambda:*:*:function:SecurityLake_Glue_Partition_Updater_Lambda*", "arn:aws:lambda:*:*:function:AmazonSecurityLake*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" }, "StringEquals": { "lambda:Principal": "securitylake.amazonaws.com" } } }, { "Sid": "AllowGlueActions", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase", "glue:CreateTable", "glue:GetTable" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*", "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowEventBridgeActions", "Effect": "Allow", "Action": [ "events:PutTargets", "events:PutRule", "events:DescribeRule", "events:CreateApiDestination", "events:CreateConnection", "events:UpdateConnection", "events:UpdateApiDestination", "events:DeleteConnection", "events:DeleteApiDestination", "events:ListTargetsByRule", "events:RemoveTargets", "events:DeleteRule" ], "Resource": [ "arn:aws:events:*:*:rule/AmazonSecurityLake*", "arn:aws:events:*:*:rule/SecurityLake*", "arn:aws:events:*:*:api-destination/AmazonSecurityLake*", "arn:aws:events:*:*:connection/AmazonSecurityLake*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowSQSActions", "Effect": "Allow", "Action": [ "sqs:CreateQueue", "sqs:SetQueueAttributes", "sqs:GetQueueURL", "sqs:AddPermission", "sqs:GetQueueAttributes", "sqs:DeleteQueue" ], "Resource": [ "arn:aws:sqs:*:*:SecurityLake*", "arn:aws:sqs:*:*:AmazonSecurityLake*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowKmsCmkGrantForSecurityLake", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::aws-security-data-lake*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "GenerateDataKey", "RetireGrant", "Decrypt" ] } } }, { "Sid": "AllowEnablingQueryBasedSubscribers", "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "ram:ResourceArn": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*", "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*" ] }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowConfiguringQueryBasedSubscribers", "Effect": "Allow", "Action": [ "ram:UpdateResourceShare", "ram:GetResourceShares", "ram:DisassociateResourceShare", "ram:DeleteResourceShare" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": "LakeFormation*" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowConfiguringCredentialsForSubscriberNotification", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!connection/AmazonSecurityLake-*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowPassRoleForUpdatingGluePartitionsSecLakeArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSecurityLakeMetaStoreManager", "arn:aws:iam::*:role/service-role/AmazonSecurityLakeMetaStoreManagerV2" ], "Condition": { "StringEquals": { "iam:PassedToService": "lambda.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": "arn:aws:securitylake:*:*:data-lake/default" } } }, { "Sid": "AllowPassRoleForUpdatingGluePartitionsLambdaArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSecurityLakeMetaStoreManager", "arn:aws:iam::*:role/service-role/AmazonSecurityLakeMetaStoreManagerV2" ], "Condition": { "StringEquals": { "iam:PassedToService": "lambda.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": [ "arn:aws:lambda:*:*:function:SecurityLake_Glue_Partition_Updater_Lambda*", "arn:aws:lambda:*:*:function:AmazonSecurityLake*" ] }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowPassRoleForCrossRegionReplicationSecLakeArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonSecurityLakeS3ReplicationRole", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": "arn:aws:securitylake:*:*:data-lake/default" } } }, { "Sid": "AllowPassRoleForCrossRegionReplicationS3Arn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonSecurityLakeS3ReplicationRole", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": "arn:aws:s3:::aws-security-data-lake*" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowPassRoleForCustomSourceCrawlerSecLakeArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonSecurityLakeCustomDataGlueCrawler*", "Condition": { "StringEquals": { "iam:PassedToService": "glue.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": "arn:aws:securitylake:*:*:data-lake/default" } } }, { "Sid": "AllowPassRoleForCustomSourceCrawlerGlueArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonSecurityLakeCustomDataGlueCrawler*", "Condition": { "StringEquals": { "iam:PassedToService": "glue.amazonaws.com" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowPassRoleForSubscriberNotificationSecLakeArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonSecurityLakeSubscriberEventBridge", "Condition": { "StringEquals": { "iam:PassedToService": "events.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": "arn:aws:securitylake:*:*:subscriber/*" } } }, { "Sid": "AllowPassRoleForSubscriberNotificationEventsArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonSecurityLakeSubscriberEventBridge", "Condition": { "StringEquals": { "iam:PassedToService": "events.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": "arn:aws:events:*:*:rule/AmazonSecurityLake*" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowOnboardingToSecurityLakeDependencies", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": [ "arn:aws:iam::*:role/aws-service-role/securitylake.amazonaws.com/AWSServiceRoleForSecurityLake", "arn:aws:iam::*:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::*:role/aws-service-role/apidestinations.events.amazonaws.com/AWSServiceRoleForAmazonEventBridgeApiDestinations" ], "Condition": { "StringLike": { "iam:AWSServiceName": [ "securitylake.amazonaws.com", "lakeformation.amazonaws.com", "apidestinations.events.amazonaws.com" ] } } }, { "Sid": "AllowRolePolicyActionsforSubscibersandSources", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::*:role/AmazonSecurityLake*", "Condition": { "StringEquals": { "iam:PermissionsBoundary": "arn:aws:iam::aws:policy/AmazonSecurityLakePermissionsBoundary" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowRegisterS3LocationInLakeFormation", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:GetRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowIAMActionsByResource", "Effect": "Allow", "Action": [ "iam:ListRolePolicies", "iam:DeleteRole" ], "Resource": "arn:aws:iam::*:role/AmazonSecurityLake*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "S3ReadAccessToSecurityLakes", "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::aws-security-data-lake-*" }, { "Sid": "S3ReadAccessToSecurityLakeMetastoreObject", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::security-lake-meta-store-manager-*" }, { "Sid": "S3ResourcelessReadOnly", "Effect": "Allow", "Action": [ "s3:GetAccountPublicAccessBlock", "s3:ListAccessPoints", "s3:ListAllMyBuckets" ], "Resource": "*" } ] }
AWS 관리형 정책: SecurityLakeServiceLinkedRole
SecurityLakeServiceLinkedRole 관리형 정책은 IAM엔터티에 연결할 수 없습니다. 이 정책은 Security Lake에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 Security Lake의 서비스 연결 역할 단원을 참조하십시오.
AWS 관리형 정책: AWS GlueServiceRole
AWS GlueServiceRole 관리형 정책은 AWS Glue 크롤러를 호출하고 가 사용자 지정 소스 데이터를 크롤링하고 파티션 메타데이터를 식별할 AWS Glue 수 있도록 허용합니다. 이 메타데이터는 Data Catalog에 테이블을 생성 및 업데이트하는 데 필요합니다.
자세한 내용은 Security Lake의 사용자 지정 소스에서 데이터 수집 단원을 참조하십시오.
AWS 관리형 정책에 대한 Security Lake 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 Security Lake의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 Security Lake 문서 기록 페이지에서 RSS 피드를 구독하세요.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
|
Amazon Security Lake의 서비스 연결 역할 - 기존 서비스 연결 역할 권한 업데이트 |
|
2024년 5월 22일 |
AmazonSecurityLakePermissionsBoundary -기존 정책 업데이트 |
Security Lake가 정책에 SID 작업을 추가했습니다. |
2024년 5월 13일 |
|
AmazonSecurityLakeMetastoreManager -기존 정책 업데이트 |
Security Lake는 정책을 업데이트하여 데이터 레이크에서 메타데이터를 삭제할 수 있는 메타데이터 정리 작업을 추가했습니다. |
2024년 3월 27일 |
|
AmazonSecurityLakeAdministrator -기존 정책 업데이트 |
Security Lake는 새 |
2024년 2월 23일 |
|
Security Lake는 Security Lake가 데이터 레이크의 메타데이터를 관리할 수 있는 권한을 부여하는 새로운 관리형 정책을 추가했습니다. |
2024년 1월 23일 |
|
|
Security Lake는 보안 주체에게 모든 Security Lake 작업에 대한 전체 액세스 권한을 부여하는 새로운 관리형 정책을 추가했습니다. |
2023년 5월 30일 |
|
|
Security Lake에 변경 내용 추적 |
Security Lake는 AWS 관리형 정책에 대한 변경 사항을 추적하기 시작했습니다. |
2022년 11월 29일 |
