As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Permissões de função vinculada ao serviço (SLR) para gerenciamento de recursos
<a name="AWSServiceRoleForSecurityLakeResourceManagement"></a>

O Security Lake usa a função vinculada ao serviço nomeada `AWSServiceRoleForSecurityLakeResourceManagement` para realizar melhorias contínuas de monitoramento e desempenho, o que pode reduzir a latência e os custos. Essa função vinculada a serviços confia no serviço `resource-management.securitylake.amazonaws.com` para assumir a função. A ativação também concederá acesso ao Lake Formation e `AWSServiceRoleForSecurityLakeResourceManagement` registrará automaticamente seus buckets S3 gerenciados pelo Security Lake no Lake Formation em todas as regiões para melhorar a segurança. 

 A política de permissões para a função, que é uma política AWS gerenciada chamada`SecurityLakeResourceManagementServiceRolePolicy`, permite acesso para gerenciar recursos criados pelo Security Lake, incluindo o gerenciamento dos metadados em seu data lake. Para obter mais informações sobre políticas AWS gerenciadas para o Amazon Security Lake, consulte [políticas AWS gerenciadas para o Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement.html).

Essa função vinculada ao serviço permite que o Security Lake monitore a integridade dos recursos implantados pelo Security Lake (S3 Bucket, tabelas, AWS Glue Amazon SQS Queue, Metastore Manager (MSM) Lambda Function e regras) em sua conta. EventBridge Alguns exemplos de operações que o Security Lake pode realizar com essa função vinculada ao serviço são:
+ Compactação de arquivos de manifesto do Apache Iceberg, que melhora o desempenho das consultas e reduz os tempos e custos de processamento do Lambda MSM.
+ Monitore o estado do Amazon SQS para detectar problemas de ingestão.
+ Otimize a replicação de dados entre regiões para excluir arquivos de metadados.

**nota**  
Se você não instalar a função `AWSServiceRoleForSecurityLakeResourceManagement` vinculada ao serviço, o Security Lake continuará funcionando, mas é altamente recomendável aceitar essa função vinculada ao serviço para que o Security Lake possa monitorar e otimizar os recursos em sua conta. 

**Detalhes das permissões**

A função está configurada com a seguinte política de permissões:




+ `events`— Permite que os diretores gerenciem EventBridge as regras necessárias para fontes e assinantes de registros.
+ `lambda`— Permite que os diretores gerenciem o lambda usado para atualizar as partições da AWS Glue tabela após a entrega da AWS fonte e a replicação entre regiões.
+ `glue`— Permite que os diretores executem ações de gravação específicas para tabelas do Catálogo AWS Glue de Dados. Isso também permite que AWS Glue os rastreadores identifiquem partições em seus dados e permite que o Security Lake gerencie os metadados do Apache Iceberg para suas tabelas do Apache Iceberg.
+ `s3`— Permite que os diretores realizem ações específicas de leitura e gravação nos buckets do Security Lake contendo dados de log e metadados da tabela Glue.
+ `logs`— Permite que os diretores tenham acesso de leitura para registrar a saída da função CloudWatch Lambda em Logs.
+ `sqs`— Permite que os diretores realizem ações específicas de leitura e gravação para filas do Amazon SQS que recebem notificações de eventos quando objetos são adicionados ou atualizados em seu data lake.
+ `lakeformation`— Permite que os diretores leiam as configurações do Lake Formation para monitorar configurações incorretas.

Para verificar as permissões para esta política, consulte [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS *.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Como criar uma função vinculada a serviços do Security Lake
<a name="create-slr"></a>

Você pode criar a função `AWSServiceRoleForSecurityLakeResourceManagement` vinculada ao serviço para o Security Lake usando o console do Security Lake ou o. AWS CLI

Para criar a função vinculada ao serviço, você deve conceder as seguintes permissões ao seu usuário do IAM ou função do IAM. A função do IAM deve ser de administrador do Lake Formation em todas as regiões habilitadas para o Security Lake.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowLakeFormationActionsViaSecurityLakeConsole",
      "Effect": "Allow",
      "Action": [
        "lakeformation:GrantPermissions",
        "lakeformation:ListPermissions",
        "lakeformation:ListResources",
        "lakeformation:RegisterResource",
        "lakeformation:RevokePermissions"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowIamActionsViaSecurityLakeConsole",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:GetPolicyVersion",
        "iam:GetRole",
        "iam:PutRolePolicy"
      ],
      "Resource": [
        "arn:*:iam::*:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement",
        "arn:*:iam::*:role/*AWSServiceRoleForLakeFormationDataAccess",
        "arn:*:iam::aws:policy/service-role/AWSGlueServiceRole",
        "arn:*:iam::aws:policy/service-role/AmazonSecurityLakeMetastoreManager",
        "arn:*:iam::aws:policy/aws-service-role/SecurityLakeResourceManagementServiceRolePolicy"
      ],
      "Condition": {
        "StringLikeIfExists": {
          "iam:AWSServiceName": [
            "securitylake.amazonaws.com",
            "resource-management.securitylake.amazonaws.com",
            "lakeformation.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowGlueActionsViaConsole",
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabase",
        "glue:GetTables"
      ],
      "Resource": [
        "arn:*:glue:*:*:catalog",
        "arn:*:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:*:glue:*:*:table/amazon_security_lake_glue_db*/*"
      ]
    }
  ]
}
```

------

------
#### [ Console ]

1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Aceite a nova função vinculada ao serviço clicando em **Habilitar função vinculada ao serviço** na barra de informações na página Resumo.

Depois de habilitar a função vinculada ao serviço, você não precisará repetir esse processo para uso futuro do Security Lake.

------
#### [ CLI ]

Para criar a função `AWSServiceRoleForSecurityLakeResourceManagement` vinculada ao serviço de forma programática, use o seguinte comando da CLI. 

```
$ aws iam create-service-linked-role 
--aws-service-name resource-management.securitylake.amazonaws.com
```



Ao criar a função `AWSServiceRoleForSecurityLakeResourceManagement` vinculada ao serviço usando AWS CLI, você também deve conceder permissões em nível de tabela do Lake Formation (ALTER, DESCRIBE) a todas as tabelas no banco de dados do Security Lake Glue para gerenciar os metadados da tabela e acessar os dados. Se as tabelas do Glue em qualquer região fizerem referência a buckets do S3 da ativação anterior do Security Lake, você deverá conceder temporariamente as permissões DATA\$1LOCATION\$1ACCESS à função vinculada ao serviço para permitir que o Security Lake corrija essa situação. 

Você também precisa conceder permissões de Lake Formation para a função `AWSServiceRoleForSecurityLakeResourceManagement` vinculada ao serviço de sua conta.

O exemplo a seguir mostra como conceder permissões ao Lake Formation para a função vinculada ao serviço na região designada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws lakeformation grant-permissions --region {region} --principal DataLakePrincipalIdentifier={AWSServiceRoleForSecurityLakeResourceManagement ARN} \
--permissions ALTER DESCRIBE --resource '{ "Table": { "DatabaseName": "amazon_security_lake_glue_db_{region}", "TableWildcard": {} } }'
```

O exemplo a seguir mostra como será a aparência do ARN da função. Você deve editar o ARN da função para corresponder à sua região.

`"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"`

Você também pode usar a chamada de [CreateServiceLinkedRole](https://docs.aws.amazon.com//IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API. Na solicitação, especifique o `AWSServiceName` como`resource-management.securitylake.amazonaws.com`.

------

Depois de ativar a `AWSServiceRoleForSecurityLakeResourceManagement` função, se você estiver usando a Chave Gerenciada pelo AWS KMS Cliente (CMK) para criptografia, deverá permitir que a função vinculada ao serviço grave objetos criptografados em buckets do S3 nas regiões em que a CMK existe. AWS No AWS KMS console, adicione a política a seguir à chave KMS AWS nas regiões em que a CMK existe. Para obter detalhes sobre como alterar a política de chaves do KMS, consulte [Políticas de chaves AWS KMS no](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) Guia do AWS Key Management Service desenvolvedor.

```
{
    "Sid": "Allow SLR",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::[regional-datalake-s3-bucket-name]"
        },
        "StringLike": {
            "kms:ViaService": "s3.[region].amazonaws.com"
        }
    }
},
```

## Como editar uma função vinculada a serviços do Security Lake
<a name="edit-slr"></a>

O Security Lake não permite que você edite a função vinculada a serviços `AWSServiceRoleForSecurityLakeResourceManagement`. Após a criação da função vinculada a serviços, você não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Como excluir uma função vinculada a serviços do Security Lake
<a name="delete-slr"></a>

Não é possível excluir a função vinculada a serviços do Security Lake. Em vez disso, você pode excluir a função vinculada ao serviço do console do IAM, da API ou. AWS CLI Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

Antes de excluir a função vinculada a serviços, é necessário confirmar que a função não possui sessões ativas e remover quaisquer recursos que estejam sendo utilizados por `AWSServiceRoleForSecurityLakeResourceManagement`.

**nota**  
Se o serviço Security Lake estiver usando a função `AWSServiceRoleForSecurityLakeResourceManagement` quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente fazer a operação novamente.

Se excluir a função vinculada a serviços `AWSServiceRoleForSecurityLakeResourceManagement` e precisar criá-la novamente, você poderá criá-la novamente ativando o Security Lake em sua conta. Quando você ativa o Security Lake novamente, o Security Lake cria automaticamente uma função vinculada a serviços para você mais uma vez.

## Compatível com Regiões da AWS a função vinculada ao serviço Security Lake
<a name="slr-regions"></a>

O Security Lake suporta o uso da função `AWSServiceRoleForSecurityLakeResourceManagement` vinculada ao serviço em todos os locais em Regiões da AWS que o Security Lake está disponível. Para ver uma lista das Regiões em que o Security Lake está disponível atualmente, consulte [Regiões e endpoints do Security Lake](supported-regions.md).