As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Função vinculada a serviços para Security Lake
O Security Lake usa uma função vinculada ao serviço AWS Identity and Access Management (IAM) chamada. AWSServiceRoleForSecurityLake Essa função vinculada ao serviço é uma IAM função vinculada diretamente ao Security Lake. Ela é predefinida pelo Security Lake e inclui todas as permissões que o Security Lake exige para chamar todos os outros Serviços da AWS
em seu nome e operar o serviço de data lake de segurança. O Security Lake usa essa função vinculada ao serviço em todos os lugares em Regiões da AWS que o Security Lake está disponível.
A função vinculada a serviços elimina a necessidade de adicionar manualmente as permissões necessárias ao configurar o Security Lake. O Security Lake define as permissões dessa função vinculada ao serviço e, a menos que definido em contrário, somente o Security Lake pode assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra IAM entidade.
Você deve configurar permissões para permitir que uma IAM entidade (como usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de funções vinculadas ao serviço no Guia do IAMusuário. Você só pode excluir uma função vinculada ao serviço depois de excluir seus recursos relacionados. Isso protege seus recursos porque você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Funções vinculadas ao serviço. Escolha um Sim com um link para revisar a documentação da função vinculada a esse serviço.
Tópicos
- Permissões de função vinculada a serviços para o Security Lake
- Como criar uma função vinculada a serviços do Security Lake
- Como editar uma função vinculada a serviços do Security Lake
- Como excluir uma função vinculada a serviços do Security Lake
- Compatível com Regiões da AWS a função vinculada ao serviço Security Lake
Permissões de função vinculada a serviços para o Security Lake
O Security Lake usa a função vinculada a serviços chamada AWSServiceRoleForSecurityLake. Essa função vinculada a serviços confia no serviço securitylake.amazonaws.com para assumir a função. Para obter mais informações sobre políticas AWS gerenciadas para o Amazon Security Lake, consulte AWS Gerenciar políticas para o Amazon Security Lake.
A política de permissões para a função, que é uma política AWS gerenciada chamadaSecurityLakeServiceLinkedRole, permite que o Security Lake crie e opere o data lake de segurança. Também permite que o Security Lake execute tarefas como as seguintes nos recursos especificados:
-
Use AWS Organizations ações para recuperar informações sobre contas associadas
-
Use o Amazon Elastic Compute Cloud (AmazonEC2) para recuperar informações sobre o Amazon VPC Flow Logs
-
Use AWS CloudTrail ações para recuperar informações sobre a função vinculada ao serviço
-
Use AWS WAF ações para coletar AWS WAF registros, quando ativada como fonte de log no Security Lake
-
Use a
LogDeliveryação para criar ou excluir uma assinatura de entrega de AWS WAF registros.
A função está configurada com a seguinte política de permissões:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OrganizationsPolicies", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization" ], "Resource": [ "*" ] }, { "Sid": "DescribeOrgAccounts", "Effect": "Allow", "Action": [ "organizations:DescribeAccount" ], "Resource": [ "arn:aws:organizations::*:account/o-*/*" ] }, { "Sid": "AllowManagementOfServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:CreateServiceLinkedChannel", "cloudtrail:DeleteServiceLinkedChannel", "cloudtrail:GetServiceLinkedChannel", "cloudtrail:UpdateServiceLinkedChannel" ], "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*" }, { "Sid": "AllowListServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:ListServiceLinkedChannels" ], "Resource": "*" }, { "Sid": "DescribeAnyVpc", "Effect": "Allow", "Action": [ "ec2:DescribeVpcs" ], "Resource": "*" }, { "Sid": "ListDelegatedAdmins", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securitylake.amazonaws.com" } } }, { "Sid": "AllowWafLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration", "wafv2:GetLoggingConfiguration", "wafv2:ListLoggingConfigurations", "wafv2:DeleteLoggingConfiguration" ], "Resource": "*", "Condition": { "StringEquals": { "wafv2:LogScope": "SecurityLake" } } }, { "Sid": "AllowPutLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration" ], "Resource": "*", "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*" } } }, { "Sid": "ListWebACLs", "Effect": "Allow", "Action": [ "wafv2:ListWebACLs" ], "Resource": "*" }, { "Sid": "LogDelivery", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "wafv2.amazonaws.com" ] } } } ] }
Você deve configurar permissões para permitir que uma IAM entidade (como usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de funções vinculadas ao serviço no Guia do IAMusuário.
Como criar uma função vinculada a serviços do Security Lake
Você não precisa criar manualmente o perfil vinculado à serviços AWSServiceRoleForSecurityLake para o Security Lake. Quando você ativa o Security Lake para você Conta da AWS, o Security Lake cria automaticamente a função vinculada ao serviço para você.
Como editar uma função vinculada a serviços do Security Lake
O Security Lake não permite que você edite a função vinculada a serviços AWSServiceRoleForSecurityLake. Após a criação da função vinculada a serviços, você não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte Edição de uma função vinculada ao serviço no Guia do IAMusuário.
Como excluir uma função vinculada a serviços do Security Lake
Não é possível excluir a função vinculada a serviços do Security Lake. Em vez disso, você pode excluir a função vinculada ao serviço do IAM console,API, ou. AWS CLIPara obter mais informações, consulte Excluindo uma função vinculada ao serviço no Guia do IAM usuário.
Antes de excluir a função vinculada a serviços, é necessário confirmar que a função não possui sessões ativas e remover quaisquer recursos que estejam sendo utilizados por AWSServiceRoleForSecurityLake.
nota
Se o serviço Security Lake estiver usando a função AWSServiceRoleForSecurityLake quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente fazer a operação novamente.
Se excluir a função vinculada a serviços AWSServiceRoleForSecurityLake e precisar criá-la novamente, você poderá criá-la novamente ativando o Security Lake em sua conta. Quando você ativa o Security Lake novamente, o Security Lake cria automaticamente uma função vinculada a serviços para você mais uma vez.
Compatível com Regiões da AWS a função vinculada ao serviço Security Lake
O Security Lake suporta o uso da função AWSServiceRoleForSecurityLake vinculada ao serviço em todos os locais em Regiões da AWS que o Security Lake está disponível. Para ver uma lista das Regiões em que o Security Lake está disponível atualmente, consulte Regiões e endpoints do Security Lake.
