Ações Tipos de recursos Chaves de condição

Ações, recursos e chaves de condição do Amazon Security Lake

O Amazon Security Lake (prefixo do serviço:securitylake) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em IAM políticas de permissão.

Referências:

Saiba como configurar este serviço.
Veja uma lista das APIoperações disponíveis para esse serviço.
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.

Tópicos

Ações definidas pelo Amazon Security Lake
Tipos de recursos definidos pelo Amazon Security Lake
Chaves de condição do Amazon Security Lake

Ações definidas pelo Amazon Security Lake

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando você usa uma ação em uma política, geralmente permite ou nega acesso à API operação ou ao CLI comando com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o Resource elemento em uma IAM política, deverá incluir um padrão ARN ou para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.

A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.

nota

As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações	Descrição	Nível de acesso	Tipos de recursos (*necessários)	Chaves de condição	Ações dependentes
CreateAwsLogSource	Concede permissão para habilitar qualquer tipo de fonte em qualquer região para contas que façam parte de uma organização confiável ou conta autônoma	Escrever	data-lake*		glue:CreateDatabase glue:CreateTable glue:GetDatabase glue:GetTable iam:CreateServiceLinkedRole kms:CreateGrant kms:DescribeKey
CreateCustomLogSource	Concede permissão para adicionar uma origem personalizada	Escrever	data-lake*		glue:CreateCrawler glue:CreateDatabase glue:CreateTable glue:StartCrawlerSchedule iam:DeleteRolePolicy iam:GetRole iam:PassRole iam:PutRolePolicy kms:CreateGrant kms:DescribeKey kms:GenerateDataKey lakeformation:GrantPermissions lakeformation:RegisterResource s3:ListBucket s3:PutObject
CreateDataLake	Concede permissão para criar um novo data lake de segurança	Escrever	data-lake*		events:PutRule events:PutTargets iam:CreateServiceLinkedRole iam:DeleteRolePolicy iam:GetRole iam:ListAttachedRolePolicies iam:PassRole iam:PutRolePolicy kms:CreateGrant kms:DescribeKey lakeformation:GetDataLakeSettings lakeformation:PutDataLakeSettings lambda:AddPermission lambda:CreateEventSourceMapping lambda:CreateFunction organizations:DescribeOrganization organizations:ListAccounts organizations:ListDelegatedServicesForAccount s3:CreateBucket s3:GetObject s3:GetObjectVersion s3:ListBucket s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutBucketVersioning sqs:CreateQueue sqs:GetQueueAttributes sqs:SetQueueAttributes
CreateDataLake	Concede permissão para criar um novo data lake de segurança	Escrever		aws:RequestTag/${TagKey} aws:TagKeys
CreateDataLakeExceptionSubscription	Concede permissão para receber notificações instantâneas sobre exceções. Assina os SNS tópicos para receber notificações de exceções	Escrever
CreateDataLakeOrganizationConfiguration	Concede permissão para habilitar automaticamente o Amazon Security Lake para novas contas de membro em sua organização	Escrever	data-lake*
CreateSubscriber	Concede permissão para criar um assinante	Escrever		aws:RequestTag/${TagKey} aws:TagKeys	iam:CreateRole iam:DeleteRolePolicy iam:GetRole iam:PutRolePolicy lakeformation:GrantPermissions lakeformation:ListPermissions lakeformation:RegisterResource lakeformation:RevokePermissions ram:GetResourceShareAssociations ram:GetResourceShares ram:UpdateResourceShare s3:PutObject
CreateSubscriberNotification	Concede permissão para criar uma invocação de webhook para notificar um cliente quando há novos dados no data lake	Escrever	subscriber*		events:CreateApiDestination events:CreateConnection events:DescribeRule events:ListApiDestinations events:ListConnections events:PutRule events:PutTargets iam:DeleteRolePolicy iam:GetRole iam:PassRole s3:GetBucketNotification s3:PutBucketNotification sqs:CreateQueue sqs:DeleteQueue sqs:GetQueueAttributes sqs:GetQueueUrl sqs:SetQueueAttributes
DeleteAwsLogSource	Concede permissão para desabilitar qualquer tipo de fonte em qualquer região para contas que fazem parte de uma organização confiável ou contas independentes	Escrever	data-lake*
DeleteCustomLogSource	Concede permissão para remover uma fonte personalizada	Escrever	data-lake*		glue:StopCrawlerSchedule
DeleteDataLake	Concede permissão para excluir data lake de segurança	Escrever	data-lake*		organizations:DescribeOrganization organizations:ListDelegatedAdministrators organizations:ListDelegatedServicesForAccount
DeleteDataLakeExceptionSubscription	Concede permissão para cancelar a assinatura de SNS tópicos para notificações de exceções. Remove notificações de exceção para o SNS tópico	Escrever
DeleteDataLakeOrganizationConfiguration	Concede permissão para remover a ativação automática do acesso do Amazon Security Lake para novas contas da organização	Escrever	data-lake*
DeleteSubscriber	Concede permissão para excluir o assinante especificado	Escrever	subscriber*		events:DeleteApiDestination events:DeleteConnection events:DeleteRule events:DescribeRule events:ListApiDestinations events:ListTargetsByRule events:RemoveTargets iam:DeleteRole iam:DeleteRolePolicy iam:GetRole iam:ListRolePolicies lakeformation:ListPermissions lakeformation:RevokePermissions sqs:DeleteQueue sqs:GetQueueUrl
DeleteSubscriberNotification	Concede permissão para remover uma invocação de webhook para notificar um cliente quando há novos dados no data lake	Escrever	subscriber*		events:DeleteApiDestination events:DeleteConnection events:DeleteRule events:DescribeRule events:ListApiDestinations events:ListTargetsByRule events:RemoveTargets iam:DeleteRole iam:DeleteRolePolicy iam:GetRole iam:ListRolePolicies lakeformation:RevokePermissions sqs:DeleteQueue sqs:GetQueueUrl
DeregisterDataLakeDelegatedAdministrator	Concede permissão para remover a conta de administrador delegado e desabilitar o Amazon Security Lake como um serviço para essa organização	Escrever			organizations:DeregisterDelegatedAdministrator organizations:DescribeOrganization organizations:ListDelegatedServicesForAccount
GetDataLakeExceptionSubscription	Concede permissão para consultar o protocolo e o endpoint que foram fornecidos ao assinar SNS tópicos para notificações de exceções	Leitura
GetDataLakeOrganizationConfiguration	Concede permissão para obter a definição de configuração de uma organização para habilitar automaticamente o acesso do Amazon Security Lake para novas contas da organização	Leitura	data-lake*		organizations:DescribeOrganization
GetDataLakeSources	Concede permissão para obter um instantâneo estático do data lake de segurança na região atual. O instantâneo inclui contas habilitadas e origens de log	Leitura	data-lake*
GetSubscriber	Concede permissão para obter informações sobre um assinante que já foi criado	Leitura	subscriber*
ListDataLakeExceptions	Concede permissão para obter a lista de todas as falhas que não podem ser repetidas	Lista
ListDataLakes	Concede permissão para listar informações sobre os data lakes de segurança	Lista
ListLogSources	Concede permissão para visualizar as contas habilitadas. Você pode ver as fontes habilitadas nas regiões habilitadas	Lista
ListSubscribers	Concede permissão para listar todos os assinantes	Lista
ListTagsForResource	Concede permissão para listar todas as tags do recurso	Lista	data-lake
ListTagsForResource	Concede permissão para listar todas as tags do recurso	Lista	subscriber
RegisterDataLakeDelegatedAdministrator	Concede permissão para designar uma conta como a conta de administrador do Amazon Security Lake para a organização	Escrever			iam:CreateServiceLinkedRole organizations:DescribeOrganization organizations:EnableAWSServiceAccess organizations:ListDelegatedAdministrators organizations:ListDelegatedServicesForAccount organizations:RegisterDelegatedAdministrator
TagResource	Concede permissão para adicionar tags ao recurso	Tags	data-lake
			subscriber
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	Concede permissão para remover tags do recurso	Tags	data-lake
			subscriber
				aws:TagKeys
UpdateDataLake	Concede permissão para atualizar um data lake de segurança	Escrever	data-lake*		events:PutRule events:PutTargets iam:CreateServiceLinkedRole iam:DeleteRolePolicy iam:GetRole iam:ListAttachedRolePolicies iam:PutRolePolicy kms:CreateGrant kms:DescribeKey lakeformation:GetDataLakeSettings lakeformation:PutDataLakeSettings lambda:AddPermission lambda:CreateEventSourceMapping lambda:CreateFunction organizations:DescribeOrganization organizations:ListDelegatedServicesForAccount s3:CreateBucket s3:GetObject s3:GetObjectVersion s3:ListBucket s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutBucketVersioning sqs:CreateQueue sqs:GetQueueAttributes sqs:SetQueueAttributes
UpdateDataLakeExceptionSubscription	Concede permissão para atualizar as assinaturas dos SNS tópicos para notificações de exceções	Escrever
UpdateSubscriber	Concede permissão para atualizar um assinante	Escrever	subscriber*		events:CreateApiDestination events:CreateConnection events:DescribeRule events:ListApiDestinations events:ListConnections events:PutRule events:PutTargets iam:DeleteRolePolicy iam:GetRole iam:PutRolePolicy
UpdateSubscriberNotification	Concede permissão para atualizar uma invocação de webhook para notificar um cliente quando há novos dados no data lake	Escrever	subscriber*		events:CreateApiDestination events:CreateConnection events:DescribeRule events:ListApiDestinations events:ListConnections events:PutRule events:PutTargets iam:CreateServiceLinkedRole iam:DeleteRolePolicy iam:GetRole iam:PassRole iam:PutRolePolicy s3:CreateBucket s3:GetBucketNotification s3:ListBucket s3:PutBucketNotification s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutBucketVersioning s3:PutLifecycleConfiguration sqs:CreateQueue sqs:DeleteQueue sqs:GetQueueAttributes sqs:GetQueueUrl sqs:SetQueueAttributes

Tipos de recursos definidos pelo Amazon Security Lake

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição

Tipos de recursos	ARN	Chaves de condição
data-lake	`arn:${Partition}:securitylake:${Region}:${Account}:data-lake/default`	aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey}
subscriber	`arn:${Partition}:securitylake:${Region}:${Account}:subscriber/${SubscriberId}`	aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey}

data-lake

arn:${Partition}:securitylake:${Region}:${Account}:data-lake/default

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

subscriber

arn:${Partition}:securitylake:${Region}:${Account}:subscriber/${SubscriberId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

Chaves de condição do Amazon Security Lake

O Amazon Security Lake define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma IAM política. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para exibir as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição	Descrição	Tipo
aws:RequestTag/${TagKey}	Filtra o acesso pelas etiquetas que são transmitidas na solicitação	String
aws:ResourceTag/${TagKey}	Filtra o acesso por um par de chave e valor da etiqueta de um recurso.	String
aws:TagKeys	Filtra o acesso pelas chaves de etiqueta que são transmitidas na solicitação	ArrayOfString

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS Resposta a incidentes de segurança

AWS Serviço de token de segurança