Security Lake 的服务相关角色

Security Lake 使用名为AWSServiceRoleForSecurityLake的 AWS Identity and Access Management (IAM) 服务相关角色。此服务相关角色是与 Secur IAM ity Lake 直接关联的角色。这一角色由 Security Lake 预定义，包含 Security Lake 为您调用其他 AWS 服务并运行安全数据胡服务所需的所有权限。Security Lake 在所有可用 Security Lake AWS 区域的地方都使用此服务相关角色。

利用服务相关角色，您在设置 Security Lake 时不需要手动添加必要的权限。Security Lake 会定义这一服务相关角色的权限，而且除非另有定义，否则只有 Security Lake 可以担任该角色。定义的权限包括信任策略和权限策略，并且该权限策略不能附加到任何其他IAM实体。

必须配置权限以允许实IAM体（例如用户、组或角色）创建、编辑或删除服务相关角色。有关更多信息，请参阅《IAM用户指南》中的服务相关角色权限。只有在删除服务相关角色的相关资源后，您才能删除该角色。这可以保护您的资源，因为您不会无意中删除对资源的访问权限。

有关支持服务相关角色的其他服务的信息，请参阅与服务关联角色配合使用的AWS 服务，IAM并在服务相关角色列中查找带有 “是” 的服务。选择带有链接的是可以查看该服务的服务相关角色文档。

Security Lake 的服务相关角色权限

Security Lake 使用名为 AWSServiceRoleForSecurityLake 的服务相关角色。该服务相关角色信任 securitylake.amazonaws.com 服务担任该角色。有关 Amazon Security Lake AWS 托管策略的更多信息，请参阅AWS 管理亚马逊安全湖的策略。

该角色的权限策略是一个名为的 AWS 托管策略SecurityLakeServiceLinkedRole，允许 Security Lake 创建和操作安全数据湖。该策略还允许 Security Lake 对指定资源执行以下操作：

使用 AWS Organizations 操作检索关联账户的相关信息
使用亚马逊弹性计算云 (AmazonEC2) 检索有关亚马逊VPC流日志的信息
使用 AWS CloudTrail 操作检索有关服务相关角色的信息
在 Security AWS WAF Lake 中启用日志作为日志源后，使用 AWS WAF 操作收集日志
使用LogDelivery操作创建或删除 AWS WAF 日志传输订阅。

该角色使用以下权限策略进行配置：


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "OrganizationsPolicies",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "organizations:DescribeOrganization"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "DescribeOrgAccounts",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount"
            ],
            "Resource": [
                "arn:aws:organizations::*:account/o-*/*"
            ]
        },
        {
            "Sid": "AllowManagementOfServiceLinkedChannel",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateServiceLinkedChannel",
                "cloudtrail:DeleteServiceLinkedChannel",
                "cloudtrail:GetServiceLinkedChannel",
                "cloudtrail:UpdateServiceLinkedChannel"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*"
        },
        {
            "Sid": "AllowListServiceLinkedChannel",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:ListServiceLinkedChannels"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DescribeAnyVpc",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListDelegatedAdmins",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "securitylake.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowWafLoggingConfiguration",
            "Effect": "Allow",
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:GetLoggingConfiguration",
                "wafv2:ListLoggingConfigurations",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "wafv2:LogScope": "SecurityLake"
                }
            }
        },
        {
            "Sid": "AllowPutLoggingConfiguration",
            "Effect": "Allow",
            "Action": [
                "wafv2:PutLoggingConfiguration"
            ],
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*"
                }
            }
        },
        {
            "Sid": "ListWebACLs",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs"
            ],
            "Resource": "*"
        },
        {
            "Sid": "LogDelivery",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "wafv2.amazonaws.com"
                    ]
                }
            }
        }
        
    ]
}

必须配置权限以允许实IAM体（例如用户、组或角色）创建、编辑或删除服务相关角色。有关更多信息，请参阅《IAM用户指南》中的服务相关角色权限。

创建 Security Lake 服务相关角色

您不需要为 Security Lake 手动创建 AWSServiceRoleForSecurityLake 服务相关角色。当您为自己启用 Security Lake 时 AWS 账户，Security Lake 会自动为您创建服务相关角色。

创建 Security Lake 服务相关角色

Security Lake 不允许您编辑 AWSServiceRoleForSecurityLake 服务相关角色。在创建服务相关角色后，您无法更改角色的名称，因为可能有多个实体会引用该角色。但是，您可以使用编辑角色的描述IAM。有关更多信息，请参阅《IAM用户指南》中的编辑服务相关角色。

删除 Security Lake 服务相关角色

您无法从 Security Lake 中删除服务相关角色。相反，您可以从IAM控制台中删除服务相关角色API、或 AWS CLI。有关更多信息，请参阅《IAM用户指南》中的删除服务相关角色。

您必须先确认服务相关角色没有活动会话并删除 AWSServiceRoleForSecurityLake 使用的任何资源，然后才能删除服务相关角色。

注意

在您尝试删除资源时，如果 Security Lake 正在使用 AWSServiceRoleForSecurityLake 角色，删除可能会失败。如果发生这种情况，请等待几分钟，然后再次尝试操作。

如果您在删除 AWSServiceRoleForSecurityLake 服务相关角色后需要再次创建该角色，可以通过为账户启用 Security Lake 来再次创建角色。当您再次启用 Security Lake 时，Security Lake 会再次自动为您创建服务相关角色。

支持 AWS 区域 Security Lake 服务关联角色

Security Lake 支持在所有可用 Security Lake AWS 区域的地方使用AWSServiceRoleForSecurityLake服务相关角色。有关提供 Security Lake 的区域的列表，请参阅安全湖区域和终端节点。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

AWS 托管策略

数据保护