Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# SLR-Berechtigungen (Service Linked Role) für die Ressourcenverwaltung
<a name="AWSServiceRoleForSecurityLakeResourceManagement"></a>

Security Lake verwendet die so genannte serviceverknüpfte Rolle`AWSServiceRoleForSecurityLakeResourceManagement`, um fortlaufende Überwachungs- und Leistungsverbesserungen durchzuführen, wodurch Latenz und Kosten reduziert werden können. Diese dienstbezogene Rolle vertraut darauf, dass der `resource-management.securitylake.amazonaws.com` Dienst die Rolle übernimmt. Durch die Aktivierung `AWSServiceRoleForSecurityLakeResourceManagement` erhält es auch Zugriff auf Lake Formation und registriert Ihre von Security Lake verwalteten S3-Buckets automatisch in allen Regionen bei Lake Formation, um die Sicherheit zu verbessern. 

 Die Berechtigungsrichtlinie für die Rolle, bei der es sich um eine AWS verwaltete Richtlinie mit dem Namen handelt`SecurityLakeResourceManagementServiceRolePolicy`, ermöglicht den Zugriff auf die Verwaltung von Ressourcen, die von Security Lake erstellt wurden, einschließlich der Verwaltung der Metadaten in Ihrem Data Lake. Weitere Informationen zu AWS verwalteten Richtlinien für Amazon Security Lake finden Sie unter [AWS Verwaltete Richtlinien für Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement.html).

Diese dienstbezogene Rolle ermöglicht es Security Lake, den Zustand der von Security Lake bereitgestellten Ressourcen (S3-Bucket, AWS Glue Tabellen, Amazon SQS SQS-Warteschlange, Metastore Manager (MSM) Lambda-Funktion und EventBridge Regeln) für Ihr Konto zu überwachen. Einige Beispiele für Operationen, die Security Lake mit dieser serviceverknüpften Rolle ausführen kann, sind:
+ Die Komprimierung von Apache Iceberg-Manifestdateien verbessert die Abfrageleistung und senkt die Verarbeitungszeiten und -kosten von Lambda MSM.
+ Überwachen Sie den Status von Amazon SQS, um Aufnahmeprobleme zu erkennen.
+ Optimieren Sie die regionsübergreifende Datenreplikation, um Metadatendateien auszuschließen.

**Anmerkung**  
Wenn Sie die `AWSServiceRoleForSecurityLakeResourceManagement` dienstgebundene Rolle nicht installieren, funktioniert Security Lake weiterhin. Es wird jedoch dringend empfohlen, diese dienstgebundene Rolle anzunehmen, damit Security Lake die Ressourcen in Ihrem Konto überwachen und optimieren kann. 

**Details zu Berechtigungen**

Die Rolle ist mit der folgenden Berechtigungsrichtlinie konfiguriert:




+ `events`— Ermöglicht Prinzipalen die Verwaltung der EventBridge Regeln, die für Protokollquellen und Protokollabonnenten erforderlich sind.
+ `lambda`— Ermöglicht es den Prinzipalen, das Lambda zu verwalten, das zur Aktualisierung von AWS Glue Tabellenpartitionen nach der AWS Quellenzustellung und der regionsübergreifenden Replikation verwendet wird.
+ `glue`— Ermöglicht Prinzipalen das Ausführen bestimmter Schreibaktionen für AWS Glue Datenkatalogtabellen. Auf diese Weise können AWS Glue Crawler auch Partitionen in Ihren Daten identifizieren und Security Lake kann Apache Iceberg-Metadaten für Ihre Apache Iceberg-Tabellen verwalten.
+ `s3`— Ermöglicht Prinzipalen, bestimmte Lese- und Schreibaktionen für die Security Lake-Buckets durchzuführen, die Protokolldaten und Metadaten der Glue-Tabelle enthalten.
+ `logs`— Ermöglicht Prinzipalen Lesezugriff, um die Ausgabe der Lambda-Funktion in Logs zu CloudWatch protokollieren.
+ `sqs`— Ermöglicht Principals, spezifische Lese- und Schreibaktionen für Amazon SQS SQS-Warteschlangen durchzuführen, die Ereignisbenachrichtigungen erhalten, wenn Objekte zu Ihrem Data Lake hinzugefügt oder aktualisiert werden.
+ `lakeformation`— Ermöglicht es den Prinzipalen, die Lake Formation Formation-Einstellungen zu lesen, um nach Fehlkonfigurationen zu suchen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

## Die serviceverknüpfte Security Lake-Rolle erstellen
<a name="create-slr"></a>

Sie können die `AWSServiceRoleForSecurityLakeResourceManagement` dienstverknüpfte Rolle für Security Lake mithilfe der Security Lake-Konsole oder der erstellen. AWS CLI

Um die dienstverknüpfte Rolle zu erstellen, müssen Sie Ihrem IAM-Benutzer oder Ihrer IAM-Rolle die folgenden Berechtigungen gewähren. Die IAM-Rolle muss in allen Security Lake-fähigen Regionen ein Lake Formation-Administrator sein.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowLakeFormationActionsViaSecurityLakeConsole",
      "Effect": "Allow",
      "Action": [
        "lakeformation:GrantPermissions",
        "lakeformation:ListPermissions",
        "lakeformation:ListResources",
        "lakeformation:RegisterResource",
        "lakeformation:RevokePermissions"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowIamActionsViaSecurityLakeConsole",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:GetPolicyVersion",
        "iam:GetRole",
        "iam:PutRolePolicy"
      ],
      "Resource": [
        "arn:*:iam::*:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement",
        "arn:*:iam::*:role/*AWSServiceRoleForLakeFormationDataAccess",
        "arn:*:iam::aws:policy/service-role/AWSGlueServiceRole",
        "arn:*:iam::aws:policy/service-role/AmazonSecurityLakeMetastoreManager",
        "arn:*:iam::aws:policy/aws-service-role/SecurityLakeResourceManagementServiceRolePolicy"
      ],
      "Condition": {
        "StringLikeIfExists": {
          "iam:AWSServiceName": [
            "securitylake.amazonaws.com",
            "resource-management.securitylake.amazonaws.com",
            "lakeformation.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowGlueActionsViaConsole",
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabase",
        "glue:GetTables"
      ],
      "Resource": [
        "arn:*:glue:*:*:catalog",
        "arn:*:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:*:glue:*:*:table/amazon_security_lake_glue_db*/*"
      ]
    }
  ]
}
```

------

------
#### [ Console ]

1. Öffnen Sie die Security Lake-Konsole unter [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Akzeptieren Sie die neue serviceverknüpfte Rolle, indem Sie in der Informationsleiste auf der Übersichtsseite auf **Serviceverknüpfte Rolle aktivieren** klicken.

Sobald Sie die serviceverknüpfte Rolle aktiviert haben, müssen Sie diesen Vorgang für die future Verwendung von Security Lake nicht wiederholen.

------
#### [ CLI ]

Verwenden Sie den folgenden CLI-Befehl, um die `AWSServiceRoleForSecurityLakeResourceManagement` dienstverknüpfte Rolle programmatisch zu erstellen. 

```
$ aws iam create-service-linked-role 
--aws-service-name resource-management.securitylake.amazonaws.com
```



Wenn Sie die `AWSServiceRoleForSecurityLakeResourceManagement` serviceverknüpfte Rolle mit erstellen AWS CLI, müssen Sie ihr außerdem Lake Formation Formation-Berechtigungen auf Tabellenebene (ALTER, DESCRIBE) für alle Tabellen in der Security Lake Glue-Datenbank gewähren, um Tabellenmetadaten zu verwalten und auf Daten zuzugreifen. Wenn Glue-Tabellen in einer Region auf S3-Buckets aus der vorherigen Security Lake-Aktivierung verweisen, müssen Sie vorübergehend DATA\$1LOCATION\$1ACCESS-Berechtigungen für die serviceverknüpfte Rolle gewähren, damit Security Lake diese Situation beheben kann. 

Sie müssen Lake Formation auch Berechtigungen für die `AWSServiceRoleForSecurityLakeResourceManagement` dienstverknüpfte Rolle für Ihr Konto gewähren.

Das folgende Beispiel zeigt, wie der Lake Formation Berechtigungen für die serviceverknüpfte Rolle in der angegebenen Region erteilt werden. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws lakeformation grant-permissions --region {region} --principal DataLakePrincipalIdentifier={AWSServiceRoleForSecurityLakeResourceManagement ARN} \
--permissions ALTER DESCRIBE --resource '{ "Table": { "DatabaseName": "amazon_security_lake_glue_db_{region}", "TableWildcard": {} } }'
```

Das folgende Beispiel zeigt, wie der Rollen-ARN aussehen wird. Sie müssen den Rollen-ARN so bearbeiten, dass er zu Ihrer Region passt.

`"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"`

Sie können auch den [CreateServiceLinkedRole](https://docs.aws.amazon.com//IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API-Aufruf verwenden. Geben Sie in der Anfrage das `AWSServiceName` als an`resource-management.securitylake.amazonaws.com`.

------

Wenn Sie nach der Aktivierung der `AWSServiceRoleForSecurityLakeResourceManagement` Rolle den AWS KMS Customer Managed Key (CMK) für die Verschlüsselung verwenden, müssen Sie der serviceverknüpften Rolle gestatten, verschlüsselte Objekte in S3-Buckets in den AWS Regionen zu schreiben, in denen CMK vorhanden ist. Fügen Sie in der AWS KMS Konsole dem KMS-Schlüssel in den AWS Regionen, in denen CMK existiert, die folgende Richtlinie hinzu. Einzelheiten zum Ändern der KMS-Schlüsselrichtlinie finden Sie unter [Wichtige Richtlinien AWS KMS im](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) AWS Key Management Service Entwicklerhandbuch.

```
{
    "Sid": "Allow SLR",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::[regional-datalake-s3-bucket-name]"
        },
        "StringLike": {
            "kms:ViaService": "s3.[region].amazonaws.com"
        }
    }
},
```

## Bearbeiten der serviceverknüpften Rolle in Security Lake
<a name="edit-slr"></a>

In Security Lake können Sie die `AWSServiceRoleForSecurityLakeResourceManagement` dienstverknüpfte Rolle nicht bearbeiten. Nachdem eine dienstverknüpfte Rolle erstellt wurde, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen der serviceverknüpften Rolle in Security Lake
<a name="delete-slr"></a>

Sie können die dienstverknüpfte Rolle nicht aus Security Lake löschen. Stattdessen können Sie die dienstverknüpfte Rolle aus der IAM-Konsole, API oder löschen. AWS CLI Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.

Bevor Sie die dienstverknüpfte Rolle löschen können, müssen Sie zunächst bestätigen, dass die Rolle keine aktiven Sitzungen hat, und alle Ressourcen entfernen, die `AWSServiceRoleForSecurityLakeResourceManagement` sie verwendet.

**Anmerkung**  
Wenn Security Lake die `AWSServiceRoleForSecurityLakeResourceManagement` Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Warten Sie in diesem Fall einige Minuten und führen Sie den Vorgang dann erneut aus.

Wenn Sie die `AWSServiceRoleForSecurityLakeResourceManagement` dienstverknüpfte Rolle löschen und sie erneut erstellen müssen, können Sie sie erneut erstellen, indem Sie Security Lake für Ihr Konto aktivieren. Wenn Sie Security Lake erneut aktivieren, erstellt Security Lake die dienstverknüpfte Rolle automatisch erneut für Sie.

## Wird AWS-Regionen für die serviceverknüpfte Security Lake-Rolle unterstützt
<a name="slr-regions"></a>

Security Lake unterstützt die Verwendung der `AWSServiceRoleForSecurityLakeResourceManagement` dienstbezogenen Rolle in allen Bereichen, in AWS-Regionen denen Security Lake verfügbar ist. Eine Liste der Regionen, in denen Security Lake derzeit verfügbar ist, finden Sie unter[Security Lake-Regionen und Endpunkte](supported-regions.md).