Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Security Lake
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame AWS Verantwortung von Ihnen und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Amazon Security Lake gelten, finden Sie unter [AWS Services in Scope by Compliance Program AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Security Lake anwenden können. In den folgenden Themen erfahren Sie, wie Sie Security Lake so konfigurieren, dass Sie Ihre Sicherheits- und Compliance-Ziele erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Sie bei der Überwachung und Sicherung Ihrer Security Lake-Ressourcen unterstützen.
**Topics**
+ [Identitäts- und Zugriffsmanagement für Security Lake](security-iam.md)
+ [Datenschutz in Amazon Security Lake](data-protection.md)
+ [Konformitätsprüfung für Amazon Security Lake](compliance-validation.md)
+ [Bewährte Sicherheitsmethoden für Security Lake](best-practices-overview.md)
+ [Resilienz im Amazon Security Lake](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Amazon Security Lake](infrastructure-security.md)
+ [Konfiguration und Schwachstellenanalyse in Security Lake](configuration-vulnerability-analysis.md)
+ [Amazon Security Lake und VPC-Schnittstellen-Endpunkte ()AWS PrivateLink](security-vpc-endpoints.md)
+ [Überwachung von Amazon Security Lake](monitoring-overview.md)
# Identitäts- und Zugriffsmanagement für Security Lake
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Security Lake-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So funktioniert Security Lake mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für Security Lake](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für Security Lake](security-iam-awsmanpol.md)
+ [Verwenden von serviceverknüpften Rollen für Security Lake](using-service-linked-roles.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Identität und Zugriff auf Amazon Security Lake](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Security Lake mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für Security Lake](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Security Lake mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Security Lake zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen für die Verwendung mit Security Lake verfügbar sind.
**IAM-Funktionen, die Sie mit Amazon Security Lake verwenden können**
| IAM-Feature | Security Lake-Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Ja |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
Einen allgemeinen Überblick darüber, wie Security Lake und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für Security Lake
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
Security Lake unterstützt identitätsbasierte Richtlinien. Weitere Informationen finden Sie unter [Beispiele für identitätsbasierte Richtlinien für Security Lake](security_iam_id-based-policy-examples.md).
## Ressourcenbasierte Richtlinien innerhalb von Security Lake
**Unterstützt ressourcenbasierte Richtlinien:** Ja
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
Der Security Lake-Service erstellt ressourcenbasierte Richtlinien für die Amazon S3 S3-Buckets, in denen Ihre Daten gespeichert werden. Sie fügen diese ressourcenbasierten Richtlinien nicht Ihren S3-Buckets hinzu. Security Lake erstellt diese Richtlinien automatisch in Ihrem Namen.
Eine Beispielressource ist ein S3-Bucket mit dem Amazon-Ressourcennamen (ARN) von`arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}`. In diesem Beispiel `region` handelt es sich um eine spezifische AWS-Region Zeichenfolge, für die Sie Security Lake aktiviert haben, und um `bucket-identifier` eine regional eindeutige alphanumerische Zeichenfolge, die Security Lake dem Bucket zuweist. Security Lake erstellt den S3-Bucket, um Daten aus dieser Region zu speichern. Die Ressourcenrichtlinie definiert, welche Principals Aktionen auf dem Bucket ausführen können. Hier ist ein Beispiel für eine ressourcenbasierte Richtlinie (Bucket-Richtlinie), die Security Lake an den Bucket anhängt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}/*",
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "PutSecurityLakeObject",
"Effect": "Allow",
"Principal": {
"Service": "securitylake.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}/*",
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{DA-AccountID}",
"s3:x-amz-acl": "bucket-owner-full-control"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:securitylake:us-east-1:111122223333:*"
}
}
}
]
}
```
------
*Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) im IAM-Benutzerhandbuch.*
## Richtlinienaktionen für Security Lake
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der Security Lake-Aktionen finden Sie unter [Von Amazon Security Lake definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) in der *Service Authorization Reference*.
Richtlinienaktionen in Security Lake verwenden vor der Aktion das folgende Präfix:
```
securitylake
```
Um einem Benutzer beispielsweise die Erlaubnis zu erteilen, auf Informationen über einen bestimmten Abonnenten zuzugreifen, nehmen Sie die `securitylake:GetSubscriber` Aktion in die diesem Benutzer zugewiesene Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Security Lake definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"securitylake:action1",
"securitylake:action2"
]
```
Beispiele für identitätsbasierte Security Lake-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Security Lake](security_iam_id-based-policy-examples.md)
## Richtlinienressourcen für Security Lake
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Security Lake definiert die folgenden Ressourcentypen: Abonnent und die Data Lake-Konfiguration für einen AWS-Konto bestimmten AWS-Region. Sie können diese Ressourcentypen in Richtlinien angeben, indem Sie ARNs
Eine Liste der Security Lake-Ressourcentypen und der jeweiligen ARN-Syntax finden Sie unter [Von Amazon Security Lake definierte Ressourcentypen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen darüber, welche Aktionen Sie für jeden Ressourcentyp angeben können, finden Sie unter [Von Amazon Security Lake definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) in der *Service Authorization Reference*.
Beispiele für identitätsbasierte Security Lake-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Security Lake](security_iam_id-based-policy-examples.md)
## Bedingungsschlüssel für Richtlinien für Security Lake
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Security Lake-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Security Lake definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) in der *Service Authorization Reference*. Beispiele für Richtlinien, die Bedingungsschlüssel verwenden, finden Sie unter[Beispiele für identitätsbasierte Richtlinien für Security Lake](security_iam_id-based-policy-examples.md).
## Zugriffskontrolllisten (ACLs) in Security Lake
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Security Lake unterstützt das nicht ACLs, was bedeutet, dass Sie einer Security Lake-Ressource keine ACL zuordnen können.
## Attributbasierte Zugriffskontrolle (ABAC) mit Security Lake
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Sie können Tags an Security Lake-Ressourcen — Abonnenten und die Data Lake-Konfiguration für eine einzelne Person — anhängen. AWS-Konto AWS-Regionen Sie können den Zugriff auf diese Arten von Ressourcen auch steuern, indem Sie Tag-Informationen im `Condition` Element einer Richtlinie angeben. Informationen zum Markieren von Security Lake-Ressourcen finden Sie unter[Kennzeichnen von Security Lake-Ressourcen](tagging-resources.md). Ein Beispiel für eine identitätsbasierte Richtlinie, die den Zugriff auf eine Ressource anhand der Tags für diese Ressource steuert, finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Security Lake](security_iam_id-based-policy-examples.md)
## Temporäre Anmeldeinformationen mit Security Lake verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
Security Lake unterstützt die Verwendung temporärer Anmeldeinformationen.
## Zugriffssitzungen für Security Lake weiterleiten
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Principals, der einen aufruft AWS-Service, kombiniert mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Einige Security Lake-Aktionen erfordern Berechtigungen für zusätzliche, abhängige Aktionen in anderen AWS-Services. Eine Liste dieser Aktionen finden Sie unter [Von Amazon Security Lake definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) in der *Service Authorization Reference*.
## Servicerollen für Security Lake
**Unterstützt Servicerollen:** Nein
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
Security Lake übernimmt oder verwendet keine Servicerollen. Verwandte Dienste wie Amazon und Amazon EventBridge S3 übernehmen jedoch Servicerollen AWS Lambda, wenn Sie Security Lake verwenden. Um Aktionen in Ihrem Namen durchzuführen, verwendet Security Lake eine dienstbezogene Rolle.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle kann zu Betriebsproblemen bei Ihrer Nutzung von Security Lake führen. Bearbeiten Sie Servicerollen nur, wenn Security Lake Sie dazu anleitet.
## Dienstbezogene Rollen für Security Lake
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Security Lake verwendet eine mit dem Dienst verknüpfte IAM-Rolle mit dem Namen. `AWSServiceRoleForAmazonSecurityLake` Die dienstbezogene Rolle Security Lake gewährt Berechtigungen zum Betrieb eines Security Data Lake-Dienstes im Namen von Kunden. Bei dieser serviceverknüpften Rolle handelt es sich um eine IAM-Rolle, die direkt mit Security Lake verknüpft ist. Sie ist von Security Lake vordefiniert und umfasst alle Berechtigungen, die Security Lake benötigt, um andere in AWS-Services Ihrem Namen anzurufen. Security Lake verwendet diese dienstbezogene Rolle überall dort, AWS-Regionen wo Security Lake verfügbar ist.
Einzelheiten zur Erstellung oder Verwaltung der dienstbezogenen Security Lake-Rolle finden Sie unter. [Verwenden von serviceverknüpften Rollen für Security Lake](using-service-linked-roles.md)
# Beispiele für identitätsbasierte Richtlinien für Security Lake
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Security Lake-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Security Lake definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html) in der *Service Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Security Lake-Konsole](#security_iam_id-based-policy-examples-console)
+ [Beispiel: Erteilen der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Beispiel: Erlauben Sie dem Organisationsverwaltungskonto, einen delegierten Administrator zu benennen und zu entfernen](#security_iam_id-based-policy-examples-orgs)
+ [Beispiel: Erlauben Sie Benutzern, Abonnenten anhand von Stichwörtern zu bewerten](#security_iam_id-based-policy-examples-review-subscribers-tags)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Security Lake-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Security Lake-Konsole
Um auf die Amazon Security Lake-Konsole zugreifen zu können, benötigen Sie einen Mindestsatz an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Security Lake-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die Security Lake-Konsole verwenden können, erstellen Sie IAM-Richtlinien, die ihnen Konsolenzugriff gewähren. Weitere Informationen finden Sie unter [IAM-Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.
Wenn Sie eine Richtlinie erstellen, die es Benutzern oder Rollen ermöglicht, die Security Lake-Konsole zu verwenden, stellen Sie sicher, dass die Richtlinie die entsprechenden Aktionen für die Ressourcen enthält, auf die diese Benutzer oder Rollen auf der Konsole zugreifen müssen. Andernfalls können sie nicht zu diesen Ressourcen navigieren oder Details zu diesen Ressourcen auf der Konsole anzeigen.
Um beispielsweise mithilfe der Konsole eine benutzerdefinierte Quelle hinzuzufügen, muss ein Benutzer die folgenden Aktionen ausführen dürfen:
+ `glue:CreateCrawler`
+ `glue:CreateDatabase`
+ `glue:CreateTable`
+ `glue:StartCrawlerSchedule`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `iam:DeleteRolePolicy`
+ `iam:PassRole`
+ `lakeformation:RegisterResource`
+ `lakeformation:GrantPermissions`
+ `s3:ListBucket`
+ `s3:PutObject`
## Beispiel: Erteilen der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Beispiel: Erlauben Sie dem Organisationsverwaltungskonto, einen delegierten Administrator zu benennen und zu entfernen
Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es einem Benutzer eines AWS Organizations Verwaltungskontos ermöglicht, den delegierten Security Lake-Administrator für seine Organisation zu bestimmen und zu entfernen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"securitylake:RegisterDataLakeDelegatedAdministrator",
"securitylake:DeregisterDataLakeDelegatedAdministrator"
],
"Resource": "arn:aws:securitylake:*:*:*"
}
]
}
```
------
## Beispiel: Erlauben Sie Benutzern, Abonnenten anhand von Stichwörtern zu bewerten
In identitätsbasierten Richtlinien können Sie Bedingungen verwenden, um den Zugriff auf Security Lake-Ressourcen anhand von Stichwörtern zu steuern. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, Abonnenten mithilfe der Security Lake-Konsole oder der Security Lake-API zu überprüfen. Die Erlaubnis wird jedoch nur erteilt, wenn der Wert für das `Owner` Tag für einen Abonnenten der Benutzername des Benutzers ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewSubscriberDetailsIfOwner",
"Effect": "Allow",
"Action": "securitylake:GetSubscriber",
"Resource": "arn:aws:securitylake:*:*:subscriber/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
},
{
"Sid": "ListSubscribersIfOwner",
"Effect": "Allow",
"Action": "securitylake:ListSubscribers",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Wenn in diesem Beispiel ein Benutzer, der den Benutzernamen hat, `richard-roe` versucht, die Daten einzelner Abonnenten zu überprüfen, muss der Abonnent mit `Owner=richard-roe` oder markiert werden`owner=richard-roe`. Andernfalls wird dem Benutzer der Zugriff verweigert. Der Tag-Schlüssel `Owner` der Bedingung stimmt sowohl mit `Owner` als auch mit `owner` überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen zur Verwendung von Bedingungsschlüsseln finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*. Informationen zum Taggen von Security Lake-Ressourcen finden Sie unter. [Kennzeichnen von Security Lake-Ressourcen](tagging-resources.md)
# AWS verwaltete Richtlinien für Security Lake
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AmazonSecurityLakeMetastoreManager
Amazon Security Lake verwendet eine AWS Lambda Funktion zur Verwaltung von Metadaten in Ihrem Data Lake. Mithilfe dieser Funktion kann Security Lake Amazon Simple Storage Service (Amazon S3) -Partitionen, die Ihre Daten und Datendateien enthalten, in den AWS Glue Datenkatalogtabellen indizieren. Diese verwaltete Richtlinie enthält alle Berechtigungen für die Lambda-Funktion, um die S3-Partitionen und Datendateien in den AWS Glue Tabellen zu indizieren.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `logs`— Ermöglicht Prinzipalen, die Ausgabe der Lambda-Funktion in Amazon CloudWatch Logs zu protokollieren.
+ `glue`— Ermöglicht Prinzipalen, bestimmte Schreibaktionen für AWS Glue Datenkatalogtabellen durchzuführen. Auf diese Weise können AWS Glue Crawler auch Partitionen in Ihren Daten identifizieren.
+ `sqs`— Ermöglicht Principals, spezifische Lese- und Schreibaktionen für Amazon SQS SQS-Warteschlangen durchzuführen, die Ereignisbenachrichtigungen senden, wenn Objekte zu Ihrem Data Lake hinzugefügt oder aktualisiert werden.
+ `s3`— Ermöglicht Prinzipalen, bestimmte Lese- und Schreibaktionen für den Amazon S3 S3-Bucket durchzuführen, der Ihre Daten enthält.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AmazonSecurityLakeMetastoreManager](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeMetastoreManager.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: AmazonSecurityLakePermissionsBoundary
Amazon Security Lake erstellt IAM-Rollen für benutzerdefinierte Drittanbieterquellen, um Daten in den Data Lake zu schreiben, und für benutzerdefinierte Drittanbieter-Abonnenten, um Daten aus dem Data Lake zu nutzen, und verwendet diese Richtlinie bei der Erstellung dieser Rollen, um die Grenze ihrer Berechtigungen zu definieren. Sie müssen keine Maßnahmen ergreifen, um diese Richtlinie zu verwenden. Wenn der Data Lake mit einem vom Kunden verwalteten AWS KMS Schlüssel verschlüsselt ist `kms:Decrypt` und `kms:GenerateDataKey` Berechtigungen hinzugefügt werden.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AmazonSecurityLakePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakePermissionsBoundary.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AmazonSecurityLakeAdministrator
Sie können die `AmazonSecurityLakeAdministrator` Richtlinie einem Principal zuordnen, bevor dieser Amazon Security Lake für sein Konto aktiviert. Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle Security Lake-Aktionen gewähren. Der Principal kann sich dann in Security Lake einbinden und anschließend Quellen und Abonnenten in Security Lake konfigurieren.
Diese Richtlinie umfasst die Aktionen, die Security Lake-Administratoren über Security Lake für andere AWS Dienste ausführen können.
Die `AmazonSecurityLakeAdministrator` Richtlinie unterstützt nicht die Erstellung von Dienstprogrammrollen, die Security Lake benötigt, um die regionsübergreifende Amazon S3 S3-Replikation zu verwalten, neue Datenpartitionen in zu registrieren AWS Glue, einen Glue-Crawler für Daten auszuführen, die zu benutzerdefinierten Quellen hinzugefügt wurden, oder zur Benachrichtigung von HTTPS-Endpunktabonnenten über neue Daten. Sie können diese Rollen im Voraus erstellen, wie unter beschrieben. [Erste Schritte mit Amazon Security Lake](getting-started.md)
Zusätzlich zur `AmazonSecurityLakeAdministrator` verwalteten Richtlinie benötigt Security Lake `lakeformation:PutDataLakeSettings` Berechtigungen für Onboarding- und Konfigurationsfunktionen. `PutDataLakeSettings`ermöglicht die Einrichtung eines IAM-Prinzipals als Administrator für alle regionalen Lake Formation Formation-Ressourcen im Konto. Mit dieser Rolle müssen `iam:CreateRole permission` auch `AmazonSecurityLakeAdministrator` Richtlinien verknüpft sein.
Lake Formation-Administratoren haben vollen Zugriff auf die Lake Formation Formation-Konsole und kontrollieren die anfängliche Datenkonfiguration und die Zugriffsberechtigungen. Security Lake weist den Principal, der Security Lake aktiviert, und die `AmazonSecurityLakeMetaStoreManager` Rolle (oder eine andere angegebene Rolle) als Lake Formation-Administratoren zu, sodass sie Tabellen erstellen, das Tabellenschema aktualisieren, neue Partitionen registrieren und Berechtigungen für Tabellen konfigurieren können. Sie müssen die folgenden Berechtigungen in die Richtlinie für den Security Lake-Administratorbenutzer oder die Rolle des Security Lake-Administrators aufnehmen:
**Anmerkung**
Um ausreichend Berechtigungen bereitzustellen, um Lake Formation Formation-basierten Abonnentenzugriff zu gewähren, empfiehlt Security Lake, die folgenden `glue:PutResourcePolicy` Berechtigungen hinzuzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutLakeFormationSettings",
"Effect": "Allow",
"Action": "lakeformation:PutDatalakeSettings",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "securitylake.amazonaws.com"
}
}
},
{
"Sid": "AllowGlueActions",
"Effect": "Allow",
"Action": ["glue:PutResourcePolicy", "glue:DeleteResourcePolicy"],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
"arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "securitylake.amazonaws.com"
}
}
}
]
}
```
------
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `securitylake`— Ermöglicht Prinzipalen vollen Zugriff auf alle Security Lake-Aktionen.
+ `organizations`— Ermöglicht Prinzipalen, Informationen von AWS Organizations über die Konten in einer Organisation abzurufen. Wenn ein Konto zu einer Organisation gehört, ermöglichen diese Berechtigungen der Security Lake-Konsole, Kontonamen und Kontonummern anzuzeigen.
+ `iam`— Ermöglicht Prinzipalen das Erstellen von dienstbezogenen Rollen für Security Lake und AWS Lake Formation Amazon EventBridge, als erforderlichen Schritt bei der Aktivierung dieser Dienste. Ermöglicht auch die Erstellung und Bearbeitung von Richtlinien für Abonnenten- und benutzerdefinierte Quellrollen, wobei die Berechtigungen für diese Rollen auf das beschränkt sind, was in der `AmazonSecurityLakePermissionsBoundary` Richtlinie zulässig ist.
+ `ram`— Ermöglicht Prinzipalen die Konfiguration des Lake Formation basierten Abfragezugriffs von Abonnenten auf Security Lake-Quellen.
+ `s3`— Ermöglicht Prinzipalen, Security Lake-Buckets zu erstellen und zu verwalten und den Inhalt dieser Buckets zu lesen.
+ `lambda`— Ermöglicht Prinzipalen die Verwaltung der zur Aktualisierung Lambda verwendeten AWS Glue Tabellenpartitionen nach der AWS Quellenzustellung und der regionsübergreifenden Replikation.
+ `glue`— Ermöglicht Prinzipalen die Erstellung und Verwaltung der Security Lake-Datenbank und -Tabellen.
+ `lakeformation`— Ermöglicht Prinzipalen die Verwaltung von Lake Formation Berechtigungen für Security Lake-Tabellen.
+ `events`— Ermöglicht Prinzipalen die Verwaltung von Regeln, mit denen Abonnenten über neue Daten in Security Lake-Quellen informiert werden.
+ `sqs`— Ermöglicht Prinzipalen das Erstellen und Verwalten von Amazon SQS Warteschlangen, mit denen Abonnenten über neue Daten in Security Lake-Quellen informiert werden.
+ `kms`— Ermöglicht Prinzipalen, Security Lake Zugriff auf das Schreiben von Daten mithilfe eines vom Kunden verwalteten Schlüssels zu gewähren.
+ `secretsmanager`— Ermöglicht Prinzipalen die Verwaltung von Geheimnissen, die zur Benachrichtigung von Abonnenten über neue Daten in Security Lake-Quellen über HTTPS-Endpunkte verwendet werden.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html)im Referenzhandbuch für *AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: SecurityLakeServiceLinkedRole
Security Lake verwendet die angegebene dienstbezogene Rolle`AWSServiceRoleForSecurityLake`, um den Security Data Lake zu erstellen und zu betreiben.
Sie können die `SecurityLakeServiceLinkedRole` verwaltete Richtlinie nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist einer dienstbezogenen Rolle zugeordnet, die es Security Lake ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Dienstbezogene Rollenberechtigungen für Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/slr-permissions.html).
## AWS verwaltete Richtlinie: SecurityLakeResourceManagementServiceRolePolicy
Security Lake verwendet die angegebene serviceverknüpfte Rolle `AWSServiceRoleForSecurityLakeResourceManagement` zur kontinuierlichen Überwachung und Leistungsverbesserung, wodurch Latenz und Kosten reduziert werden können. Ermöglicht den Zugriff auf die Verwaltung von Ressourcen, die von Security Lake erstellt wurden. Gewährt Security Lake die Möglichkeit, SecurityLake \$1Glue\$1Partition\$1Updater\$1Lambda zu löschen. Dieses Lambda ist für Kunden, die eine Iceberg-Migration durchgeführt und auf v2-Quellen umgestiegen sind, veraltet. Dieses Lambda verwendete die Python 3.9-Laufzeit, die im Dezember veraltet sein wird. Anstatt die Laufzeit für dieses Lambda für diese Kunden zu aktualisieren, wäre es besser, sie zu löschen. Wir haben einen Wiederherstellungsprozess, der feststellt, ob der Kunde das Lambda noch benötigt oder nicht, und das Produkt löscht, falls dies nicht der Fall ist. Dieses SLR-Update ist erforderlich, damit wir das Lambda löschen können.
Sie können die `SecurityLakeResourceManagementServiceRolePolicy` verwaltete Richtlinie nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist einer dienstbezogenen Rolle zugeordnet, die es Security Lake ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Dienstbezogene Rollenberechtigungen für die Ressourcenverwaltung](https://docs.aws.amazon.com//security-lake/latest/userguide/AWSServiceRoleForSecurityLakeResourceManagement.html).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `events`— Ermöglicht Prinzipalen das Auflisten und Verwalten von EventBridge Regeln für die Security Lake-Ereignisverarbeitung.
+ `lambda`— Ermöglicht Prinzipalen die Verwaltung von Lambda-Funktionen und -Konfigurationen für die Verarbeitung von Security Lake-Metadaten, einschließlich der Möglichkeit, veraltete Partitionsupdater-Funktionen zu löschen.
+ `glue`— Ermöglicht Prinzipalen, Partitionen zu erstellen, Tabellen zu verwalten und auf Datenbanken im AWS Glue Datenkatalog für die Security Lake-Metadatenverwaltung zuzugreifen.
+ `s3`— Ermöglicht Prinzipalen die Verwaltung von Amazon S3 S3-Bucket-Konfigurationen, Lebenszyklusrichtlinien und Metadatenobjekten für Security Lake-Data-Lake-Operationen.
+ `logs`— Ermöglicht Prinzipalen den Zugriff auf CloudWatch Logs-Streams und die Abfrage von Protokolldaten für Security Lake Lambda-Funktionen.
+ `sqs`— Ermöglicht Prinzipalen die Verwaltung von Amazon SQS SQS-Warteschlangen und -Nachrichten für Security Lake-Datenverarbeitungs-Workflows.
+ `lakeformation`— Ermöglicht Prinzipalen das Abrufen von Data Lake-Einstellungen und -Berechtigungen für die Security Lake-Ressourcenverwaltung.
Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWS GlueServiceRole
Die `AWS GlueServiceRole` verwaltete Richtlinie ruft den AWS Glue Crawler auf und ermöglicht AWS Glue das Crawlen benutzerdefinierter Quelldaten und das Identifizieren von Partitionsmetadaten. Diese Metadaten sind erforderlich, um Tabellen im Datenkatalog zu erstellen und zu aktualisieren.
Weitere Informationen finden Sie unter [Sammeln von Daten aus benutzerdefinierten Quellen in Security Lake](custom-sources.md).
## Security Lake aktualisiert AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Security Lake an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS-Feed auf der Seite mit dem Verlauf der Security Lake-Dokumente.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [SecurityLakeResourceManagementServiceRolePolicy](#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement)— Bestehende Richtlinie wurde aktualisiert | Security Lake hat die verwaltete Richtlinie aktualisiert, `SecurityLakeResourceManagementServiceRolePolicy` um `lambda:DeleteFunction` Berechtigungen für veraltete SecurityLake \$1Glue\$1Partition\$1Updater\$1Lambda-Funktionen hinzuzufügen. Dadurch kann Security Lake veraltete Lambda-Funktionen im Rahmen der Migration auf v2-Quellen und das Iceberg-Format bereinigen. | 18. November 2025 |
| [AWSServiceRoleForSecurityLakeResourceManagement](AWSServiceRoleForSecurityLakeResourceManagement.md)— Die bestehende Richtlinie wurde aktualisiert | Diese Richtlinie wurde aktualisiert, um den Operator durch den `StringLike` `ArnLike` Operator zu ersetzen, der die ARN-Schlüssel für den Block `lambda:FunctionArn` in the `aws:ResourceAccount` condition auswertet. Dies ermöglicht eine sicherere Durchsetzung. | 25. September 2025 |
| [Servicebezogene Rolle für Amazon Security Lake](AWSServiceRoleForSecurityLakeResourceManagement.md) — Neue servicebezogene Rolle | Wir haben eine neue servicebezogene Rolle hinzugefügt. `AWSServiceRoleForSecurityLakeResourceManagement` Diese dienstbezogene Rolle gewährt Security Lake die Erlaubnis, fortlaufende Überwachungs- und Leistungsverbesserungen durchzuführen, wodurch Latenz und Kosten reduziert werden können. | 14. November 2024 |
| [Serviceverknüpfte Rolle für Amazon Security Lake](using-service-linked-roles.md) — Aktualisierung der vorhandenen Berechtigungen für serviceverknüpfte Rollen | Wir haben der AWS verwalteten Richtlinie für die `SecurityLakeServiceLinkedRole` Richtlinie AWS WAF Aktionen hinzugefügt. Die zusätzlichen Aktionen ermöglichen es Security Lake, AWS WAF Protokolle zu sammeln, wenn es als Protokollquelle in Security Lake aktiviert ist. | 22. Mai 2024 |
| [AmazonSecurityLakePermissionsBoundary](#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary) – Aktualisierung auf eine bestehende Richtlinie | Security Lake hat der Richtlinie SID-Aktionen hinzugefügt. | 13. Mai 2024 |
| [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) – Aktualisierung auf eine bestehende Richtlinie | Security Lake hat die Richtlinie aktualisiert und nun eine Aktion zur Bereinigung von Metadaten hinzugefügt, mit der Sie die Metadaten in Ihrem Data Lake löschen können. | 27. März 2024 |
| [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) – Aktualisierung auf eine bestehende Richtlinie | Security Lake hat die Richtlinie aktualisiert, um die neue `AmazonSecurityLakeMetastoreManagerV2` Rolle zuzulassen `iam:PassRole` und ermöglicht es Security Lake, Data Lake-Komponenten bereitzustellen oder zu aktualisieren. | 23. Februar 2024 |
| [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) – Neue Richtlinie | Security Lake hat eine neue verwaltete Richtlinie hinzugefügt, die Security Lake Berechtigungen zur Verwaltung von Metadaten in Ihrem Data Lake gewährt. | 23. Januar 2024 |
| [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) – Neue Richtlinie | Security Lake hat eine neue verwaltete Richtlinie hinzugefügt, die einem Principal vollen Zugriff auf alle Security Lake-Aktionen gewährt. | 30. Mai 2023 |
| Security Lake hat begonnen, Änderungen zu verfolgen | Security Lake begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 29. November 2022 |
# Verwenden von serviceverknüpften Rollen für Security Lake
Security Lake verwendet AWS Identity and Access Management [dienstverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen (IAM). Eine dienstverknüpfte Rolle ist eine IAM-Rolle, die direkt mit Security Lake verknüpft ist. Sie ist von Security Lake vordefiniert und umfasst alle Berechtigungen, die Security Lake benötigt, um andere in AWS-Services Ihrem Namen anzurufen und den Security Data Lake-Dienst zu betreiben. Security Lake verwendet diese dienstbezogene Rolle überall dort, AWS-Regionen wo Security Lake verfügbar ist.
Durch die dienstbezogene Rolle müssen die erforderlichen Berechtigungen bei der Einrichtung von Security Lake nicht mehr manuell hinzugefügt werden. Security Lake definiert die Berechtigungen dieser dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Security Lake die Rolle übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*. Sie können eine dienstverknüpfte Rolle erst löschen, nachdem Sie die zugehörigen Ressourcen gelöscht haben. Dies schützt Ihre -Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte **Dienstverknüpfte** Rollen nach den Diensten, für die **Ja** steht. Wählen Sie **Ja** mit einem Link aus, um die Dokumentation zu serviceverknüpften Rollen für diesen Dienst zu lesen.
**Topics**
+ [SLR-Berechtigungen (Service Linked Role) für Security Lake](slr-permissions.md)
+ [SLR-Berechtigungen (Service Linked Role) für die Ressourcenverwaltung](AWSServiceRoleForSecurityLakeResourceManagement.md)
# SLR-Berechtigungen (Service Linked Role) für Security Lake
Security Lake verwendet die mit dem Dienst verknüpfte Rolle mit dem Namen. `AWSServiceRoleForSecurityLake` Diese dienstbezogene Rolle vertraut darauf, dass der `securitylake.amazonaws.com` Dienst die Rolle übernimmt. Weitere Informationen zu AWS verwalteten Richtlinien für Amazon Security Lake finden Sie unter [Richtlinien für Amazon Security Lake AWS verwalten](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html).
Die Berechtigungsrichtlinie für die Rolle, bei der es sich um eine AWS verwaltete Richtlinie mit dem Namen handelt`SecurityLakeServiceLinkedRole`, ermöglicht es Security Lake, den Security Data Lake zu erstellen und zu betreiben. Sie ermöglicht es Security Lake auch, Aufgaben wie die folgenden für die angegebenen Ressourcen auszuführen:
+ Verwenden Sie AWS Organizations Aktionen, um Informationen über verknüpfte Konten abzurufen
+ Verwenden Sie Amazon Elastic Compute Cloud (Amazon EC2), um Informationen über Amazon VPC Flow Logs abzurufen
+ Verwenden Sie AWS CloudTrail Aktionen, um Informationen über die mit dem Service verknüpfte Rolle abzurufen
+ Verwenden Sie AWS WAF Aktionen zum Sammeln von AWS WAF Protokollen, wenn es als Protokollquelle in Security Lake aktiviert ist
+ Verwenden Sie `LogDelivery` Action, um ein Abonnement für die AWS WAF Protokollzustellung zu erstellen oder zu löschen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Die serviceverknüpfte Security Lake-Rolle erstellen
Sie müssen die `AWSServiceRoleForSecurityLake` dienstverknüpfte Rolle für Security Lake nicht manuell erstellen. Wenn Sie Security Lake für Sie aktivieren AWS-Konto, erstellt Security Lake automatisch die serviceverknüpfte Rolle für Sie.
## Bearbeitung der serviceverknüpften Rolle in Security Lake
In Security Lake können Sie die `AWSServiceRoleForSecurityLake` dienstverknüpfte Rolle nicht bearbeiten. Nachdem eine dienstverknüpfte Rolle erstellt wurde, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften Rolle in Security Lake
Sie können die dienstverknüpfte Rolle nicht aus Security Lake löschen. Stattdessen können Sie die dienstverknüpfte Rolle aus der IAM-Konsole, API oder löschen. AWS CLI Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
Bevor Sie die dienstverknüpfte Rolle löschen können, müssen Sie zunächst bestätigen, dass die Rolle keine aktiven Sitzungen hat, und alle Ressourcen entfernen, die `AWSServiceRoleForSecurityLake` sie verwendet.
**Anmerkung**
Wenn Security Lake die `AWSServiceRoleForSecurityLake` Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Warten Sie in diesem Fall einige Minuten und führen Sie den Vorgang dann erneut aus.
Wenn Sie die `AWSServiceRoleForSecurityLake` dienstverknüpfte Rolle löschen und sie erneut erstellen müssen, können Sie sie erneut erstellen, indem Sie Security Lake für Ihr Konto aktivieren. Wenn Sie Security Lake erneut aktivieren, erstellt Security Lake die dienstverknüpfte Rolle automatisch erneut für Sie.
## Wird AWS-Regionen für die serviceverknüpfte Security Lake-Rolle unterstützt
Security Lake unterstützt die Verwendung der `AWSServiceRoleForSecurityLake` dienstbezogenen Rolle in allen Bereichen, in AWS-Regionen denen Security Lake verfügbar ist. Eine Liste der Regionen, in denen Security Lake derzeit verfügbar ist, finden Sie unter[Security Lake-Regionen und Endpunkte](supported-regions.md).
# SLR-Berechtigungen (Service Linked Role) für die Ressourcenverwaltung
Security Lake verwendet die so genannte serviceverknüpfte Rolle`AWSServiceRoleForSecurityLakeResourceManagement`, um fortlaufende Überwachungs- und Leistungsverbesserungen durchzuführen, wodurch Latenz und Kosten reduziert werden können. Diese dienstbezogene Rolle vertraut darauf, dass der `resource-management.securitylake.amazonaws.com` Dienst die Rolle übernimmt. Durch die Aktivierung `AWSServiceRoleForSecurityLakeResourceManagement` erhält es auch Zugriff auf Lake Formation und registriert Ihre von Security Lake verwalteten S3-Buckets automatisch in allen Regionen bei Lake Formation, um die Sicherheit zu verbessern.
Die Berechtigungsrichtlinie für die Rolle, bei der es sich um eine AWS verwaltete Richtlinie mit dem Namen handelt`SecurityLakeResourceManagementServiceRolePolicy`, ermöglicht den Zugriff auf die Verwaltung von Ressourcen, die von Security Lake erstellt wurden, einschließlich der Verwaltung der Metadaten in Ihrem Data Lake. Weitere Informationen zu AWS verwalteten Richtlinien für Amazon Security Lake finden Sie unter [AWS Verwaltete Richtlinien für Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement.html).
Diese dienstbezogene Rolle ermöglicht es Security Lake, den Zustand der von Security Lake bereitgestellten Ressourcen (S3-Bucket, AWS Glue Tabellen, Amazon SQS SQS-Warteschlange, Metastore Manager (MSM) Lambda-Funktion und EventBridge Regeln) für Ihr Konto zu überwachen. Einige Beispiele für Operationen, die Security Lake mit dieser serviceverknüpften Rolle ausführen kann, sind:
+ Die Komprimierung von Apache Iceberg-Manifestdateien verbessert die Abfrageleistung und senkt die Verarbeitungszeiten und -kosten von Lambda MSM.
+ Überwachen Sie den Status von Amazon SQS, um Aufnahmeprobleme zu erkennen.
+ Optimieren Sie die regionsübergreifende Datenreplikation, um Metadatendateien auszuschließen.
**Anmerkung**
Wenn Sie die `AWSServiceRoleForSecurityLakeResourceManagement` dienstgebundene Rolle nicht installieren, funktioniert Security Lake weiterhin. Es wird jedoch dringend empfohlen, diese dienstgebundene Rolle anzunehmen, damit Security Lake die Ressourcen in Ihrem Konto überwachen und optimieren kann.
**Details zu Berechtigungen**
Die Rolle ist mit der folgenden Berechtigungsrichtlinie konfiguriert:
+ `events`— Ermöglicht Prinzipalen die Verwaltung der EventBridge Regeln, die für Protokollquellen und Protokollabonnenten erforderlich sind.
+ `lambda`— Ermöglicht es den Prinzipalen, das Lambda zu verwalten, das zur Aktualisierung von AWS Glue Tabellenpartitionen nach der AWS Quellenzustellung und der regionsübergreifenden Replikation verwendet wird.
+ `glue`— Ermöglicht Prinzipalen das Ausführen bestimmter Schreibaktionen für AWS Glue Datenkatalogtabellen. Auf diese Weise können AWS Glue Crawler auch Partitionen in Ihren Daten identifizieren und Security Lake kann Apache Iceberg-Metadaten für Ihre Apache Iceberg-Tabellen verwalten.
+ `s3`— Ermöglicht Prinzipalen, bestimmte Lese- und Schreibaktionen für die Security Lake-Buckets durchzuführen, die Protokolldaten und Metadaten der Glue-Tabelle enthalten.
+ `logs`— Ermöglicht Prinzipalen Lesezugriff, um die Ausgabe der Lambda-Funktion in Logs zu CloudWatch protokollieren.
+ `sqs`— Ermöglicht Principals, spezifische Lese- und Schreibaktionen für Amazon SQS SQS-Warteschlangen durchzuführen, die Ereignisbenachrichtigungen erhalten, wenn Objekte zu Ihrem Data Lake hinzugefügt oder aktualisiert werden.
+ `lakeformation`— Ermöglicht es den Prinzipalen, die Lake Formation Formation-Einstellungen zu lesen, um nach Fehlkonfigurationen zu suchen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Die serviceverknüpfte Security Lake-Rolle erstellen
Sie können die `AWSServiceRoleForSecurityLakeResourceManagement` dienstverknüpfte Rolle für Security Lake mithilfe der Security Lake-Konsole oder der erstellen. AWS CLI
Um die dienstverknüpfte Rolle zu erstellen, müssen Sie Ihrem IAM-Benutzer oder Ihrer IAM-Rolle die folgenden Berechtigungen gewähren. Die IAM-Rolle muss in allen Security Lake-fähigen Regionen ein Lake Formation-Administrator sein.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLakeFormationActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"lakeformation:GrantPermissions",
"lakeformation:ListPermissions",
"lakeformation:ListResources",
"lakeformation:RegisterResource",
"lakeformation:RevokePermissions"
],
"Resource": "*"
},
{
"Sid": "AllowIamActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": [
"arn:*:iam::*:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement",
"arn:*:iam::*:role/*AWSServiceRoleForLakeFormationDataAccess",
"arn:*:iam::aws:policy/service-role/AWSGlueServiceRole",
"arn:*:iam::aws:policy/service-role/AmazonSecurityLakeMetastoreManager",
"arn:*:iam::aws:policy/aws-service-role/SecurityLakeResourceManagementServiceRolePolicy"
],
"Condition": {
"StringLikeIfExists": {
"iam:AWSServiceName": [
"securitylake.amazonaws.com",
"resource-management.securitylake.amazonaws.com",
"lakeformation.amazonaws.com"
]
}
}
},
{
"Sid": "AllowGlueActionsViaConsole",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetTables"
],
"Resource": [
"arn:*:glue:*:*:catalog",
"arn:*:glue:*:*:database/amazon_security_lake_glue_db*",
"arn:*:glue:*:*:table/amazon_security_lake_glue_db*/*"
]
}
]
}
```
------
------
#### [ Console ]
1. Öffnen Sie die Security Lake-Konsole unter [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).
1. Akzeptieren Sie die neue serviceverknüpfte Rolle, indem Sie in der Informationsleiste auf der Übersichtsseite auf **Serviceverknüpfte Rolle aktivieren** klicken.
Sobald Sie die serviceverknüpfte Rolle aktiviert haben, müssen Sie diesen Vorgang für die future Verwendung von Security Lake nicht wiederholen.
------
#### [ CLI ]
Verwenden Sie den folgenden CLI-Befehl, um die `AWSServiceRoleForSecurityLakeResourceManagement` dienstverknüpfte Rolle programmatisch zu erstellen.
```
$ aws iam create-service-linked-role
--aws-service-name resource-management.securitylake.amazonaws.com
```
Wenn Sie die `AWSServiceRoleForSecurityLakeResourceManagement` serviceverknüpfte Rolle mit erstellen AWS CLI, müssen Sie ihr außerdem Lake Formation Formation-Berechtigungen auf Tabellenebene (ALTER, DESCRIBE) für alle Tabellen in der Security Lake Glue-Datenbank gewähren, um Tabellenmetadaten zu verwalten und auf Daten zuzugreifen. Wenn Glue-Tabellen in einer Region auf S3-Buckets aus der vorherigen Security Lake-Aktivierung verweisen, müssen Sie vorübergehend DATA\$1LOCATION\$1ACCESS-Berechtigungen für die serviceverknüpfte Rolle gewähren, damit Security Lake diese Situation beheben kann.
Sie müssen Lake Formation auch Berechtigungen für die `AWSServiceRoleForSecurityLakeResourceManagement` dienstverknüpfte Rolle für Ihr Konto gewähren.
Das folgende Beispiel zeigt, wie der Lake Formation Berechtigungen für die serviceverknüpfte Rolle in der angegebenen Region erteilt werden. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws lakeformation grant-permissions --region {region} --principal DataLakePrincipalIdentifier={AWSServiceRoleForSecurityLakeResourceManagement ARN} \
--permissions ALTER DESCRIBE --resource '{ "Table": { "DatabaseName": "amazon_security_lake_glue_db_{region}", "TableWildcard": {} } }'
```
Das folgende Beispiel zeigt, wie der Rollen-ARN aussehen wird. Sie müssen den Rollen-ARN so bearbeiten, dass er zu Ihrer Region passt.
`"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"`
Sie können auch den [CreateServiceLinkedRole](https://docs.aws.amazon.com//IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API-Aufruf verwenden. Geben Sie in der Anfrage das `AWSServiceName` als an`resource-management.securitylake.amazonaws.com`.
------
Wenn Sie nach der Aktivierung der `AWSServiceRoleForSecurityLakeResourceManagement` Rolle den AWS KMS Customer Managed Key (CMK) für die Verschlüsselung verwenden, müssen Sie der serviceverknüpften Rolle gestatten, verschlüsselte Objekte in S3-Buckets in den AWS Regionen zu schreiben, in denen CMK vorhanden ist. Fügen Sie in der AWS KMS Konsole dem KMS-Schlüssel in den AWS Regionen, in denen CMK existiert, die folgende Richtlinie hinzu. Einzelheiten zum Ändern der KMS-Schlüsselrichtlinie finden Sie unter [Wichtige Richtlinien AWS KMS im](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) AWS Key Management Service Entwicklerhandbuch.
```
{
"Sid": "Allow SLR",
"Effect": "Allow",
"Principal": {
"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::[regional-datalake-s3-bucket-name]"
},
"StringLike": {
"kms:ViaService": "s3.[region].amazonaws.com"
}
}
},
```
## Bearbeiten der serviceverknüpften Rolle in Security Lake
In Security Lake können Sie die `AWSServiceRoleForSecurityLakeResourceManagement` dienstverknüpfte Rolle nicht bearbeiten. Nachdem eine dienstverknüpfte Rolle erstellt wurde, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften Rolle in Security Lake
Sie können die dienstverknüpfte Rolle nicht aus Security Lake löschen. Stattdessen können Sie die dienstverknüpfte Rolle aus der IAM-Konsole, API oder löschen. AWS CLI Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
Bevor Sie die dienstverknüpfte Rolle löschen können, müssen Sie zunächst bestätigen, dass die Rolle keine aktiven Sitzungen hat, und alle Ressourcen entfernen, die `AWSServiceRoleForSecurityLakeResourceManagement` sie verwendet.
**Anmerkung**
Wenn Security Lake die `AWSServiceRoleForSecurityLakeResourceManagement` Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Warten Sie in diesem Fall einige Minuten und führen Sie den Vorgang dann erneut aus.
Wenn Sie die `AWSServiceRoleForSecurityLakeResourceManagement` dienstverknüpfte Rolle löschen und sie erneut erstellen müssen, können Sie sie erneut erstellen, indem Sie Security Lake für Ihr Konto aktivieren. Wenn Sie Security Lake erneut aktivieren, erstellt Security Lake die dienstverknüpfte Rolle automatisch erneut für Sie.
## Wird AWS-Regionen für die serviceverknüpfte Security Lake-Rolle unterstützt
Security Lake unterstützt die Verwendung der `AWSServiceRoleForSecurityLakeResourceManagement` dienstbezogenen Rolle in allen Bereichen, in AWS-Regionen denen Security Lake verfügbar ist. Eine Liste der Regionen, in denen Security Lake derzeit verfügbar ist, finden Sie unter[Security Lake-Regionen und Endpunkte](supported-regions.md).
# Datenschutz in Amazon Security Lake
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der mit gilt für den Datenschutz in Amazon Security Lake. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Security Lake oder anderen Geräten arbeiten und die Konsole, die API oder AWS-Services verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Verschlüsselung im Ruhezustand
Amazon Security Lake speichert Ihre Daten im Ruhezustand sicher mithilfe von AWS Verschlüsselungslösungen. Unformatierte Sicherheitsprotokoll- und Ereignisdaten werden in quellenspezifischen [Amazon Simple Storage Service (Amazon S3) -Buckets mit mehreren Mandanten](https://docs.aws.amazon.com/AmazonS3/latest/userguide/common-bucket-patterns.html#multi-tenant-buckets) in einem Konto gespeichert, das von Security Lake verwaltet wird. Jede Protokollquelle hat ihren eigenen Multi-Tenant-Bucket. Security Lake verschlüsselt diese Rohdaten mit einem [AWS eigenen Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) von AWS Key Management Service ()AWS KMS. AWS Eigene Schlüssel sind eine Sammlung von AWS KMS Schlüsseln, die ein AWS Dienst — in diesem Fall Security Lake — besitzt und verwaltet, sodass sie in mehreren Konten verwendet werden können. AWS
Security Lake führt ETL-Jobs (Extrahieren, Transformieren und Laden) für rohe Protokoll- und Ereignisdaten aus.
Nach Abschluss der ETL-Jobs erstellt Security Lake S3-Buckets mit einem Mandanten in Ihrem Konto (ein Bucket für jeden AWS-Region , in dem Sie Security Lake aktiviert haben). Daten werden in den S3-Buckets mit mehreren Mandanten nur vorübergehend gespeichert, bis Security Lake die Daten zuverlässig an die Single-Tenant-S3-Buckets liefern kann. Die Single-Tenant-Buckets beinhalten eine ressourcenbasierte Richtlinie, die Security Lake die Erlaubnis erteilt, Protokoll- und Ereignisdaten in die Buckets zu schreiben. [Um Daten in Ihrem S3-Bucket zu verschlüsseln, können Sie entweder einen von S3 [verwalteten Verschlüsselungsschlüssel oder einen vom Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) (von) wählen.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS KMS Beide Optionen verwenden symmetrische Verschlüsselung.
### Verwenden Sie einen KMS-Schlüssel zur Verschlüsselung Ihrer Daten
Standardmäßig werden die von Security Lake an Ihren S3-Bucket übermittelten Daten durch serverseitige Amazon-Verschlüsselung mit von Amazon S3 [verwalteten Verschlüsselungsschlüsseln (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)) verschlüsselt. Um eine Sicherheitsebene bereitzustellen, die Sie direkt verwalten, können Sie stattdessen [serverseitige Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)) für Ihre Security Lake-Daten verwenden.
SSE-KMS wird in der Security Lake-Konsole nicht unterstützt. Um SSE-KMS mit der Security Lake API oder CLI zu verwenden, [erstellen Sie zunächst einen KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) oder verwenden einen vorhandenen Schlüssel. Sie fügen dem Schlüssel eine Richtlinie hinzu, die festlegt, welche Benutzer den Schlüssel zum Verschlüsseln und Entschlüsseln von Security Lake-Daten verwenden können.
Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, um Daten zu verschlüsseln, die in Ihren S3-Bucket geschrieben werden, können Sie keinen Schlüssel für mehrere Regionen wählen. Für vom Kunden verwaltete Schlüssel gewährt Security Lake in Ihrem Namen einen [Zuschuss](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), indem es eine `CreateGrant` Anfrage an sendet. AWS KMS Grants in AWS KMS werden verwendet, um Security Lake Zugriff auf einen KMS-Schlüssel in einem Kundenkonto zu gewähren.
Security Lake benötigt den Grant, um Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Operationen zu verwenden:
+ Senden Sie `GenerateDataKey` Anfragen AWS KMS zur Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt sind.
+ Senden Sie `RetireGrant` Anfragen an AWS KMS. Wenn Sie Ihren Data Lake aktualisieren, ermöglicht dieser Vorgang die Außerbetriebnahme des Zuschusses, der dem AWS KMS KMS-Schlüssel für die ETL-Verarbeitung hinzugefügt wurde.
Security Lake benötigt keine `Decrypt` Berechtigungen. Wenn autorisierte Benutzer des Schlüssels Security Lake-Daten lesen, verwaltet S3 die Entschlüsselung, und die autorisierten Benutzer können Daten in unverschlüsselter Form lesen. Ein Abonnent benötigt jedoch `Decrypt` Berechtigungen, um Quelldaten nutzen zu können. Weitere Informationen zu Abonnentenberechtigungen finden Sie unter[Verwaltung des Datenzugriffs für Security Lake-Abonnenten](subscriber-data-access.md).
Wenn Sie einen vorhandenen KMS-Schlüssel zum Verschlüsseln von Security Lake-Daten verwenden möchten, müssen Sie die Schlüsselrichtlinie für den KMS-Schlüssel ändern. Die Schlüsselrichtlinie muss es der IAM-Rolle, die dem Data Lake-Standort Lake Formation zugeordnet ist, ermöglichen, den KMS-Schlüssel zum Entschlüsseln der Daten zu verwenden. Anweisungen zum Ändern der Schlüsselrichtlinie für einen KMS-Schlüssel finden Sie unter [Ändern einer Schlüsselrichtlinie](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying.html) im AWS Key Management Service Entwicklerhandbuch.
Ihr KMS-Schlüssel kann Zuschussanfragen annehmen, sodass Security Lake auf den Schlüssel zugreifen kann, wenn Sie eine Schlüsselrichtlinie erstellen oder eine vorhandene Schlüsselrichtlinie mit den entsprechenden Berechtigungen verwenden. Anweisungen zum Erstellen einer Schlüsselrichtlinie finden Sie unter [Erstellen einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) im *AWS Key Management Service Entwicklerhandbuch*.
Fügen Sie Ihrem KMS-Schlüssel die folgende Schlüsselrichtlinie hinzu:
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "*"
}
```
### Erforderliche IAM-Berechtigungen bei Verwendung eines vom Kunden verwalteten Schlüssels
Im Abschnitt [Erste Schritte: Voraussetzungen](get-started-programmatic.md#prerequisites) finden Sie einen Überblick über die IAM-Rollen, die Sie für die Verwendung von Security Lake erstellen müssen.
Wenn Sie eine benutzerdefinierte Quelle oder einen Abonnenten hinzufügen, erstellt Security Lake IAM-Rollen in Ihrem Konto. Diese Rollen sind für die gemeinsame Nutzung mit anderen IAM-Identitäten vorgesehen. Sie ermöglichen es einer benutzerdefinierten Quelle, Daten in den Data Lake zu schreiben, und einem Abonnenten, Daten aus dem Data Lake zu nutzen. Eine AWS verwaltete Richtlinie namens `AmazonSecurityLakePermissionsBoundary` legt die Berechtigungsgrenzen für diese Rollen fest.
### Amazon SQS SQS-Warteschlangen verschlüsseln
Wenn Sie Ihren Data Lake erstellen, erstellt Security Lake zwei unverschlüsselte Amazon Simple Queue Service (Amazon SQS) -Warteschlangen im delegierten Security Lake-Administratorkonto. Sie sollten diese Warteschlangen verschlüsseln, um Ihre Daten zu schützen. Die von Amazon Simple Queue Service bereitgestellte standardmäßige serverseitige Verschlüsselung (SSE) ist nicht ausreichend. Sie müssen in AWS Key Management Service (AWS KMS) einen vom Kunden verwalteten Schlüssel erstellen, um die Warteschlangen zu verschlüsseln, und dann dem Amazon S3-Serviceprinzipal die Rechte zur Arbeit mit den verschlüsselten Warteschlangen gewähren. Anweisungen zur Erteilung dieser Berechtigungen finden Sie unter [Warum werden Amazon S3 S3-Ereignisbenachrichtigungen nicht an eine Amazon SQS SQS-Warteschlange gesendet, die serverseitige Verschlüsselung verwendet](https://repost.aws/knowledge-center/sqs-s3-event-notification-sse)? im AWS Knowledge Center.
Da Security Lake ETL-Jobs (Extrahieren, Übertragen und Laden) für Ihre Daten unterstützt, müssen Sie Lambda auch Berechtigungen zur Verwaltung von Nachrichten in Ihren Amazon SQS SQS-Warteschlangen erteilen. AWS Lambda *Weitere Informationen finden Sie unter [Berechtigungen für Ausführungsrollen im Entwicklerhandbuch](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#events-sqs-permissions).AWS Lambda *
## Verschlüsselung während der Übertragung
Security Lake verschlüsselt alle Daten, die zwischen AWS Diensten übertragen werden. Security Lake schützt Daten während der Übertragung zum und vom Dienst, indem alle Daten zwischen Netzwerken automatisch mit dem Verschlüsselungsprotokoll Transport Layer Security (TLS) 1.2 verschlüsselt werden. Direkte HTTPS-Anfragen, die an den Security Lake gesendet APIs werden, werden mithilfe des [AWS Signature Version 4-Algorithmus](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html) signiert, um eine sichere Verbindung herzustellen.
# Abmeldung von der Verwendung Ihrer Daten zur Serviceverbesserung
Sie können sich dafür entscheiden, die Verwendung Ihrer Daten zur Entwicklung und Verbesserung von Security Lake und anderen AWS Sicherheitsdiensten abzulehnen, indem Sie die AWS Organizations Opt-Out-Richtlinie verwenden. Sie können sich auch dann abmelden, wenn Security Lake derzeit keine derartigen Daten sammelt. Weitere Informationen zur Deaktivierung finden Sie in den [Opt-Out-Richtlinien für KI-Services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) im *Benutzerhandbuch für AWS Organizations *.
Derzeit sammelt Security Lake keine Sicherheitsdaten, die es in Ihrem Namen verarbeitet, oder Sicherheitsdaten, die Sie in Ihren von diesem Dienst erstellten Sicherheitsdatensee hochladen. Um den Security Lake-Dienst und die Funktionen anderer AWS Sicherheitsdienste weiterzuentwickeln und zu verbessern, kann Security Lake in future solche Daten erheben, einschließlich Daten, die Sie aus Datenquellen Dritter hochladen. Wir werden diese Seite aktualisieren, wenn Security Lake beabsichtigt, solche Daten zu sammeln, und beschreiben, wie dies funktionieren wird. Sie haben weiterhin die Möglichkeit, sich jederzeit abzumelden.
**Anmerkung**
Damit Sie die Opt-Out-Richtlinie nutzen können, müssen Ihre AWS Konten zentral von verwaltet werden AWS Organizations. Wenn Sie noch keine Organisation für Ihre AWS Konten erstellt haben, finden Sie [weitere Informationen unter Organisation erstellen und verwalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) im *AWS Organizations Benutzerhandbuch*.
Opt-Out hat folgende Auswirkungen:
+ Security Lake löscht die Daten, die es vor Ihrer Abmeldung gesammelt und gespeichert hat (falls vorhanden).
+ Nach Ihrer Abmeldung sammelt oder speichert Security Lake diese Daten nicht mehr.
# Konformitätsprüfung für Amazon Security Lake
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Bewährte Sicherheitsmethoden für Security Lake
Sehen Sie sich die folgenden bewährten Methoden für die Arbeit mit Amazon Security Lake an.
## Gewähren Sie Security Lake-Benutzern die geringstmöglichen Berechtigungen
Folgen Sie dem Prinzip der geringsten Rechte, indem Sie Ihren AWS Identity and Access Management (IAM-) Benutzern, Benutzergruppen und Rollen die Mindestanzahl an Zugriffsrichtlinienberechtigungen gewähren. Beispielsweise könnten Sie einem IAM-Benutzer erlauben, eine Liste von Protokollquellen in Security Lake einzusehen, aber keine Quellen oder Abonnenten zu erstellen. Weitere Informationen finden Sie unter [Beispiele für identitätsbasierte Richtlinien für Security Lake](security_iam_id-based-policy-examples.md).
Sie können es auch verwenden AWS CloudTrail , um die API-Nutzung in Security Lake zu verfolgen. CloudTrail bietet eine Aufzeichnung der API-Aktionen, die von einem Benutzer, einer Gruppe oder einer Rolle in Security Lake ausgeführt wurden. Weitere Informationen finden Sie unter [Protokollieren von Security Lake-API-Aufrufen mit CloudTrail](securitylake-cloudtrail.md).
## Sehen Sie sich die Übersichtsseite an
Die **Übersichtsseite** der Security Lake-Konsole bietet einen Überblick über die Probleme der letzten 14 Tage, die sich auf den Security Lake-Service und die Amazon S3 S3-Buckets auswirken, in denen Ihre Daten gespeichert sind. Sie können diese Probleme weiter untersuchen, um mögliche sicherheitsrelevante Auswirkungen zu minimieren.
## Integrieren Sie mit Security Hub CSPM
Integrieren Sie Security Lake und erhalten AWS Security Hub CSPM Sie die CSPM-Ergebnisse von Security Hub in Security Lake. Security Hub CSPM generiert Erkenntnisse aus vielen verschiedenen Integrationen AWS-Services und Integrationen von Drittanbietern. Wenn Sie die CSPM-Ergebnisse von Security Hub erhalten, können Sie sich einen Überblick über Ihre Compliance-Situation verschaffen und herausfinden, ob Sie die bewährten AWS Sicherheitsmethoden einhalten.
Weitere Informationen finden Sie unter [Integration mit AWS Security Hub CSPM](securityhub-integration.md).
## Löschen AWS Lambda
Wenn Sie eine AWS Lambda Funktion löschen, empfehlen wir, sie nicht zuerst zu deaktivieren. Das Deaktivieren einer Lambda-Funktion vor dem Löschen könnte die Datenabfragefunktionen beeinträchtigen und möglicherweise andere Funktionen beeinträchtigen. Am besten löschen Sie die Lambda-Funktion direkt, ohne sie zu deaktivieren. Weitere Informationen zum Löschen der Lambda-Funktion finden Sie im [AWS Lambda Entwicklerhandbuch](https://docs.aws.amazon.com//lambda/latest/dg/example_lambda_DeleteFunction_section.html).
## Achten Sie auf Security Lake-Ereignisse
Sie können Security Lake mithilfe von CloudWatch Amazon-Metriken überwachen. CloudWatch sammelt jede Minute Rohdaten von Security Lake und verarbeitet sie zu Metriken. Sie können Alarme einrichten, die Benachrichtigungen auslösen, wenn Metriken bestimmten Schwellenwerten entsprechen.
Weitere Informationen finden Sie unter [CloudWatch Metriken für Amazon Security Lake](cloudwatch-metrics.md).
# Resilienz im Amazon Security Lake
Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Diese Availability Zones bieten Ihnen eine effektive Methode zum Entwerfen und Betreiben von Anwendungen und Datenbanken. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Die Verfügbarkeit von Security Lake ist an die Verfügbarkeit in der Region gebunden. Die Verteilung auf mehrere Availability Zones hilft dem Service, Ausfälle in jeder einzelnen Availability Zone zu tolerieren.
Die Verfügbarkeit der Security Lake-Datenebene ist nicht an die Verfügbarkeit einer Region gebunden. Die Verfügbarkeit der Security Lake-Kontrollebene ist jedoch eng mit der Verfügbarkeit in der Region USA Ost (Nord-Virginia) verknüpft.
Weitere Informationen zu AWS-Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
Zusätzlich zur AWS globalen Infrastruktur bietet Security Lake, in dem Daten durch Amazon Simple Storage Service (Amazon S3) gesichert werden, mehrere Funktionen zur Unterstützung Ihrer Datenausfallsicherheit und Backup-Anforderungen.
**Konfiguration des Lebenszyklus**
Eine Lebenszyklus-Konfiguration besteht aus einer Reihe von Regeln, mit denen Aktionen definiert werden, die Amazon S3 auf eine Gruppe von Objekten anwendet. Mithilfe der Konfigurationsregeln für den Lebenszyklus können Sie Amazon S3 anweisen, Objekte in kostengünstigere Speicherklassen zu übergeben bzw. zu archivieren oder zu löschen. Weitere Informationen finden Sie unter [Managing your storage lifecycle (Verwaltung des Speicherlebenszyklus)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) im *Amazon-S3-Benutzerhandbuch*.
**Versioning**
Das Versioning ermöglicht Ihnen, mehrere Versionen eines Objekts im selben Bucket aufzubewahren. Sie können Versioning verwenden, um sämtliche Versionen aller Objekte in Ihrem Amazon S3 Bucket zu speichern, abzurufen oder wiederherzustellen. Mithilfe der Versionierung können Sie sich sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsausfällen erholen. Weitere Informationen finden Sie unter [Verwenden der Versionierung in S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) im *Amazon S3 S3-Benutzerhandbuch*.
**Speicherklassen**
Amazon S3 bietet je nach den Anforderungen Ihrer Workload eine Reihe von Speicherklassen an. Die Speicherklassen S3 Standard-IA und S3 One Zone-IA sind für Daten konzipiert, auf die Sie etwa einmal im Monat zugreifen und auf Millisekunden zugreifen müssen. Die Speicherklasse S3 Glacier Instant Retrieval ist für langlebige Archivdaten konzipiert, auf die Sie mit Millisekunden-Zugriff zugreifen, auf den Sie etwa einmal pro Quartal zugreifen. Für Archivdaten, die keinen sofortigen Zugriff erfordern, wie zum Beispiel Backups, können Sie die Speicherklassen S3 Glacier Flexible Retrieval oder S3 Glacier Deep Archive verwenden. Weitere Informationen finden Sie unter [Verwenden von Amazon S3 S3-Speicherklassen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) im *Amazon S3 S3-Benutzerhandbuch*.
# Infrastruktursicherheit in Amazon Security Lake
Als verwalteter Service ist Amazon Security Lake durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Security Lake zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# Konfiguration und Schwachstellenanalyse in Security Lake
Für Konfiguration und IT-Kontrollen sind Sie, unser Kunde, gemeinsam verantwortlich. AWS Weitere Informationen finden Sie im [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Amazon Security Lake und VPC-Schnittstellen-Endpunkte ()AWS PrivateLink
Sie können eine private Verbindung zwischen Ihrer VPC und Amazon Security Lake herstellen, indem Sie einen *VPC-Schnittstellen-Endpunkt* erstellen. Schnittstellenendpunkte werden mit einer Technologie betrieben [AWS PrivateLink](https://aws.amazon.com/privatelink), die es Ihnen ermöglicht, privat auf Security Lake zuzugreifen, APIs ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung zu benötigen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Security Lake APIs zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und Security Lake verlässt das Amazon-Netzwerk nicht.
Jeder Schnittstellenendpunkt wird durch eine oder mehrere [Elastic-Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) in Ihren Subnetzen dargestellt.
*Weitere Informationen finden Sie im [Handbuch unter Interface VPC endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink *
## Überlegungen zu Security Lake VPC-Endpunkten
Bevor Sie einen VPC-Schnittstellen-Endpunkt für Security Lake einrichten, sollten Sie die [Eigenschaften und Einschränkungen der Schnittstellenendpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) im *AWS PrivateLink Handbuch* lesen.
Security Lake unterstützt Aufrufe aller API-Aktionen von Ihrer VPC aus.
Security Lake unterstützt FIPS-VPC-Endpunkte nur in den folgenden Regionen, in denen FIPS vorhanden ist:
+ USA Ost (Nord-Virginia)
+ USA Ost (Ohio)
+ USA West (Nordkalifornien)
+ USA West (Oregon)
## Erstellen eines VPC-Schnittstellen-Endpunkts für Security Lake
Sie können einen VPC-Endpunkt für den Security Lake-Service entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface ()AWS CLI erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) im *AWS PrivateLink -Leitfaden*.
Erstellen Sie einen VPC-Endpunkt für Security Lake mit dem folgenden Dienstnamen:
+ com.amazonaws. *region*. Sicherheitssee
+ com.amazonaws. *region*.securitylake-fips (FIPS-Endpunkt)
Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an Security Lake stellen, indem Sie dessen Standard-DNS-Namen für die Region verwenden, zum Beispiel. `securitylake.us-east-1.amazonaws.com`
Weitere Informationen finden Sie im *AWS PrivateLink Handbuch* unter [Zugreifen auf einen Dienst über einen Schnittstellenendpunkt](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint).
## Erstellen einer VPC-Endpunktrichtlinie für Security Lake
Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Security Lake steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
*Weitere Informationen finden Sie im Handbuch unter [Steuern des Zugriffs auf Dienste mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).AWS PrivateLink *
**Beispiel: VPC-Endpunktrichtlinie für Security Lake-Aktionen**
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Security Lake. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Security Lake-Aktionen.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"securitylake:ListDataLakes",
"securitylake:ListLogSources",
"securitylake:ListSubscribers"
],
"Resource":"*"
}
]
}
```
## Gemeinsam genutzte Subnetze
Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden. Weitere Informationen zur Freigabe von VPCs finden Sie unter [Freigeben Ihrer VPC für andere Konten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) im *Amazon-VPC-Benutzerhandbuch*.
# Überwachung von Amazon Security Lake
Security Lake lässt sich in einen Dienst integrieren AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die in Security Lake von einem Benutzer, einer Rolle oder einer anderen Person ausgeführt wurden AWS-Service. Dazu gehören Aktionen von der Security Lake-Konsole aus und programmatische Aufrufe von Security Lake-API-Vorgängen. Anhand der von gesammelten Informationen können Sie feststellen CloudTrail, welche Anfragen an Security Lake gestellt wurden. Für jede Anforderung können Sie angeben, wann sie gestellt wurde, die IP-Adresse, von der sie gestellt wurde, sowie weitere Details. Weitere Informationen finden Sie unter [Protokollieren von Security Lake-API-Aufrufen mit CloudTrail](securitylake-cloudtrail.md).
Security Lake und Amazon CloudWatch sind integriert, sodass Sie Metriken für die von Security Lake gesammelten Protokolle sammeln, anzeigen und analysieren können. CloudWatch Die Metriken für Ihren Security Lake Data Lake werden automatisch erfasst und in Intervallen von einer CloudWatch Minute abgerufen. Sie können auch einen Alarm einrichten, sodass Sie eine Benachrichtigung erhalten, wenn ein bestimmter Schwellenwert für eine Security Lake-Metrik erreicht wird. Eine Liste aller Metriken, an die Security Lake sendet CloudWatch, finden Sie unter[Kennzahlen und Dimensionen von Security Lake](cloudwatch-metrics.md#available-securitylake-metrics).
# CloudWatch Metriken für Amazon Security Lake
Sie können Security Lake mithilfe von Amazon überwachen. Amazon CloudWatch sammelt jede Minute Rohdaten und verarbeitet sie zu lesbaren Metriken, die nahezu in Echtzeit verfügbar sind. Diese Statistiken werden 15 Monate lang aufbewahrt, sodass Sie auf historische Informationen zugreifen und sich einen besseren Überblick über die Daten in Ihrem Data Lake verschaffen können. Sie können auch Alarme einrichten, die auf bestimmte Grenzwerte achten und Benachrichtigungen senden oder Aktivitäten auslösen, wenn diese Grenzwerte erreicht werden.
**Topics**
+ [Kennzahlen und Dimensionen von Security Lake](#available-securitylake-metrics)
+ [CloudWatch Metriken für Security Lake anzeigen](#view-securitylake-metrics)
+ [CloudWatch Alarme für Security Lake-Metriken einrichten](#securitylake-alarm-metrics)
## Kennzahlen und Dimensionen von Security Lake
Der `AWS/SecurityLake`-Namespace enthält die folgenden Metriken.
| Metrik | Description |
| --- | --- |
| `ProcessedSize` | Das Datenvolumen von nativ unterstütztem System, AWS-Services das derzeit in Ihrem Data Lake gespeichert ist. Einheiten: Byte |
Die folgenden Dimensionen sind für Security Lake-Metriken verfügbar.
| Dimension | Description |
| --- | --- |
| `Account` | `ProcessedSize`Metrik für eine bestimmte AWS-Konto. Diese Dimension ist nur verfügbar, wenn Sie die Option `Per-Account Source Version Metrics` aktiviert haben CloudWatch. |
| `Region` | `ProcessedSize`Metrik für eine bestimmte AWS-Region. |
| `Source` | `ProcessedSize`Metrik für eine bestimmte AWS Protokollquelle. |
| `SourceVersion` | `ProcessedSize`Metrik für eine bestimmte Version einer AWS Protokollquelle. |
Sie können Metriken für bestimmte AWS-Konten (`Per-Account Source Version Metrics`) oder für alle Konten in einer Organisation (`Per-Source Version Metrics`) anzeigen.
## CloudWatch Metriken für Security Lake anzeigen
Sie können die Metriken für Security Lake mithilfe der CloudWatch Konsole, CloudWatch der eigenen Befehlszeilenschnittstelle (CLI) oder programmgesteuert mithilfe der CloudWatch API überwachen. Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um auf die Security Lake-Metriken zuzugreifen.
------
#### [ CloudWatch console ]
1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie im Navigationsbereich **Metriken, Alle Metriken** aus.
1. Wählen Sie auf der Registerkarte **Durchsuchen** die Option **Security Lake** aus.
1. Wählen Sie **Quellversionsmetriken pro Konto oder Versionsmetriken** **pro Quelle**.
1. Wählen Sie eine Metrik aus, um sie detailliert anzuzeigen. Sie können sich auch für Folgendes entscheiden:
+ Verwenden Sie die Spaltenüberschrift, um die Metriken zu sortieren.
+ Um eine Metrik grafisch darzustellen, wählen Sie den Metriknamen und anschließend eine Grafikoption aus.
+ Um nach einer Metrik zu filtern, wählen Sie den Metriknamen aus und klicken Sie dann **auf Zur Suche hinzufügen**.
------
#### [ CloudWatch API ]
Verwenden Sie die [https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)Aktion, um mithilfe der CloudWatch API auf Security Lake-Metriken zuzugreifen.
------
#### [ AWS CLI ]
Um mit dem auf Security Lake-Metriken zuzugreifen AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html)Befehl aus.
------
Weitere Informationen zur Überwachung mithilfe von Metriken finden Sie unter [Verwenden von CloudWatch Amazon-Metriken](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) im * CloudWatch Amazon-Benutzerhandbuch*.
## CloudWatch Alarme für Security Lake-Metriken einrichten
CloudWatch ermöglicht es Ihnen auch, Alarme einzustellen, wenn ein Schwellenwert für eine Metrik erreicht wird. Sie könnten beispielsweise einen Alarm für die **ProcessedSize**Metrik einrichten, sodass Sie benachrichtigt werden, wenn das Datenvolumen aus einer bestimmten Quelle einen bestimmten Schwellenwert überschreitet.
Anweisungen zum Einstellen von Alarmen finden Sie [unter Verwenden von CloudWatch Amazon-Alarmen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) im * CloudWatch Amazon-Benutzerhandbuch*.