Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en Security Lake
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de los centros de datos y las arquitecturas de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre AWS usted y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de conformidad que se aplican a Amazon Security Lake, consulte [AWS Servicios incluidos en el ámbito del programa de conformidad AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a entender cómo aplicar el modelo de responsabilidad compartida al utilizar Security Lake. Los siguientes temas muestran cómo configurar Security Lake para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus recursos de Security Lake.
**Topics**
+ [Gestión de identidad y acceso para Security Lake](security-iam.md)
+ [Protección de los datos en Amazon Security Lake](data-protection.md)
+ [Validación de la conformidad para Amazon Security Lake](compliance-validation.md)
+ [Prácticas recomendadas de seguridad para Security Lake](best-practices-overview.md)
+ [Resiliencia de Amazon Security Lake](disaster-recovery-resiliency.md)
+ [Seguridad de infraestructuras en Amazon Security Lake](infrastructure-security.md)
+ [Configuración y análisis de vulnerabilidades en Security Lake](configuration-vulnerability-analysis.md)
+ [Amazon Security Lake y puntos de enlace de VPC de interfaz ()AWS PrivateLink](security-vpc-endpoints.md)
+ [Supervisión de Amazon Security Lake](monitoring-overview.md)
# Gestión de identidad y acceso para Security Lake
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién puede estar *autenticado* (ha iniciado sesión) y *autorizado* (tiene permisos) para utilizar recursos de Security Lake. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo funciona Security Lake con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en la identidad para Security Lake](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas para Security Lake](security-iam-awsmanpol.md)
+ [Uso de roles vinculados a servicios para Security Lake](using-service-linked-roles.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso de Amazon Security Lake](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Security Lake con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad para Security Lake](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona Security Lake con IAM
Antes de utilizar IAM para administrar el acceso a Security Lake, obtenga información sobre qué características de IAM están disponibles para utilizar con Security Lake.
**Características de IAM que puede utilizar con Amazon Security Lake**
| Característica de IAM | Compatibilidad con Security Lake |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | Sí |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Permisos de entidades principales](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | No |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | Sí |
Para obtener una visión general de cómo funcionan Security Lake y otros AWS servicios con la mayoría de las funciones de IAM, consulte [AWS los servicios que funcionan con IAM en la Guía del usuario de *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Políticas basadas en identidad para Security Lake
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
Security Lake es compatible con las políticas basadas en identidad. Para obtener más información, consulte [Ejemplos de políticas basadas en la identidad para Security Lake](security_iam_id-based-policy-examples.md).
## Políticas basadas en recursos de Security Lake
**Compatibilidad con las políticas basadas en recursos:** sí
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los directores pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
El servicio de Security Lake crea políticas basadas en recursos para los buckets de Amazon S3 que almacenan los datos. No asocie estas políticas basadas en recursos a los buckets de S3. Security Lake crea automáticamente estas políticas en su nombre.
Un ejemplo de recurso es un bucket de S3 con un nombre de recurso de Amazon (ARN) de `arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}`. En este ejemplo, `region` se trata de una secuencia alfanumérica específica Región de AWS en la que se ha activado Security Lake y `bucket-identifier` es una cadena alfanumérica única a nivel regional que Security Lake asigna al bucket. Security Lake crea el bucket de S3 para almacenar los datos de esa región. La política de recursos define qué entidades principales pueden realizar acciones en el bucket. Este es un ejemplo de política basada en recursos (política de bucket) que Security Lake asocia al bucket:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}/*",
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "PutSecurityLakeObject",
"Effect": "Allow",
"Principal": {
"Service": "securitylake.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}/*",
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{DA-AccountID}",
"s3:x-amz-acl": "bucket-owner-full-control"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:securitylake:us-east-1:111122223333:*"
}
}
}
]
}
```
------
Para obtener más información acerca de las políticas basadas en recursos, consulte [Políticas basadas en identidad y políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) en la *Guía de usuario de IAM*.
## Acciones de política para Security Lake
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de las acciones de Security Lake, consulte [Acciones definidas por Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) en la *referencia de autorizaciones de servicio*.
Las acciones de políticas de Security Lake utilizan el siguiente prefijo antes de la acción:
```
securitylake
```
Por ejemplo, para conceder a un usuario permiso para acceder a la información sobre un suscriptor específico, incluya la acción `securitylake:GetSubscriber` en la política asignada a ese usuario. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Security Lake define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"securitylake:action1",
"securitylake:action2"
]
```
Para ver ejemplos de políticas basadas en identidad de Security Lake, consulte [Ejemplos de políticas basadas en la identidad para Security Lake](security_iam_id-based-policy-examples.md).
## Recursos de políticas para Security Lake
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Security Lake define los siguientes tipos de recursos: el suscriptor y la configuración del lago de datos para un Cuenta de AWS determinado recurso Región de AWS. Puede especificar estos tipos de recursos en las políticas mediante ARNs.
Para obtener una lista de los tipos de recursos de Security Lake y la sintaxis del ARN de cada uno, consulte [Tipos de recursos definidos por Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-resources-for-iam-policies) en la *Referencia de autorizaciones de servicio*. Para saber qué acciones puede especificar para cada tipo de recurso, consulte [Acciones definidas por Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) en la *Referencia de autorizaciones de servicio*.
Para ver ejemplos de políticas basadas en identidad de Security Lake, consulte [Ejemplos de políticas basadas en la identidad para Security Lake](security_iam_id-based-policy-examples.md).
## Claves de condición de política de Security Lake
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de las claves de condición de Security Lake, consulte [Claves de condición de Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-policy-keys) en la *Referencia de autorizaciones de servicio*. Para saber con qué acciones y recursos puede usar una clave de condición, consulte [Acciones definidas por Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) en la *Referencia de autorizaciones de servicio*. Para ver ejemplos de políticas que utilizan claves de condición, consulte [Ejemplos de políticas basadas en la identidad para Security Lake](security_iam_id-based-policy-examples.md).
## Listas de control de acceso (ACLs) en Security Lake
**Soportes ACLs:** No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Security Lake no es compatible ACLs, lo que significa que no se puede adjuntar una ACL a un recurso de Security Lake.
## Control de acceso basado en atributos (ABAC) con Security Lake
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
Puede adjuntar etiquetas a los recursos de Security Lake (suscriptores) y a la configuración del lago de datos de una persona. Cuenta de AWS Regiones de AWS También puede controlar el acceso a estos tipos de recursos proporcionando información sobre las etiquetas en el elemento `Condition` de una política. Para obtener información acerca del etiquetado de recursos de Security Lake, consulte [Etiquetado de los recursos de Security Lake](tagging-resources.md). Para consultar un ejemplo de una política basada en la identidad que controla el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Ejemplos de políticas basadas en la identidad para Security Lake](security_iam_id-based-policy-examples.md).
## Uso de credenciales temporales con Security Lake
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza una federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
Security Lake admite el uso de credenciales temporales.
## Sesiones de acceso directo para Security Lake
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos del operador principal que realiza la llamada Servicio de AWS, junto con los que solicitan, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Algunas acciones de Security Lake requieren permisos para realizar acciones adicionales y dependientes en otros Servicios de AWS. Para ver una lista de estas acciones, consulte [Acciones definidas por Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) en la *referencia de autorizaciones de servicio*.
## Roles de servicio de Security Lake
**Compatible con roles de servicio:** No
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
Security Lake no asume ni utiliza roles de servicio. Sin embargo, los servicios relacionados EventBridge AWS Lambda, como Amazon y Amazon S3, asumen funciones de servicio cuando utiliza Security Lake. Security Lake utiliza un rol vinculado al servicio para llevar a cabo acciones en su nombre.
**aviso**
El cambio de los permisos de un rol de servicio podría provocar problemas operativos con el uso de Security Lake. Edite los roles de servicio solo cuando Security Lake proporcione orientación para hacerlo.
## Roles vinculados a servicios de Security Lake
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Security Lake usa un rol vinculado a servicios de IAM denominado `AWSServiceRoleForAmazonSecurityLake`. El rol vinculado a servicios de Security Lake concede permisos para operar un servicio de lago de datos de seguridad en nombre de los clientes. Este rol vinculado a servicios es un rol de IAM que está vinculado directamente a Security Lake. Security Lake los predefine e incluye todos los permisos que Security Lake necesita para llamar a otras personas Servicios de AWS en tu nombre. Security Lake utiliza esta función vinculada a un servicio en todos los lugares en los Regiones de AWS que Security Lake está disponible.
Para obtener información acerca de cómo crear o administrar el rol vinculado a servicios de Security Lake, consulte [Uso de roles vinculados a servicios para Security Lake](using-service-linked-roles.md).
# Ejemplos de políticas basadas en la identidad para Security Lake
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de Security Lake. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por Security Lake, incluido el ARNs formato de cada uno de los tipos de recursos, consulte [Acciones, recursos y claves de condición de Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html) en la *Referencia de autorización de servicio*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de Security Lake](#security_iam_id-based-policy-examples-console)
+ [Ejemplo: Permitir que los usuarios vean sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Ejemplo: Permitir que la cuenta de administración de la organización designe y elimine a un administrador delegado](#security_iam_id-based-policy-examples-orgs)
+ [Ejemplo: Permitir a los usuarios revisar los suscriptores en función de las etiquetas](#security_iam_id-based-policy-examples-review-subscribers-tags)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de Security Lake de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos**: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de Security Lake
Para acceder a la consola de Amazon Security Lake, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de Security Lake que tiene en su cuenta. Cuenta de AWS Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan usar la consola de Security Lake, cree políticas de IAM que les proporcionen acceso a la consola. Para obtener más información, consulte [Identidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la *Guía del usuario de IAM*.
Si crea una política que permite a los usuarios o roles usar la consola de Security Lake, asegúrese de que la política incluya las acciones adecuadas para los recursos a los que dichos usuarios o roles necesitan acceder en la consola. De lo contrario, no podrán acceder a esos recursos ni mostrar detalles sobre ellos en la consola.
Por ejemplo, para agregar un origen personalizado mediante la consola, un usuario debe tener la posibilidad de realizar las siguientes acciones:
+ `glue:CreateCrawler`
+ `glue:CreateDatabase`
+ `glue:CreateTable`
+ `glue:StartCrawlerSchedule`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `iam:DeleteRolePolicy`
+ `iam:PassRole`
+ `lakeformation:RegisterResource`
+ `lakeformation:GrantPermissions`
+ `s3:ListBucket`
+ `s3:PutObject`
## Ejemplo: Permitir que los usuarios vean sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Ejemplo: Permitir que la cuenta de administración de la organización designe y elimine a un administrador delegado
En este ejemplo se muestra cómo podría crear una política que permita a un usuario de una cuenta de administración de AWS Organizations designar y eliminar el administrador de Security Lake delegado de la organización.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"securitylake:RegisterDataLakeDelegatedAdministrator",
"securitylake:DeregisterDataLakeDelegatedAdministrator"
],
"Resource": "arn:aws:securitylake:*:*:*"
}
]
}
```
------
## Ejemplo: Permitir a los usuarios revisar los suscriptores en función de las etiquetas
En políticas basadas en la identidad, puede utilizar las condiciones para controlar el acceso a los recursos de Security Lake basados en etiquetas. En este ejemplo se muestra cómo podría crear una política que permita a un usuario revisar a los suscriptores con la consola de Security Lake o con la API de Security Lake. Sin embargo, los permisos solo se conceden si el valor de la etiqueta `Owner` para un suscriptor es el nombre de usuario de dicho usuario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewSubscriberDetailsIfOwner",
"Effect": "Allow",
"Action": "securitylake:GetSubscriber",
"Resource": "arn:aws:securitylake:*:*:subscriber/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
},
{
"Sid": "ListSubscribersIfOwner",
"Effect": "Allow",
"Action": "securitylake:ListSubscribers",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
En este ejemplo, si un usuario que tiene el nombre de usuario `richard-roe` intenta revisar los detalles de los suscriptores individuales, se debe etiquetar al suscriptor con `Owner=richard-roe` o `owner=richard-roe`. De lo contrario, se deniega el acceso al usuario. La clave de la etiqueta de condición `Owner` coincide con los nombres de las claves de condición `Owner` y `owner` porque no distinguen entre mayúsculas y minúsculas. Para obtener más información acerca de cómo utilizar las claves de condición, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*. Para obtener información acerca del etiquetado de recursos de Security Lake, consulte [Etiquetado de los recursos de Security Lake](tagging-resources.md).
# AWS políticas gestionadas para Security Lake
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: AmazonSecurityLakeMetastoreManager
Amazon Security Lake utiliza una AWS Lambda función para gestionar los metadatos de su lago de datos. Mediante el uso de esta función, Security Lake puede indexar las particiones del Amazon Simple Storage Service (Amazon S3) que contienen sus datos y archivos de datos en las tablas AWS Glue del catálogo de datos. Esta política gestionada contiene todos los permisos para que la función Lambda indexe las particiones y los archivos de datos de S3 en las AWS Glue tablas.
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `logs`— Permite a los directores registrar el resultado de la función Lambda en Amazon CloudWatch Logs.
+ `glue`— Permite a los directores realizar acciones de escritura específicas para las tablas del catálogo de AWS Glue datos. Esto también permite a AWS Glue los rastreadores identificar las particiones de los datos.
+ `sqs`— Permite a los directores realizar acciones específicas de lectura y escritura para las colas de Amazon SQS que envían notificaciones de eventos cuando se añaden o actualizan objetos en su lago de datos.
+ `s3`— Permite a los directores realizar acciones específicas de lectura y escritura para el bucket de Amazon S3 que contiene sus datos.
Para revisar los permisos de esta política, consulte [AmazonSecurityLakeMetastoreManager](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeMetastoreManager.html) en la *Guía de referencia de la política administrada de AWS *.
## AWS política gestionada: AmazonSecurityLakePermissionsBoundary
Amazon Security Lake crea funciones de IAM para que fuentes personalizadas de terceros escriban datos en el lago de datos y para que los suscriptores personalizados de terceros consuman datos del lago de datos, y utiliza esta política al crear estas funciones para definir el límite de sus permisos. No es necesario que tome ninguna medida para utilizar esta política. Si el lago de datos está cifrado con una AWS KMS clave gestionada por el cliente `kms:Decrypt` y se añaden `kms:GenerateDataKey` permisos.
Para revisar los permisos de esta política, consulte [AmazonSecurityLakePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakePermissionsBoundary.html) en la *Guía de referencia de la política administrada de AWS *.
## AWS política gestionada: AmazonSecurityLakeAdministrator
Puedes adjuntar la `AmazonSecurityLakeAdministrator` política a un mandante antes de que habilite Amazon Security Lake en su cuenta. Esta política otorga permisos administrativos que brindan a una entidad principal acceso completo a todas las acciones de Security Lake. Luego, el principal puede incorporarse a Security Lake y, posteriormente, configurar las fuentes y los suscriptores en Security Lake.
Esta política incluye las acciones que los administradores de Security Lake pueden realizar en otros AWS servicios a través de Security Lake.
La `AmazonSecurityLakeAdministrator` política no admite la creación de las funciones de utilidad requeridas por Security Lake para gestionar la replicación entre regiones de Amazon S3, el registro de nuevas particiones de datos, la ejecución de un rastreador de Glue con los datos añadidos a fuentes personalizadas o la notificación de nuevos datos a los suscriptores de puntos de conexión HTTPS. AWS Glue Puede crear estas funciones con antelación, tal y como se describe en. [Introducción a Amazon Security Lake](getting-started.md)
Además de la política `AmazonSecurityLakeAdministrator` gestionada, Security Lake requiere `lakeformation:PutDataLakeSettings` permisos para las funciones de incorporación y configuración. `PutDataLakeSettings`permite establecer un director de IAM como administrador de todos los recursos regionales de Lake Formation de la cuenta. Esta función debe `iam:CreateRole permission` ir acompañada de una `AmazonSecurityLakeAdministrator` política.
Los administradores de Lake Formation tienen acceso total a la consola de Lake Formation y controlan la configuración inicial de los datos y los permisos de acceso. Security Lake asigna el principal que habilita a Security Lake y el `AmazonSecurityLakeMetaStoreManager` rol (u otro rol específico) como administradores de Lake Formation para que puedan crear tablas, actualizar el esquema de las tablas, registrar nuevas particiones y configurar los permisos en las tablas. Debe incluir los siguientes permisos en la política para el rol o usuario administrador de Security Lake:
**nota**
Para proporcionar permisos suficientes para conceder el acceso de los suscriptores basado en Lake Formation, Security Lake recomienda añadir los siguientes `glue:PutResourcePolicy` permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutLakeFormationSettings",
"Effect": "Allow",
"Action": "lakeformation:PutDatalakeSettings",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "securitylake.amazonaws.com"
}
}
},
{
"Sid": "AllowGlueActions",
"Effect": "Allow",
"Action": ["glue:PutResourcePolicy", "glue:DeleteResourcePolicy"],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
"arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "securitylake.amazonaws.com"
}
}
}
]
}
```
------
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `securitylake`— Permite a los directores el acceso total a todas las acciones de Security Lake.
+ `organizations`— Permite a los directores recuperar información de AWS Organizations sobre las cuentas de una organización. Si una cuenta pertenece a una organización, estos permisos permiten que la consola de Security Lake muestre los nombres y números de cuenta.
+ `iam`— Permite a los directores crear funciones vinculadas a servicios para Security Lake y AWS Lake Formation Amazon EventBridge, como paso obligatorio a la hora de habilitar esos servicios. También permite crear y editar políticas para funciones de suscriptor y de fuente personalizadas, y los permisos de esas funciones se limitan a lo permitido por la política. `AmazonSecurityLakePermissionsBoundary`
+ `ram`— Permite a los directores configurar el acceso Lake Formation basado en consultas de los suscriptores a las fuentes de Security Lake.
+ `s3`— Permite a los directores crear y administrar depósitos de Security Lake y leer el contenido de esos depósitos.
+ `lambda`— Permite a los directores gestionar las particiones de la AWS Glue tabla Lambda utilizadas para actualizar tras la entrega en AWS origen y la replicación entre regiones.
+ `glue`— Permite a los directores crear y administrar la base de datos y las tablas de Security Lake.
+ `lakeformation`— Permite a los directores administrar los Lake Formation permisos de las tablas de Security Lake.
+ `events`— Permite a los directores administrar las reglas utilizadas para notificar a los suscriptores los nuevos datos en las fuentes de Security Lake.
+ `sqs`— Permite a los directores crear y administrar Amazon SQS colas que se utilizan para notificar a los suscriptores los nuevos datos en las fuentes de Security Lake.
+ `kms`— Permite a los directores conceder acceso a Security Lake para escribir datos mediante una clave administrada por el cliente.
+ `secretsmanager`— Permite a los directores gestionar los secretos que se utilizan para notificar a los suscriptores los nuevos datos en las fuentes de Security Lake a través de puntos de conexión HTTPS.
Para revisar los permisos de esta política, consulte [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html) en la *Guía de referencia de la política administrada de AWS *.
## AWS política gestionada: SecurityLakeServiceLinkedRole
Security Lake usa el rol vinculado al servicio denominado `AWSServiceRoleForSecurityLake` para crear y operar el lago de datos de seguridad.
No puede adjuntar la política `SecurityLakeServiceLinkedRole` gestionada a sus entidades de IAM. Esta política está asociada a una función vinculada al servicio que permite a Security Lake realizar acciones en su nombre. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com//security-lake/latest/userguide/slr-permissions.html) para Security Lake.
## AWS política gestionada: SecurityLakeResourceManagementServiceRolePolicy
Security Lake utiliza la función vinculada al servicio denominada `AWSServiceRoleForSecurityLakeResourceManagement` para realizar una supervisión continua y mejorar el rendimiento, lo que puede reducir la latencia y los costes. Proporciona acceso para gestionar los recursos creados por Security Lake. Otorga a Security Lake la posibilidad de eliminar SecurityLake \$1Glue\$1Partition\$1Updater\$1Lambda. Esta lambda ha quedado obsoleta para los clientes que han realizado una migración a gran escala y han pasado a fuentes de la versión 2. Esta lambda utilizaba el tiempo de ejecución de Python 3.9, que quedará obsoleto en diciembre. En lugar de actualizar el tiempo de ejecución de esta lambda para esos clientes, sería mejor eliminarlos. Tenemos un proceso de recuperación que determinará si el cliente sigue necesitando la lambda o no y, si no la necesita, la eliminará. Esta actualización de la SLR es necesaria para que podamos eliminar esa lambda.
No puedes adjuntar la política `SecurityLakeResourceManagementServiceRolePolicy` gestionada a tus entidades de IAM. Esta política está asociada a una función vinculada al servicio que permite a Security Lake realizar acciones en su nombre. Para obtener más información, consulte [Permisos de roles vinculados al servicio para la administración](https://docs.aws.amazon.com//security-lake/latest/userguide/AWSServiceRoleForSecurityLakeResourceManagement.html) de recursos.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `events`— Permite a los directores enumerar y administrar EventBridge las reglas para el procesamiento de eventos de Security Lake.
+ `lambda`— Permite a los directores gestionar las funciones y configuraciones de Lambda para el procesamiento de metadatos de Security Lake, incluida la posibilidad de eliminar funciones obsoletas del actualizador de particiones.
+ `glue`— Permite a los directores crear particiones, administrar tablas y acceder a las bases de datos del catálogo de AWS Glue datos para administrar los metadatos de Security Lake.
+ `s3`— Permite a los directores gestionar las configuraciones de los buckets de Amazon S3, las políticas del ciclo de vida y los objetos de metadatos para las operaciones del lago de datos de Security Lake.
+ `logs`— Permite a los directores acceder a los flujos de CloudWatch registros y consultar los datos de registro para las funciones Lambda de Security Lake.
+ `sqs`— Permite a los directores gestionar las colas y los mensajes de Amazon SQS para los flujos de trabajo de procesamiento de datos de Security Lake.
+ `lakeformation`— Permite a los directores recuperar la configuración y los permisos del lago de datos para la administración de los recursos de Security Lake.
Para ver más detalles sobre la política, incluyendo la última versión del documento de política JSON, consulte [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS *.
## AWS política gestionada: AWS GlueServiceRole
La política `AWS GlueServiceRole` gestionada invoca el AWS Glue rastreador y permite AWS Glue rastrear los datos fuente personalizados e identificar los metadatos de las particiones. Estos metadatos son necesarios para crear y actualizar tablas en el catálogo de datos.
Para obtener más información, consulte [Recopilación de datos de fuentes personalizadas en Security Lake](custom-sources.md).
## Security Lake actualiza las políticas AWS administradas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas de Security Lake desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial de documentos de Security Lake.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [SecurityLakeResourceManagementServiceRolePolicy](#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement)— Se actualizó la política existente | Security Lake actualizó la política administrada `SecurityLakeResourceManagementServiceRolePolicy` para añadir `lambda:DeleteFunction` permisos a las funciones SecurityLake \$1Glue\$1Partition\$1Updater\$1Lambda obsoletas. Esto permite a Security Lake limpiar las funciones de Lambda obsoletas como parte de la migración a fuentes de la versión 2 y al formato iceberg. | 18 de noviembre de 2025 |
| [AWSServiceRoleForSecurityLakeResourceManagement](AWSServiceRoleForSecurityLakeResourceManagement.md)— Se actualizó la política existente | Esta política se actualizó para reemplazar el `StringLike` operador por el `ArnLike` operador que evalúa las claves de tipo ARN del bloque `lambda:FunctionArn` de `aws:ResourceAccount` condiciones. Esto proporciona una aplicación más segura. | 25 de septiembre de 2025 |
| [Función vinculada a servicios para Amazon Security Lake](AWSServiceRoleForSecurityLakeResourceManagement.md): nueva función vinculada a servicios | Hemos añadido un nuevo rol vinculado al servicio. `AWSServiceRoleForSecurityLakeResourceManagement` Esta función vinculada al servicio proporciona permisos a Security Lake para llevar a cabo una supervisión continua y mejorar el rendimiento, lo que puede reducir la latencia y los costes. | 14 de noviembre de 2024 |
| [Función vinculada a servicios para Amazon Security Lake](using-service-linked-roles.md): actualización de los permisos de funciones vinculadas a servicios existentes | Hemos añadido AWS WAF acciones a la política AWS gestionada de la política. `SecurityLakeServiceLinkedRole` Las acciones adicionales permiten a Security Lake recopilar AWS WAF registros cuando está habilitada como fuente de registros en Security Lake. | 22 de mayo de 2024 |
| [AmazonSecurityLakePermissionsBoundary](#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary): actualización de una política actual | Security Lake agregó acciones de SID a la política. | 13 de mayo de 2024 |
| [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager): actualización de una política actual | Security Lake actualizó la política para añadir una acción de limpieza de metadatos que le permite eliminar los metadatos de su lago de datos. | 27 de marzo de 2024 |
| [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator): actualización de una política actual | Security Lake actualizó la política para permitir `iam:PassRole` el nuevo `AmazonSecurityLakeMetastoreManagerV2` rol y permitir a Security Lake implementar o actualizar los componentes del lago de datos. | 23 de febrero de 2024 |
| [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager): política nueva | Security Lake agregó una nueva política administrada que otorga permisos a Security Lake para administrar los metadatos de su lago de datos. | 23 de enero de 2024 |
| [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator): política nueva | Security Lake agregó una nueva política administrada que otorga al principal acceso total a todas las acciones de Security Lake. | 30 de mayo de 2023 |
| Security Lake comenzó a rastrear los cambios | Security Lake comenzó a rastrear los cambios en sus políticas AWS administradas. | 29 de noviembre de 2022 |
# Uso de roles vinculados a servicios para Security Lake
[Security Lake usa roles vinculados a AWS Identity and Access Management servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un rol de IAM que está vinculado directamente a Security Lake. Security Lake lo predefine e incluye todos los permisos que Security Lake necesita para llamar a otras personas Servicios de AWS en su nombre y operar el servicio de lago de datos de seguridad. Security Lake utiliza esta función vinculada al servicio en todos los lugares en los Regiones de AWS que Security Lake está disponible.
La función vinculada al servicio elimina la necesidad de añadir manualmente los permisos necesarios al configurar Security Lake. Security Lake define los permisos de este rol vinculado al servicio y, a menos que se defina lo contrario, solo Security Lake puede asumir el rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*. Solo puede eliminar un rol vinculado a servicios únicamente después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios con la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para revisar la documentación acerca del rol vinculado al servicio en cuestión.
**Topics**
+ [Permisos de rol vinculado a servicios (SLR) para Security Lake](slr-permissions.md)
+ [Permisos de rol vinculado a servicios (SLR) para la administración de recursos](AWSServiceRoleForSecurityLakeResourceManagement.md)
# Permisos de rol vinculado a servicios (SLR) para Security Lake
Security Lake usa el rol vinculado al servicio denominado. `AWSServiceRoleForSecurityLake` Este rol vinculado a servicios confía en el servicio `securitylake.amazonaws.com` para asumir el rol. Para obtener más información sobre las políticas AWS gestionadas de Amazon Security Lake, consulte [AWS gestionar las políticas de Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html).
La política de permisos del rol, denominada política AWS administrada`SecurityLakeServiceLinkedRole`, permite a Security Lake crear y operar el lago de datos de seguridad. También permite a Security Lake realizar tareas como las siguientes en los recursos especificados:
+ Utilice AWS Organizations acciones para recuperar información sobre las cuentas asociadas
+ Utilice Amazon Elastic Compute Cloud (Amazon EC2) para recuperar información sobre los registros de flujo de Amazon VPC
+ Utilice AWS CloudTrail acciones para recuperar información sobre el rol vinculado al servicio
+ Utilice AWS WAF acciones para recopilar AWS WAF registros cuando esté habilitada como fuente de registros en Security Lake
+ Utilice `LogDelivery` esta acción para crear o eliminar una suscripción de entrega de AWS WAF registros.
Para revisar los permisos de esta política, consulte [SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html) en la *Guía de referencia de la política administrada de AWS *.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear el rol vinculado al servicio de Security Lake
No es necesario crear manualmente el rol `AWSServiceRoleForSecurityLake` vinculado al servicio para Security Lake. Cuando habilita Security Lake para usted Cuenta de AWS, Security Lake crea automáticamente el rol vinculado al servicio.
## Edición del rol vinculado al servicio de Security Lake
Security Lake no permite editar el rol vinculado al `AWSServiceRoleForSecurityLake` servicio. Una vez creado un rol vinculado a servicios, no puede cambiar el nombre del rol porque varias entidades pueden hacer referencia a este. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar el rol vinculado al servicio de Security Lake
No puede eliminar el rol vinculado al servicio de Security Lake. En su lugar, puede eliminar el rol vinculado al servicio de la consola de IAM, la API o. AWS CLI Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
Antes de poder eliminar el rol vinculado al servicio, primero debe confirmar que el rol no tiene sesiones activas y eliminar todos los recursos que esté utilizando. `AWSServiceRoleForSecurityLake`
**nota**
Si Security Lake utiliza el `AWSServiceRoleForSecurityLake` rol al intentar eliminar los recursos, es posible que no se pueda eliminar. En ese caso, espere unos minutos e intente de nuevo la operación.
Si elimina el rol `AWSServiceRoleForSecurityLake` vinculado al servicio y necesita volver a crearlo, puede volver a crearlo habilitando Security Lake en su cuenta. Cuando vuelva a activar Security Lake, Security Lake volverá a crear automáticamente el rol vinculado al servicio.
## Compatible con el Regiones de AWS rol vinculado al servicio de Security Lake
Security Lake admite el uso del rol `AWSServiceRoleForSecurityLake` vinculado al servicio en todos los Regiones de AWS lugares donde Security Lake esté disponible. Para obtener una lista de las regiones en las que Security Lake está disponible actualmente, consulte [Regiones y puntos finales de Security Lake](supported-regions.md).
# Permisos de rol vinculado a servicios (SLR) para la administración de recursos
Security Lake utiliza la función vinculada al servicio denominada `AWSServiceRoleForSecurityLakeResourceManagement` para realizar una supervisión continua y mejorar el rendimiento, lo que puede reducir la latencia y los costes. Este rol vinculado a servicios confía en el servicio `resource-management.securitylake.amazonaws.com` para asumir el rol. Al habilitarlo, también `AWSServiceRoleForSecurityLakeResourceManagement` tendrá acceso a Lake Formation y registrará automáticamente los depósitos S3 gestionados por Security Lake en Lake Formation en todas las regiones para mejorar la seguridad.
La política de permisos del rol, que recibe el nombre de política AWS administrada`SecurityLakeResourceManagementServiceRolePolicy`, permite acceder a los recursos de administración creados por Security Lake, incluida la administración de los metadatos de su lago de datos. Para obtener más información sobre las políticas AWS administradas de Amazon Security Lake, consulte [Políticas AWS administradas de Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement.html).
Esta función vinculada a un servicio permite a Security Lake supervisar el estado de los recursos desplegados por Security Lake (S3 Bucket, AWS Glue tablas, Amazon SQS Queue, función Lambda de Metastore Manager (MSM) y reglas) en su cuenta. EventBridge Algunos ejemplos de operaciones que Security Lake puede realizar con esta función vinculada al servicio son:
+ Compactación de archivos de manifiesto de Apache Iceberg, que mejora el rendimiento de las consultas y reduce los tiempos y costes de procesamiento de MSM de Lambda.
+ Supervise el estado de Amazon SQS para detectar problemas de ingesta.
+ Optimice la replicación de datos entre regiones para excluir los archivos de metadatos.
**nota**
Si no instala la función `AWSServiceRoleForSecurityLakeResourceManagement` vinculada al servicio, Security Lake seguirá funcionando, pero se recomienda encarecidamente que acepte esta función vinculada al servicio para que Security Lake pueda supervisar y optimizar los recursos de su cuenta.
**Detalles de los permisos**
El rol se configura con la siguiente política de permisos:
+ `events`— Permite a los directores gestionar EventBridge las reglas necesarias para las fuentes de registro y los suscriptores de registros.
+ `lambda`— Permite a los directores administrar la lambda utilizada para actualizar las particiones de la AWS Glue tabla tras la entrega de la AWS fuente y la replicación entre regiones.
+ `glue`— Permite a los directores realizar acciones de escritura específicas para las tablas del catálogo de datos. AWS Glue Esto también permite a AWS Glue los rastreadores identificar las particiones de los datos y permite a Security Lake gestionar los metadatos de Apache Iceberg para las tablas de Apache Iceberg.
+ `s3`— Permite a los directores realizar acciones específicas de lectura y escritura en los cubos de Security Lake que contienen datos de registro y metadatos de la tabla Glue.
+ `logs`— Permite a los directores el acceso de lectura para registrar la salida de la función CloudWatch Lambda en Logs.
+ `sqs`— Permite a los directores realizar acciones específicas de lectura y escritura para las colas de Amazon SQS que reciben notificaciones de eventos cuando se añaden o actualizan objetos en su lago de datos.
+ `lakeformation`— Permite a los directores leer la configuración de Lake Formation para detectar errores de configuración.
Para revisar los permisos de esta política, consulte [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html) en la *Guía de referencia de la política administrada de AWS *.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación del rol vinculado al servicio de Security Lake
Puede crear el rol `AWSServiceRoleForSecurityLakeResourceManagement` vinculado al servicio para Security Lake mediante la consola de Security Lake o el. AWS CLI
Para crear el rol vinculado al servicio, debe conceder los siguientes permisos a su usuario o rol de IAM. El rol de IAM debe ser el de administrador de Lake Formation en todas las regiones habilitadas para Security Lake.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLakeFormationActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"lakeformation:GrantPermissions",
"lakeformation:ListPermissions",
"lakeformation:ListResources",
"lakeformation:RegisterResource",
"lakeformation:RevokePermissions"
],
"Resource": "*"
},
{
"Sid": "AllowIamActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": [
"arn:*:iam::*:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement",
"arn:*:iam::*:role/*AWSServiceRoleForLakeFormationDataAccess",
"arn:*:iam::aws:policy/service-role/AWSGlueServiceRole",
"arn:*:iam::aws:policy/service-role/AmazonSecurityLakeMetastoreManager",
"arn:*:iam::aws:policy/aws-service-role/SecurityLakeResourceManagementServiceRolePolicy"
],
"Condition": {
"StringLikeIfExists": {
"iam:AWSServiceName": [
"securitylake.amazonaws.com",
"resource-management.securitylake.amazonaws.com",
"lakeformation.amazonaws.com"
]
}
}
},
{
"Sid": "AllowGlueActionsViaConsole",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetTables"
],
"Resource": [
"arn:*:glue:*:*:catalog",
"arn:*:glue:*:*:database/amazon_security_lake_glue_db*",
"arn:*:glue:*:*:table/amazon_security_lake_glue_db*/*"
]
}
]
}
```
------
------
#### [ Console ]
1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).
1. Acepte el nuevo rol vinculado al servicio haciendo clic en **Habilitar el rol vinculado al servicio** en la barra de información de la página de resumen.
Una vez que haya habilitado el rol vinculado al servicio, no necesitará repetir este proceso para usar Security Lake en el futuro.
------
#### [ CLI ]
Para crear el rol `AWSServiceRoleForSecurityLakeResourceManagement` vinculado al servicio mediante programación, utilice el siguiente comando CLI.
```
$ aws iam create-service-linked-role
--aws-service-name resource-management.securitylake.amazonaws.com
```
Al crear el rol `AWSServiceRoleForSecurityLakeResourceManagement` vinculado al servicio mediante AWS CLI, también debe concederle permisos de nivel de tabla de Lake Formation (ALTER, DESCRIBE) en todas las tablas de la base de datos de Security Lake Glue para administrar los metadatos de las tablas y acceder a los datos. Si las tablas de Glue de cualquier región hacen referencia a depósitos de S3 de una activación anterior de Security Lake, debe conceder temporalmente los permisos de DATA\$1LOCATION\$1ACCESS al rol vinculado al servicio para que Security Lake pueda solucionar esta situación.
También tienes que conceder permisos a Lake Formation para el rol `AWSServiceRoleForSecurityLakeResourceManagement` vinculado al servicio de tu cuenta.
El siguiente ejemplo muestra cómo conceder los permisos de Lake Formation al rol vinculado al servicio en la región designada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws lakeformation grant-permissions --region {region} --principal DataLakePrincipalIdentifier={AWSServiceRoleForSecurityLakeResourceManagement ARN} \
--permissions ALTER DESCRIBE --resource '{ "Table": { "DatabaseName": "amazon_security_lake_glue_db_{region}", "TableWildcard": {} } }'
```
El siguiente ejemplo muestra el aspecto que tendrá el ARN del rol. Debe editar el ARN del rol para que coincida con su región.
`"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"`
También puedes usar la llamada a la [CreateServiceLinkedRole](https://docs.aws.amazon.com//IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API. En la solicitud, especifique el `AWSServiceName` as`resource-management.securitylake.amazonaws.com`.
------
Tras habilitar la `AWSServiceRoleForSecurityLakeResourceManagement` función, si utiliza la clave gestionada por el AWS KMS cliente (CMK) para el cifrado, debe permitir que la función vinculada al servicio escriba objetos cifrados en los depósitos de S3 de AWS las regiones en las que existe la CMK. En la AWS KMS consola, añada la siguiente política a la clave KMS en las regiones en las que existe la AWS CMK. Para obtener más información sobre cómo cambiar la política clave de KMS, consulte [las políticas clave AWS KMS en](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) la Guía para AWS Key Management Service desarrolladores.
```
{
"Sid": "Allow SLR",
"Effect": "Allow",
"Principal": {
"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::[regional-datalake-s3-bucket-name]"
},
"StringLike": {
"kms:ViaService": "s3.[region].amazonaws.com"
}
}
},
```
## Edición del rol vinculado al servicio de Security Lake
Security Lake no permite editar el rol vinculado al `AWSServiceRoleForSecurityLakeResourceManagement` servicio. Una vez creado un rol vinculado a servicios, no puede cambiar el nombre del rol porque varias entidades pueden hacer referencia a este. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar el rol vinculado al servicio de Security Lake
No puede eliminar el rol vinculado al servicio de Security Lake. En su lugar, puede eliminar el rol vinculado al servicio de la consola de IAM, la API o. AWS CLI Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
Antes de poder eliminar el rol vinculado al servicio, primero debe confirmar que el rol no tiene sesiones activas y eliminar todos los recursos que esté utilizando. `AWSServiceRoleForSecurityLakeResourceManagement`
**nota**
Si Security Lake utiliza el `AWSServiceRoleForSecurityLakeResourceManagement` rol al intentar eliminar los recursos, es posible que no se pueda eliminar. En ese caso, espere unos minutos e intente de nuevo la operación.
Si elimina el rol `AWSServiceRoleForSecurityLakeResourceManagement` vinculado al servicio y necesita volver a crearlo, puede volver a crearlo habilitando Security Lake en su cuenta. Cuando vuelva a activar Security Lake, Security Lake volverá a crear automáticamente el rol vinculado al servicio.
## Compatible con el Regiones de AWS rol vinculado al servicio de Security Lake
Security Lake admite el uso del rol `AWSServiceRoleForSecurityLakeResourceManagement` vinculado al servicio en todos los Regiones de AWS lugares donde Security Lake esté disponible. Para obtener una lista de las regiones en las que Security Lake está disponible actualmente, consulte [Regiones y puntos finales de Security Lake](supported-regions.md).
# Protección de los datos en Amazon Security Lake
El [modelo de ](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a protección de datos en Amazon Security Lake. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Security Lake u otro dispositivo Servicios de AWS mediante la consola, la API o. AWS CLI AWS SDKs Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya la información de las credenciales en la URL para validar la solicitud para ese servidor.
## Cifrado en reposo
Amazon Security Lake almacena de forma segura sus datos en reposo mediante soluciones de AWS cifrado. Los registros de seguridad sin procesar y los datos de eventos se almacenan en depósitos de [Amazon Simple Storage Service (Amazon S3) multiusuario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/common-bucket-patterns.html#multi-tenant-buckets) y específicos de origen en una cuenta que administra Security Lake. Cada fuente de registro tiene su propio depósito multiusuario. Security Lake cifra estos datos sin procesar con una [clave AWS propia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) de AWS Key Management Service ()AWS KMS. AWS Las claves propias son un conjunto de AWS KMS claves que un AWS servicio, en este caso Security Lake, posee y administra para su uso en varias cuentas. AWS
Security Lake ejecuta trabajos de extracción, transformación y carga (ETL) en datos de registro y eventos sin procesar.
Una vez finalizadas las tareas de ETL, Security Lake crea depósitos de S3 de un solo usuario en su cuenta (un depósito por cada uno en el Región de AWS que haya activado Security Lake). Los datos se almacenan en los depósitos de S3 de múltiples inquilinos solo de forma temporal hasta que Security Lake pueda entregarlos de forma fiable a los depósitos de S3 de un solo inquilino. Los buckets de un solo inquino incluyen una política basada en los recursos que permite a Security Lake escribir datos de registro y eventos en los buckets. [Para cifrar los datos de su depósito de S3, puede elegir una clave de [cifrado gestionada por S3 o una clave gestionada por](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) el cliente (de).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS KMS Ambas opciones utilizan el cifrado simétrico.
### Uso de una clave KMS para el cifrado de datos
De forma predeterminada, los datos que envía Security Lake a su bucket se cifran mediante el sistema de Amazon de cifrado del lado del servidor con [claves de cifrado administradas mediante Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html). Para proporcionar una capa de seguridad que administre directamente, puede utilizar el [cifrado con AWS KMS claves del lado del servidor (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)) para sus datos de Security Lake.
La consola de Security Lake no admite SSE-KMS. Para usar SSE-KMS con la API o CLI de Security Lake, primero debe [crear una clave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) o usar una clave existente. Es preciso adjuntar una política a la clave que determine qué usuarios pueden utilizar la clave para cifrar y descifrar datos de Security Lake.
Si usa una clave administrada por el cliente para cifrar los datos que están escritos en su bucket de S3, no podrá elegir una clave multirregional. En el caso de las claves administradas por el cliente, Security Lake crea una [concesión](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en su nombre enviando una solicitud `CreateGrant` a AWS KMS. Las concesiones in AWS KMS se utilizan para dar a Security Lake acceso a una clave KMS de la cuenta de un cliente.
Security Lake necesita la concesión para utilizar la clave administrada por el cliente para las siguientes operaciones internas:
+ Envíe `GenerateDataKey` solicitudes AWS KMS para generar claves de datos cifradas por su clave administrada por el cliente.
+ Envíe `RetireGrant` las solicitudes a AWS KMS. Al realizar actualizaciones en su lago de datos, esta operación permite retirar la subvención que se agregó a la clave de AWS KMS para el procesamiento de ETL.
Security Lake no necesita permisos de `Decrypt`. Cuando los usuarios autorizados de la clave leen datos de Security Lake, S3 administrar el descifrado y los usuarios autorizados pueden leer datos ya sin cifrado. Sin embargo, un suscriptor necesita permisos `Decrypt` para consumir los datos de origen. Para obtener más información acerca de los permisos de suscriptor, consulte [Administrar el acceso a los datos para los suscriptores de Security Lake](subscriber-data-access.md).
Si desea utilizar una clave de KMS existente para cifrar los datos de Security Lake, debe modificar la política de claves de la clave de KMS. La política clave debe permitir que la función de IAM asociada a la ubicación del lago de datos de Lake Formation utilice la clave KMS para descifrar los datos. Para obtener instrucciones sobre cómo cambiar la política de claves de una clave de KMS, consulte [Cambiar una política de claves](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying.html) en la Guía para AWS Key Management Service desarrolladores.
Su clave de KMS puede aceptar solicitudes de concesión, lo que permite a Security Lake acceder a la clave, siempre que cree una política de claves o utilice una política de claves existente con los permisos adecuados. Para obtener instrucciones sobre cómo crear una política de claves, consulte [Creación de una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) en la *Guía para desarrolladores de AWS Key Management Service *.
Adjunte la siguiente política de claves a la clave de KMS:
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "*"
}
```
### Permisos de IAM necesarios cuando se utiliza una clave administrada por el cliente
Consulte la sección [Primeros pasos: requisitos previos](get-started-programmatic.md#prerequisites) para obtener una descripción general de los roles de IAM que debe crear para usar Security Lake.
Al añadir un origen personalizado o un suscriptor, Security Lake crea roles de IAM en su cuenta. Estos roles están diseñados para compartirse con otras identidades de IAM. Permiten que un origen personalizado escriba datos en el lago de datos y que un suscriptor consuma datos del lago de datos. Una política AWS administrada denominada `AmazonSecurityLakePermissionsBoundary` establece los límites de los permisos para estas funciones.
### Cifrado de colas de Amazon SQS
Al crear el lago de datos, Security Lake crea dos colas de Amazon Simple Queue Service (Amazon SQS) sin cifrar en la cuenta de administrador de Security Lake delegada. Debe cifrar estas colas para proteger los datos. El cifrado del servidor (SSE) predeterminado proporcionado por Amazon Simple Queue Service no es suficiente. Debe crear una clave gestionada por el cliente en AWS Key Management Service (AWS KMS) para cifrar las colas y conceder al servicio Amazon S3 los permisos principales para trabajar con las colas cifradas. Para obtener instrucciones sobre la concesión de estos permisos, consulte [¿Por qué no se envían las notificaciones de eventos de Amazon S3 a una cola de Amazon SQS que utiliza](https://repost.aws/knowledge-center/sqs-s3-event-notification-sse) cifrado del lado del servidor? en el Knowledge Center. AWS
Dado que Security Lake AWS Lambda admite tareas de extracción, transferencia y carga (ETL) en sus datos, también debe conceder permisos a Lambda para gestionar los mensajes de las colas de Amazon SQS. Para obtener información, consulte [Permisos del rol de ejecución](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#events-sqs-permissions) en la *Guía para desarrolladores de AWS Lambda *.
## Cifrado en tránsito
Security Lake cifra todos los datos en tránsito entre los servicios. AWS Security Lake protege los datos en tránsito, a medida que viajan hacia y desde el servicio, cifrando automáticamente todos los datos entre redes mediante el protocolo de cifrado seguridad de la capa de transporte (TLS) 1.2. Las solicitudes HTTPS directas que se envían al Security Lake APIs se firman mediante el [algoritmo AWS Signature versión 4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html) para establecer una conexión segura.
# Desactivación del uso de los datos para mejorar el servicio
Puede optar por no utilizar sus datos para desarrollar y mejorar Security Lake y otros servicios de AWS seguridad mediante la política de AWS Organizations exclusión. Puede optar por que se le excluya incluso si Security Lake no recopila actualmente dichos datos. Para más información sobre cómo excluirse, consulte [Políticas de exclusión de servicios de IA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) en la *Guía del usuario de AWS Organizations *.
En la actualidad, Security Lake no recopila ninguno de los datos de seguridad que procesa en su nombre ni los datos de seguridad que usted carga en su lago de datos de seguridad creado por este servicio. Para desarrollar y mejorar el servicio Security Lake y las funcionalidades de otros servicios de AWS seguridad, Security Lake puede recopilar dichos datos en el futuro, incluidos los datos que cargue de fuentes de datos de terceros. Actualizaremos esta página cuando Security Lake pretenda recopilar dichos datos y describiremos cómo se realizará. Seguirá teniendo la oportunidad de no participar en la recopilación en cualquier momento.
**nota**
Para poder utilizar la política de exclusión voluntaria, sus AWS cuentas deben estar gestionadas de forma centralizada por AWS Organizations. Si aún no ha creado una organización para sus AWS cuentas, consulte [Creación y administración de una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) en la *Guía del AWS Organizations usuario*.
La exclusión tiene los siguientes efectos:
+ Security Lake eliminará los datos que ha recopilado y almacenado antes de su exclusión voluntaria (si los hubiera).
+ Tras optar por no participar voluntariamente, Security Lake ya no recopilará ni almacenará estos datos.
# Validación de la conformidad para Amazon Security Lake
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Prácticas recomendadas de seguridad para Security Lake
Vea las prácticas recomendadas siguientes para trabajar con Amazon Security Lake.
## Otorgar los permisos mínimos posibles a los usuarios de Security Lake
Siga el principio del privilegio mínimo y conceda el conjunto mínimo de permisos de política de acceso a sus usuarios AWS Identity and Access Management (IAM), grupos de usuarios y funciones. Por ejemplo, puede permitir que un usuario de IAM vea una lista de orígenes de registro en Security Lake, pero no cree orígenes ni suscriptores. Para obtener más información, consulte [Ejemplos de políticas basadas en la identidad para Security Lake](security_iam_id-based-policy-examples.md)
También puede utilizarla AWS CloudTrail para realizar un seguimiento del uso de la API en Security Lake. CloudTrail proporciona un registro de las acciones de API realizadas por un usuario, grupo o rol en Security Lake. Para obtener más información, consulte [Registro de llamadas a la API de Security Lake mediante CloudTrail](securitylake-cloudtrail.md).
## Ver la página de resumen de Resumen
La página **Resumen** de la consola de Security Lake proporciona información general sobre los problemas de los últimos 14 días que están afectando al servicio de Security Lake y a los buckets de Amazon S3 en los que se almacenan sus datos. Puede investigar más a fondo estos problemas para mitigar el posible impacto relacionado con la seguridad.
## Integre con Security Hub CSPM
Integre Security Lake y reciba AWS Security Hub CSPM las conclusiones del CSPM de Security Hub en Security Lake. Security Hub CSPM genera hallazgos a partir de muchas integraciones diferentes Servicios de AWS y de terceros. Recibir las conclusiones del CSPM de Security Hub le ayuda a obtener una visión general de su postura de cumplimiento y de si está cumpliendo con las mejores prácticas AWS de seguridad.
Para obtener más información, consulte [Integración con AWS Security Hub CSPM](securityhub-integration.md).
## Eliminar AWS Lambda
Al eliminar una AWS Lambda función, le recomendamos que no la desactive primero. La desactivación de una función de Lambda antes de eliminarla podría interferir con las capacidades de consulta de datos y, potencialmente, afectar a otras funcionalidades. Es mejor eliminar la función Lambda directamente sin deshabilitarla. Para obtener más información sobre la eliminación de la función Lambda, consulte la guía para [AWS Lambda desarrolladores](https://docs.aws.amazon.com//lambda/latest/dg/example_lambda_DeleteFunction_section.html).
## Supervisión de los eventos de Security Lake
Puedes monitorizar Security Lake con CloudWatch las métricas de Amazon. CloudWatch recopila datos sin procesar de Security Lake cada minuto y los procesa para convertirlos en métricas. Puede configurar alarmas que activen notificaciones cuando las métricas coincidan con los umbrales especificados.
Para obtener más información, consulte [CloudWatch métricas de Amazon Security Lake](cloudwatch-metrics.md).
# Resiliencia de Amazon Security Lake
La infraestructura AWS global se basa en zonas Regiones de AWS de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Estas zonas de disponibilidad ofrecen un medio eficaz de diseñar y utilizar aplicaciones y bases de datos. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
La disponibilidad de Security Lake está vinculada a la disponibilidad de la región. La distribución en varias zonas de disponibilidad ayuda al servicio a tolerar los fallos en una sola zona de disponibilidad.
La disponibilidad del plano de datos de Security Lake no está vinculada a la disponibilidad de ninguna región. Sin embargo, la disponibilidad del plano de control de Security Lake está estrechamente vinculada a la disponibilidad en la región Este de EE. UU. (Norte de Virginia).
[Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Además de la infraestructura AWS global, Security Lake, en la que los datos están respaldados por Amazon Simple Storage Service (Amazon S3), ofrece varias funciones que ayudan a respaldar sus necesidades de respaldo y resiliencia de datos.
**Configuración del ciclo de vida**
La configuración del ciclo de vida es un conjunto de reglas que definen acciones que Amazon S3 aplica a un grupo de objetos. Con las reglas de configuración del ciclo de vida, puede indicarle a Amazon S3 que pase los objetos a otras clases de almacenamiento más económicas, que los archive o que los elimine. Para obtener más información, consulte [Administración del ciclo de vida de almacenamiento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) en la *Guía del usuario de Amazon S3*.
**Control de versiones**
El control de versiones es una forma de conservar diversas variantes de un objeto en el mismo bucket. Puede utilizar el control de versiones para conservar, recuperar y restaurar todas las versiones de los objetos almacenados en su bucket de Amazon S3. EL control de versiones ayuda a recuperarse de acciones no deseadas del usuario y de errores de la aplicación. Para obtener más información, consulte [Uso del control de versiones en buckets de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) en la *Guía de usuario de Amazon S3*.
**Clases de almacenamiento**
Amazon S3 ofrece una gama de clases de almacenamiento para elegir según los requisitos de la carga de trabajo. Las clases de almacenamiento S3 Standard-IA y S3 One Zone-IA están diseñadas para datos a los que se accede aproximadamente una vez al mes y necesitan acceso en milisegundos. La clase de almacenamiento S3 Glacier Instant Retrieval está diseñada para datos de archivo de larga duración a los que se accede aproximadamente una vez por trimestre con acceso en milisegundos. Para los datos de archivo que no requieren acceso inmediato, como las copias de seguridad, puede utilizar las clases de almacenamiento S3 Glacier Flexible Retrieval o S3 Glacier Deep Archive. Para obtener más información, consulte [Uso de clases de almacenamiento de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) en la *Guía para usuarios de Amazon S3*.
# Seguridad de infraestructuras en Amazon Security Lake
Como servicio gestionado, Amazon Security Lake está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Las llamadas a la API AWS publicadas se utilizan para acceder a Security Lake a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
# Configuración y análisis de vulnerabilidades en Security Lake
La configuración y los controles de TI son una responsabilidad compartida entre usted AWS y usted, nuestro cliente. Para obtener más información, consulte el [modelo de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Amazon Security Lake y puntos de enlace de VPC de interfaz ()AWS PrivateLink
Puede establecer una conexión privada entre su VPC y Amazon Security Lake mediante la creación de un punto de enlace de *VPC* de interfaz. Los puntos finales de la interfaz funcionan con una tecnología que le permite acceder de forma privada a Security Lake APIs sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión AWS Direct Connect. [AWS PrivateLink](https://aws.amazon.com/privatelink) Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con Security Lake. APIs El tráfico entre tu VPC y Security Lake no sale de la red de Amazon.
Cada punto de conexión de la interfaz está representado por una o más [interfaces de red elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) en las subredes.
Para obtener más información, consulte [Puntos de conexión de VPC de interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) en la *Guía de AWS PrivateLink *.
## Consideraciones sobre los puntos finales de VPC de Security Lake
*Antes de configurar un punto final de VPC de interfaz para Security Lake, asegúrese de revisar las [propiedades y limitaciones del punto final de la interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) en la AWS PrivateLink Guía.*
Security Lake permite realizar llamadas a todas sus acciones de API desde su VPC.
Security Lake admite puntos finales de VPC FIPS solo en las siguientes regiones donde existe FIPS:
+ Este de EE. UU. (Norte de Virginia)
+ Este de EE. UU. (Ohio)
+ Oeste de EE. UU. (Norte de California)
+ Oeste de EE. UU. (Oregón)
## Creación de un punto final de VPC de interfaz para Security Lake
Puede crear un punto de enlace de VPC para el servicio Security Lake mediante la consola de Amazon VPC o el (). AWS Command Line Interface AWS CLI Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) en la *Guía de AWS PrivateLink *.
Cree un punto final de VPC para Security Lake con el siguiente nombre de servicio:
+ com.amazonaws. *region*.securitylake
+ com.amazonaws. *region*.securitylake-fips (punto final FIPS)
Si habilita el DNS privado para el punto final, puede realizar solicitudes de API a Security Lake utilizando su nombre de DNS predeterminado para la región, por ejemplo. `securitylake.us-east-1.amazonaws.com`
Para obtener más información, consulte [Acceso a un servicio a través de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) en la *Guía de AWS PrivateLink *.
## Creación de una política de puntos finales de VPC para Security Lake
Puede adjuntar una política de punto final a su punto final de VPC que controle el acceso a Security Lake. La política especifica la siguiente información:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía de AWS PrivateLink *.
**Ejemplo: política de puntos finales de VPC para acciones de Security Lake**
El siguiente es un ejemplo de una política de puntos finales para Security Lake. Cuando se adjunta a un punto final, esta política otorga acceso a las acciones de Security Lake enumeradas a todos los principales de todos los recursos.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"securitylake:ListDataLakes",
"securitylake:ListLogSources",
"securitylake:ListSubscribers"
],
"Resource":"*"
}
]
}
```
## Subredes compartidas
No puede crear, describir, modificar ni eliminar puntos de conexión de VPC en subredes que se compartan con usted. No obstante, puede usar los puntos de conexión de VPC en las subredes que se compartan con usted. Para obtener información sobre el uso compartido de VPC, consulte [Compartir su VPC con otras cuentas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) en la *Guía del usuario de Amazon VPC*.
# Supervisión de Amazon Security Lake
Security Lake se integra con AWS CloudTrail, que es un servicio que proporciona un registro de las acciones que un usuario, un rol u otro realizó en Security Lake Servicio de AWS. Entre estas se incluyen las acciones realizadas desde la consola de Security Lake y las llamadas mediante programación a las operaciones de la API de Security Lake. Al utilizar la información recopilada por CloudTrail, puede determinar qué solicitudes se realizaron a Security Lake. Para cada solicitud, puede identificar cuándo se realizó, la dirección IP desde la que se realizó, quién la realizó e información adicional. Para obtener más información, consulte [Registro de llamadas a la API de Security Lake mediante CloudTrail](securitylake-cloudtrail.md).
Security Lake y Amazon CloudWatch están integrados, por lo que puede recopilar, ver y analizar las métricas de los registros que recopila Security Lake. CloudWatch Las métricas de su lago de datos de Security Lake se recopilan automáticamente y se actualizan CloudWatch en intervalos de un minuto. También puede configurar una alarma que le envíe una notificación si se llega a un umbral especificado en una métrica de Security Lake. Para ver una lista de todas las métricas a las que envía Security Lake CloudWatch, consulte[Métricas y dimensiones de Security Lake](cloudwatch-metrics.md#available-securitylake-metrics).
# CloudWatch métricas de Amazon Security Lake
Puedes monitorizar Security Lake con Amazon CloudWatch, que recopila datos sin procesar cada minuto y los procesa para convertirlos en métricas legibles prácticamente en tiempo real. Estas estadísticas se mantienen durante 15 meses, de forma que pueda obtener acceso a información histórica y disponer de una mejor perspectiva sobre los datos del lago de datos. También puede establecer alarmas que vigilen determinados umbrales y enviar notificaciones o realizar acciones cuando se cumplan dichos umbrales.
**Topics**
+ [Métricas y dimensiones de Security Lake](#available-securitylake-metrics)
+ [Visualización CloudWatch de las métricas de Security Lake](#view-securitylake-metrics)
+ [Configurar CloudWatch alarmas para las métricas de Security Lake](#securitylake-alarm-metrics)
## Métricas y dimensiones de Security Lake
El espacio de nombres de `AWS/SecurityLake` incluye las siguientes métricas.
| Métrica | Description (Descripción) |
| --- | --- |
| `ProcessedSize` | El volumen de datos compatibles de forma nativa Servicios de AWS que se encuentra actualmente almacenado en su lago de datos. Unidades: bytes |
Las siguientes dimensiones están disponibles para métricas de Security Lake.
| Dimensión | Description (Descripción) |
| --- | --- |
| `Account` | Métrica de `ProcessedSize` para una Cuenta de AWS específica. Esta dimensión solo está disponible cuando la ves activada. `Per-Account Source Version Metrics` CloudWatch |
| `Region` | Métrica de `ProcessedSize` para una Región de AWS específica. |
| `Source` | `ProcessedSize`métrica para una fuente de AWS registro específica. |
| `SourceVersion` | `ProcessedSize`métrica para una versión específica de una fuente de AWS registro. |
Puedes ver las métricas de una cuenta específica Cuentas de AWS (`Per-Account Source Version Metrics`) o de todas las cuentas de una organización (`Per-Source Version Metrics`).
## Visualización CloudWatch de las métricas de Security Lake
Puede supervisar las métricas de Security Lake mediante la CloudWatch consola, la propia interfaz CloudWatch de línea de comandos (CLI) o mediante programación mediante la CloudWatch API. Elija el método que prefiera y siga estos pasos para acceder a las métricas de Security Lake.
------
#### [ CloudWatch console ]
1. Abra la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. En el panel de navegación, elija **Métricas, Todas las métricas**.
1. En la pestaña **Explorar**, seleccione **Security Lake**.
1. Seleccione **Métricas de versión de origen por cuenta** o **Métricas de versión por origen**.
1. Seleccione una métrica para verla en detalle. También puede hacer lo siguiente:
+ Para ordenar las métricas, utilice el encabezado de columna.
+ Para representar gráficamente una métrica, seleccione su nombre y elija una opción de representación gráfica.
+ Para filtrar por métrica, seleccione el nombre de la métrica y, a continuación, **Añadir a búsqueda**.
------
#### [ CloudWatch API ]
Para acceder a las métricas de Security Lake mediante la CloudWatch API, utilice la [https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)acción.
------
#### [ AWS CLI ]
Para acceder a las métricas de Security Lake mediante el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html)comando.
------
Para obtener más información sobre la supervisión mediante métricas, consulta Cómo [usar CloudWatch métricas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) en la *Guía del CloudWatch usuario de Amazon*.
## Configurar CloudWatch alarmas para las métricas de Security Lake
CloudWatch también permite configurar alarmas cuando se alcanza un umbral para una métrica. Por ejemplo, puede configurar una alarma para la **ProcessedSize**métrica, de modo que se le notifique cuando el volumen de datos de una fuente específica supere un umbral específico.
Para obtener instrucciones sobre cómo configurar las alarmas, consulta [Uso de CloudWatch las alarmas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) en la *Guía del CloudWatch usuario de Amazon*.