Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité à Security Lake
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez de centres de données et d'architectures réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon Security Lake, consultez la section [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation de Security Lake. Les rubriques suivantes expliquent comment configurer Security Lake pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources Security Lake.
**Topics**
+ [Gestion des identités et des accès pour Security Lake](security-iam.md)
+ [Protection des données dans Amazon Security Lake](data-protection.md)
+ [Validation de conformité pour Amazon Security Lake](compliance-validation.md)
+ [Bonnes pratiques en matière de sécurité pour Security Lake](best-practices-overview.md)
+ [Résilience dans Amazon Security Lake](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure dans Amazon Security Lake](infrastructure-security.md)
+ [Analyse de configuration et de vulnérabilité dans Security Lake](configuration-vulnerability-analysis.md)
+ [Amazon Security Lake et points de terminaison VPC d'interface ()AWS PrivateLink](security-vpc-endpoints.md)
+ [Surveillance d'Amazon Security Lake](monitoring-overview.md)
# Gestion des identités et des accès pour Security Lake
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources de Security Lake. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment Security Lake fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité pour Security Lake](security_iam_id-based-policy-examples.md)
+ [AWS politiques gérées pour Security Lake](security-iam-awsmanpol.md)
+ [Utilisation de rôles liés à un service pour Security Lake](using-service-linked-roles.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes d'identité et d'accès à Amazon Security Lake](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Security Lake fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité pour Security Lake](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération AWS CLI ou AWS API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment Security Lake fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à Security Lake, découvrez quelles fonctionnalités IAM peuvent être utilisées avec Security Lake.
**Fonctionnalités IAM que vous pouvez utiliser avec Amazon Security Lake**
| Fonctionnalité IAM | Support de Security Lake |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies) | Oui |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition de politique](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| [ACLs](#security_iam_service-with-iam-acls) | Non |
| [ABAC (étiquettes dans les politiques)](#security_iam_service-with-iam-tags) | Oui |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Autorisations de principal](#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles du service](#security_iam_service-with-iam-roles-service) | Non |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Oui |
Pour obtenir une vue d'ensemble du fonctionnement de Security Lake et des autres AWS services avec la plupart des fonctionnalités IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur *IAM*.
## Politiques basées sur l'identité pour Security Lake
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
Security Lake prend en charge les politiques basées sur l'identité. Pour de plus amples informations, veuillez consulter [Exemples de politiques basées sur l'identité pour Security Lake](security_iam_id-based-policy-examples.md).
## Politiques basées sur les ressources au sein de Security Lake
**Prend en charge les politiques basées sur les ressources** : oui
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS
Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
Le service Security Lake crée des politiques basées sur les ressources pour les compartiments Amazon S3 qui stockent vos données. Vous n'associez pas ces politiques basées sur les ressources à vos compartiments S3. Security Lake crée automatiquement ces politiques en votre nom.
Un exemple de ressource est un compartiment S3 dont le nom de ressource Amazon (ARN) est`arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}`. Dans cet exemple, `region` il s'agit d'une chaîne alphanumérique spécifique à Région AWS laquelle vous avez activé Security Lake. `bucket-identifier` Il s'agit d'une chaîne alphanumérique unique au niveau régional que Security Lake attribue au bucket. Security Lake crée le compartiment S3 pour stocker les données de cette région. La politique de ressources définit les principaux autorisés à effectuer des actions sur le compartiment. Voici un exemple de politique basée sur les ressources (stratégie de compartiment) que Security Lake attache au compartiment :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}/*",
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "PutSecurityLakeObject",
"Effect": "Allow",
"Principal": {
"Service": "securitylake.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}/*",
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{DA-AccountID}",
"s3:x-amz-acl": "bucket-owner-full-control"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:securitylake:us-east-1:111122223333:*"
}
}
}
]
}
```
------
*Pour en savoir plus sur les politiques basées sur les ressources, consultez les sections Politiques basées sur l'[identité et politiques basées sur les ressources dans le Guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html).*
## Actions politiques pour Security Lake
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Pour obtenir la liste des actions de Security Lake, consultez la section [Actions définies par Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) dans le *Service Authorization Reference*.
Les actions politiques dans Security Lake utilisent le préfixe suivant avant l'action :
```
securitylake
```
Par exemple, pour autoriser un utilisateur à accéder aux informations concernant un abonné spécifique, incluez l'`securitylake:GetSubscriber`action dans la politique attribuée à cet utilisateur. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`. Security Lake définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"securitylake:action1",
"securitylake:action2"
]
```
Pour consulter des exemples de politiques basées sur l'identité de Security Lake, consultez. [Exemples de politiques basées sur l'identité pour Security Lake](security_iam_id-based-policy-examples.md)
## Ressources relatives aux politiques pour Security Lake
**Prend en charge les ressources de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Security Lake définit les types de ressources suivants : abonné et configuration du lac de données pour une ressource Compte AWS en particulier Région AWS. Vous pouvez spécifier ces types de ressources dans les politiques en utilisant ARNs.
Pour obtenir la liste des types de ressources Security Lake et la syntaxe ARN de chacun d'entre eux, consultez la section [Types de ressources définis par Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-resources-for-iam-policies) dans le *Service Authorization Reference*. Pour savoir quelles actions vous pouvez spécifier pour chaque type de ressource, consultez la section [Actions définies par Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) dans le *Service Authorization Reference*.
Pour consulter des exemples de politiques basées sur l'identité de Security Lake, consultez. [Exemples de politiques basées sur l'identité pour Security Lake](security_iam_id-based-policy-examples.md)
## Clés de condition des politiques pour Security Lake
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour obtenir la liste des clés de condition de Security Lake, consultez la section [Clés de condition pour Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-policy-keys) dans la *référence d'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez la section [Actions définies par Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) dans le *Service Authorization Reference*. Pour des exemples de politiques utilisant des clés de condition, consultez[Exemples de politiques basées sur l'identité pour Security Lake](security_iam_id-based-policy-examples.md).
## Listes de contrôle d'accès (ACLs) dans Security Lake
**Supports ACLs :** Non
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Security Lake ne le prend pas en charge ACLs, ce qui signifie que vous ne pouvez pas associer une ACL à une ressource Security Lake.
## Contrôle d'accès basé sur les attributs (ABAC) avec Security Lake
**Prise en charge d’ABAC (balises dans les politiques) :** Oui
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
Vous pouvez associer des balises aux ressources de Security Lake : les abonnés et la configuration du lac de données pour un Compte AWS utilisateur individuel. Régions AWS Vous pouvez également contrôler l'accès à ces types de ressources en fournissant des informations de balise dans l'`Condition`élément d'une politique. Pour plus d'informations sur le balisage des ressources de Security Lake, consultez[Marquage des ressources de Security Lake](tagging-resources.md). Pour un exemple de politique basée sur l'identité qui contrôle l'accès à une ressource en fonction des balises associées à cette ressource, consultez. [Exemples de politiques basées sur l'identité pour Security Lake](security_iam_id-based-policy-examples.md)
## Utilisation d'informations d'identification temporaires avec Security Lake
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
Security Lake prend en charge l'utilisation d'informations d'identification temporaires.
## Sessions d'accès direct pour Security Lake
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Certaines actions de Security Lake nécessitent des autorisations pour des actions supplémentaires dépendantes dans d'autres Services AWS. Pour obtenir la liste de ces actions, consultez la section [Actions définies par Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) dans le *Service Authorization Reference*.
## Rôles de service pour Security Lake
**Prend en charge les rôles de service :** Non
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
Security Lake n'assume ni n'utilise de rôles de service. Toutefois, les services connexes tels qu'Amazon EventBridge et Amazon S3 assument des rôles de service lorsque vous utilisez Security Lake. AWS Lambda Pour effectuer des actions en votre nom, Security Lake utilise un rôle lié à un service.
**Avertissement**
La modification des autorisations associées à un rôle de service peut entraîner des problèmes opérationnels liés à votre utilisation de Security Lake. Modifiez les rôles de service uniquement lorsque Security Lake fournit des instructions à cet effet.
## Rôles liés aux services pour Security Lake
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre Compte AWS fichier et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Security Lake utilise un rôle lié à un service IAM nommé. `AWSServiceRoleForAmazonSecurityLake` Le rôle lié au service Security Lake accorde les autorisations nécessaires pour exploiter un service de lac de données de sécurité pour le compte des clients. Ce rôle lié à un service est un rôle IAM directement lié à Security Lake. Il est prédéfini par Security Lake et inclut toutes les autorisations dont Security Lake a besoin pour appeler d'autres personnes Services AWS en votre nom. Security Lake utilise ce rôle lié au service partout Régions AWS où Security Lake est disponible.
Pour plus de détails sur la création ou la gestion du rôle lié au service Security Lake, consultez. [Utilisation de rôles liés à un service pour Security Lake](using-service-linked-roles.md)
# Exemples de politiques basées sur l'identité pour Security Lake
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier les ressources de Security Lake. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par Security Lake, y compris le format ARNs de chaque type de ressource, consultez la section [Actions, ressources et clés de condition pour Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html) dans la *référence d'autorisation de service*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console Security Lake](#security_iam_id-based-policy-examples-console)
+ [Exemple : Autoriser les utilisateurs à afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Exemple : autoriser le compte de gestion de l'organisation à désigner et supprimer un administrateur délégué](#security_iam_id-based-policy-examples-orgs)
+ [Exemple : autoriser les utilisateurs à évaluer les abonnés en fonction des balises](#security_iam_id-based-policy-examples-review-subscribers-tags)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer les ressources Security Lake de votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console Security Lake
Pour accéder à la console Amazon Security Lake, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher des informations détaillées sur les ressources Security Lake de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent utiliser la console Security Lake, créez des politiques IAM qui leur fournissent un accès à la console. Pour plus d'informations, consultez la section [Identités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le Guide de l'*utilisateur IAM*.
Si vous créez une politique qui autorise les utilisateurs ou les rôles à utiliser la console Security Lake, assurez-vous qu'elle inclut les actions appropriées pour les ressources auxquelles ces utilisateurs ou rôles doivent accéder sur la console. Dans le cas contraire, ils ne pourront pas accéder à ces ressources ou les afficher sur la console.
Par exemple, pour ajouter une source personnalisée à l'aide de la console, un utilisateur doit être autorisé à effectuer les actions suivantes :
+ `glue:CreateCrawler`
+ `glue:CreateDatabase`
+ `glue:CreateTable`
+ `glue:StartCrawlerSchedule`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `iam:DeleteRolePolicy`
+ `iam:PassRole`
+ `lakeformation:RegisterResource`
+ `lakeformation:GrantPermissions`
+ `s3:ListBucket`
+ `s3:PutObject`
## Exemple : Autoriser les utilisateurs à afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Exemple : autoriser le compte de gestion de l'organisation à désigner et supprimer un administrateur délégué
Cet exemple montre comment créer une politique qui permet à l'utilisateur d'un compte de AWS Organizations gestion de désigner et de supprimer l'administrateur délégué de Security Lake pour son organisation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"securitylake:RegisterDataLakeDelegatedAdministrator",
"securitylake:DeregisterDataLakeDelegatedAdministrator"
],
"Resource": "arn:aws:securitylake:*:*:*"
}
]
}
```
------
## Exemple : autoriser les utilisateurs à évaluer les abonnés en fonction des balises
Dans les politiques basées sur l'identité, vous pouvez utiliser des conditions pour contrôler l'accès aux ressources de Security Lake en fonction de balises. Cet exemple montre comment créer une politique permettant à un utilisateur d'évaluer les abonnés à l'aide de la console Security Lake ou de l'API Security Lake. Toutefois, l'autorisation n'est accordée que si la valeur du `Owner` tag pour un abonné est le nom d'utilisateur de l'utilisateur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewSubscriberDetailsIfOwner",
"Effect": "Allow",
"Action": "securitylake:GetSubscriber",
"Resource": "arn:aws:securitylake:*:*:subscriber/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
},
{
"Sid": "ListSubscribersIfOwner",
"Effect": "Allow",
"Action": "securitylake:ListSubscribers",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Dans cet exemple, si un utilisateur possédant le nom d'utilisateur `richard-roe` tente de consulter les informations relatives à des abonnés individuels, un abonné doit être étiqueté `Owner=richard-roe` ou`owner=richard-roe`. Dans le cas contraire, l’utilisateur se voit refuser l'accès. La clé de condition de balise `Owner` correspond à la fois à `Owner` et à `owner`, car les noms de clé de condition ne sont pas sensibles à la casse. Pour plus d'informations sur l'utilisation des clés de condition, voir [Éléments de politique IAM JSON : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le guide de l'*utilisateur IAM*. Pour plus d'informations sur le balisage des ressources de Security Lake, consultez[Marquage des ressources de Security Lake](tagging-resources.md).
# AWS politiques gérées pour Security Lake
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AmazonSecurityLakeMetastoreManager
Amazon Security Lake utilise une AWS Lambda fonction pour gérer les métadonnées de votre lac de données. Grâce à cette fonction, Security Lake peut indexer les partitions Amazon Simple Storage Service (Amazon S3) contenant vos données et vos fichiers de données dans les tables AWS Glue du catalogue de données. Cette politique gérée contient toutes les autorisations permettant à la fonction Lambda d'indexer les partitions S3 et les fichiers de données dans les AWS Glue tables.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes :
+ `logs`— Permet aux principaux de consigner la sortie de la fonction Lambda dans Amazon CloudWatch Logs.
+ `glue`— Permet aux principaux d'effectuer des actions d'écriture spécifiques pour les tables du catalogue de AWS Glue données. Cela permet également aux AWS Glue robots d'exploration d'identifier les partitions de vos données.
+ `sqs`— Permet aux principaux d'effectuer des actions de lecture et d'écriture spécifiques pour les files d'attente Amazon SQS qui envoient des notifications d'événements lorsque des objets sont ajoutés ou mis à jour dans votre lac de données.
+ `s3`— Permet aux principaux d'effectuer des actions de lecture et d'écriture spécifiques pour le compartiment Amazon S3 qui contient vos données.
Pour consulter les autorisations associées à cette politique, consultez [AmazonSecurityLakeMetastoreManager](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeMetastoreManager.html)le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AmazonSecurityLakePermissionsBoundary
Amazon Security Lake crée des rôles IAM pour les sources personnalisées tierces afin d'écrire des données dans le lac de données et pour les abonnés personnalisés tiers pour consommer les données du lac de données, et utilise cette politique lors de la création de ces rôles afin de définir les limites de leurs autorisations. Il n'est pas nécessaire de prendre des mesures pour utiliser cette politique. Si le lac de données est chiffré à l'aide d'une AWS KMS clé gérée par le client `kms:Decrypt` et que `kms:GenerateDataKey` des autorisations sont ajoutées.
Pour consulter les autorisations associées à cette politique, consultez [AmazonSecurityLakePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakePermissionsBoundary.html)le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AmazonSecurityLakeAdministrator
Vous pouvez associer la `AmazonSecurityLakeAdministrator` politique à un mandant avant qu'il n'active Amazon Security Lake pour son compte. Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les actions de Security Lake. Le principal peut ensuite s'intégrer à Security Lake, puis configurer les sources et les abonnés dans Security Lake.
Cette politique inclut les actions que les administrateurs de Security Lake peuvent effectuer sur d'autres AWS services via Security Lake.
La `AmazonSecurityLakeAdministrator` politique ne prend pas en charge la création des rôles utilitaires requis par Security Lake pour gérer la réplication interrégionale d'Amazon S3, l'enregistrement de nouvelles partitions de données AWS Glue, l'exécution d'un robot Glue sur les données ajoutées à des sources personnalisées ou la notification des nouvelles données aux abonnés des points de terminaison HTTPS. Vous pouvez créer ces rôles à l'avance, comme décrit dans[Commencer à utiliser Amazon Security Lake](getting-started.md).
Outre la politique `AmazonSecurityLakeAdministrator` gérée, Security Lake nécessite des `lakeformation:PutDataLakeSettings` autorisations pour les fonctions d'intégration et de configuration. `PutDataLakeSettings`permet de définir un directeur IAM en tant qu'administrateur de toutes les ressources régionales de Lake Formation du compte. Ce `iam:CreateRole permission` rôle doit être assorti d'une `AmazonSecurityLakeAdministrator` politique.
Les administrateurs de Lake Formation ont un accès complet à la console Lake Formation et contrôlent la configuration initiale des données et les autorisations d'accès. Security Lake attribue le principal qui active Security Lake et le `AmazonSecurityLakeMetaStoreManager` rôle (ou tout autre rôle spécifié) en tant qu'administrateurs de Lake Formation afin qu'ils puissent créer des tables, mettre à jour le schéma des tables, enregistrer de nouvelles partitions et configurer des autorisations sur les tables. Vous devez inclure les autorisations suivantes dans la politique relative à l'utilisateur ou au rôle d'administrateur de Security Lake :
**Note**
Pour fournir des autorisations suffisantes pour accorder un accès aux abonnés basé sur Lake Formation, Security Lake recommande d'ajouter les `glue:PutResourcePolicy` autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutLakeFormationSettings",
"Effect": "Allow",
"Action": "lakeformation:PutDatalakeSettings",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "securitylake.amazonaws.com"
}
}
},
{
"Sid": "AllowGlueActions",
"Effect": "Allow",
"Action": ["glue:PutResourcePolicy", "glue:DeleteResourcePolicy"],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
"arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "securitylake.amazonaws.com"
}
}
}
]
}
```
------
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `securitylake`— Permet aux principaux un accès complet à toutes les actions de Security Lake.
+ `organizations`— Permet aux directeurs de récupérer des informations auprès des AWS Organizations concernant les comptes d'une organisation. Si un compte appartient à une organisation, ces autorisations permettent à la console Security Lake d'afficher les noms et numéros de compte.
+ `iam`— Permet aux principaux de créer des rôles liés aux services pour Security Lake et, AWS Lake Formation comme étape obligatoire Amazon EventBridge, lors de l'activation de ces services. Permet également de créer et de modifier des politiques pour les rôles d'abonné et de source personnalisée, les autorisations associées à ces rôles étant limitées à ce qui est autorisé par la `AmazonSecurityLakePermissionsBoundary` politique.
+ `ram`— Permet aux principaux de configurer l'accès aux requêtes Lake Formation basé sur les requêtes par les abonnés aux sources de Security Lake.
+ `s3`— Permet aux directeurs de créer et de gérer des compartiments Security Lake, et de lire le contenu de ces compartiments.
+ `lambda`— Permet aux principaux de gérer les partitions Lambda utilisées pour mettre à jour les partitions de AWS Glue table après la livraison de la AWS source et la réplication entre régions.
+ `glue`— Permet aux principaux de créer et de gérer la base de données et les tables de Security Lake.
+ `lakeformation`— Permet aux principaux de gérer les Lake Formation autorisations pour les tables Security Lake.
+ `events`— Permet aux principaux de gérer les règles utilisées pour informer les abonnés des nouvelles données dans les sources de Security Lake.
+ `sqs`— Permet aux principaux de créer et de gérer les Amazon SQS files d'attente utilisées pour informer les abonnés des nouvelles données dans les sources de Security Lake.
+ `kms`— Permet aux principaux d'autoriser Security Lake à écrire des données à l'aide d'une clé gérée par le client.
+ `secretsmanager`— Permet aux principaux de gérer les secrets utilisés pour informer les abonnés des nouvelles données dans les sources de Security Lake via des points de terminaison HTTPS.
Pour consulter les autorisations associées à cette politique, consultez [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html)le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : SecurityLakeServiceLinkedRole
Security Lake utilise le rôle lié au service nommé `AWSServiceRoleForSecurityLake` pour créer et exploiter le lac de données de sécurité.
Vous ne pouvez pas associer la politique `SecurityLakeServiceLinkedRole` gérée à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet à Security Lake d'effectuer des actions en votre nom. Pour plus d'informations, consultez la section [Autorisations de rôle liées à un service pour Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/slr-permissions.html).
## AWS politique gérée : SecurityLakeResourceManagementServiceRolePolicy
Security Lake utilise le rôle lié au service nommé `AWSServiceRoleForSecurityLakeResourceManagement` pour effectuer une surveillance continue et améliorer les performances, ce qui peut réduire la latence et les coûts. Permet d'accéder à la gestion des ressources créées par Security Lake. Permet à Security Lake de supprimer SecurityLake \$1Glue\$1Partition\$1Updater\$1Lambda. Ce lambda est devenu obsolète pour les clients qui ont effectué une migration Iceberg et sont passés aux sources v2. Ce lambda utilisait le runtime Python 3.9 qui sera obsolète en décembre. Plutôt que de mettre à jour le runtime de ce lambda pour ces clients, il serait préférable de les supprimer. Nous avons un processus de restauration qui déterminera si le client a toujours besoin du lambda ou non et le supprimera s'il n'en a pas besoin. Cette mise à jour du SLR est requise afin de nous permettre de supprimer ce lambda.
Vous ne pouvez pas associer la politique `SecurityLakeResourceManagementServiceRolePolicy` gérée à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet à Security Lake d'effectuer des actions en votre nom. Pour plus d'informations, consultez la section [Autorisations de rôle liées à un service pour la gestion des ressources](https://docs.aws.amazon.com//security-lake/latest/userguide/AWSServiceRoleForSecurityLakeResourceManagement.html).
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `events`— Permet aux principaux de répertorier et de gérer les EventBridge règles relatives au traitement des événements de Security Lake.
+ `lambda`— Permet aux principaux de gérer les fonctions et les configurations Lambda pour le traitement des métadonnées de Security Lake, y compris la possibilité de supprimer les fonctions de mise à jour de partition obsolètes.
+ `glue`— Permet aux principaux de créer des partitions, de gérer des tables et d'accéder aux bases de données du catalogue de AWS Glue données pour la gestion des métadonnées de Security Lake.
+ `s3`— Permet aux principaux de gérer les configurations des compartiments Amazon S3, les politiques de cycle de vie et les objets de métadonnées pour les opérations du lac de données Security Lake.
+ `logs`— Permet aux principaux d'accéder aux flux de CloudWatch journaux et d'interroger les données des journaux pour les fonctions Lambda de Security Lake.
+ `sqs`— Permet aux principaux de gérer les files d'attente et les messages Amazon SQS pour les flux de travail de traitement des données de Security Lake.
+ `lakeformation`— Permet aux principaux de récupérer les paramètres et les autorisations du lac de données pour la gestion des ressources de Security Lake.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS politique gérée : AWS GlueServiceRole
La politique `AWS GlueServiceRole` gérée appelle le AWS Glue robot d'exploration et permet d' AWS Glue explorer les données source personnalisées et d'identifier les métadonnées de partition. Ces métadonnées sont nécessaires pour créer et mettre à jour des tables dans le catalogue de données.
Pour de plus amples informations, veuillez consulter [Collecte de données à partir de sources personnalisées dans Security Lake](custom-sources.md).
## Mises à jour des politiques AWS gérées par Security Lake
Consultez les détails des mises à jour des politiques AWS gérées pour Security Lake depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique des documents de Security Lake.
| Modifier | Description | Date |
| --- | --- | --- |
| [SecurityLakeResourceManagementServiceRolePolicy](#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement)— Politique existante mise à jour | Security Lake a mis à jour la politique gérée afin d'ajouter des `lambda:DeleteFunction` autorisations `SecurityLakeResourceManagementServiceRolePolicy` pour les fonctions SecurityLake \$1Glue\$1Partition\$1Updater\$1Lambda obsolètes. Cela permet à Security Lake de nettoyer les fonctions Lambda obsolètes dans le cadre de la migration vers les sources v2 et le format Iceberg. | 18 novembre 2025 |
| [AWSServiceRoleForSecurityLakeResourceManagement](AWSServiceRoleForSecurityLakeResourceManagement.md)— Politique existante mise à jour | Cette politique a été mise à jour pour remplacer l'`StringLike`opérateur par l'`ArnLike`opérateur afin d'évaluer les clés de type ARN pour le bloc « `lambda:FunctionArn` in the `aws:ResourceAccount` condition ». Cela permet une application plus sûre. | 25 septembre 2025 |
| [Rôle lié à un service pour Amazon Security Lake — Nouveau rôle lié](AWSServiceRoleForSecurityLakeResourceManagement.md) à un service | Nous avons ajouté un nouveau rôle lié au service. `AWSServiceRoleForSecurityLakeResourceManagement` Ce rôle lié à un service fournit des autorisations à Security Lake pour effectuer une surveillance continue et améliorer les performances, ce qui peut réduire la latence et les coûts. | 14 novembre 2024 |
| [Rôle lié à un service pour Amazon Security Lake](using-service-linked-roles.md) — Mise à jour des autorisations de rôle liées à un service existantes | Nous avons ajouté AWS WAF des actions à la stratégie AWS gérée pour la `SecurityLakeServiceLinkedRole` stratégie. Les actions supplémentaires permettent à Security Lake de collecter AWS WAF des journaux lorsqu'il est activé en tant que source de journaux dans Security Lake. | 22 mai 2024 |
| [AmazonSecurityLakePermissionsBoundary](#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary) : mise à jour d’une politique existante | Security Lake a ajouté des actions SID à la politique. | 13 mai 2024 |
| [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) : mise à jour d’une politique existante | Security Lake a mis à jour la politique pour ajouter une action de nettoyage des métadonnées qui vous permet de supprimer les métadonnées de votre lac de données. | 27 mars 2024 |
| [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) : mise à jour d’une politique existante | Security Lake a mis à jour la politique pour autoriser `iam:PassRole` le nouveau `AmazonSecurityLakeMetastoreManagerV2` rôle et permet à Security Lake de déployer ou de mettre à jour les composants du lac de données. | 23 février 2024 |
| [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) : nouvelle politique | Security Lake a ajouté une nouvelle politique gérée qui autorise Security Lake à gérer les métadonnées de votre lac de données. | 23 janvier 2024 |
| [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) : nouvelle politique | Security Lake a ajouté une nouvelle politique gérée qui accorde un accès complet principal à toutes les actions de Security Lake. | 30 mai 2023 |
| Security Lake a commencé à suivre les modifications | Security Lake a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 29 novembre 2022 |
# Utilisation de rôles liés à un service pour Security Lake
Security Lake utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un rôle IAM directement lié à Security Lake. Il est prédéfini par Security Lake et inclut toutes les autorisations dont Security Lake a besoin pour appeler d'autres Services AWS personnes en votre nom et exploiter le service Security Data Lake. Security Lake utilise ce rôle lié au service partout Régions AWS où Security Lake est disponible.
Le rôle lié au service élimine le besoin d'ajouter manuellement les autorisations nécessaires lors de la configuration de Security Lake. Security Lake définit les autorisations de ce rôle lié au service et, sauf indication contraire, seul Security Lake peut assumer le rôle. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*. Vous ne pouvez supprimer un rôle lié à un service qu'après avoir supprimé les ressources associées. Vos ressources sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l’autorisation d’accéder aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Cliquez sur **Oui** avec un lien pour consulter la documentation relative aux rôles liés à un service pour ce service.
**Topics**
+ [Autorisations de rôle lié à un service (SLR) pour Security Lake](slr-permissions.md)
+ [Autorisations de rôle lié à un service (SLR) pour la gestion des ressources](AWSServiceRoleForSecurityLakeResourceManagement.md)
# Autorisations de rôle lié à un service (SLR) pour Security Lake
Security Lake utilise le rôle lié au service nommé. `AWSServiceRoleForSecurityLake` Ce rôle lié au service fait confiance au `securitylake.amazonaws.com` service pour assumer le rôle. Pour plus d'informations sur les politiques AWS gérées pour Amazon Security Lake, consultez la section [AWS Gérer les politiques pour Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html).
La politique d'autorisations pour le rôle, qui est une stratégie AWS gérée nommée`SecurityLakeServiceLinkedRole`, permet à Security Lake de créer et d'exploiter le lac de données de sécurité. Cela permet également à Security Lake d'effectuer des tâches telles que les suivantes sur les ressources spécifiées :
+ Utiliser AWS Organizations des actions pour récupérer des informations sur les comptes associés
+ Utilisez Amazon Elastic Compute Cloud (Amazon EC2) pour récupérer des informations sur Amazon VPC Flow Logs
+ Utiliser AWS CloudTrail des actions pour récupérer des informations sur le rôle lié au service
+ Utiliser AWS WAF des actions pour collecter AWS WAF des journaux, lorsqu'il est activé en tant que source de journaux dans Security Lake
+ Utilisez l'`LogDelivery`action pour créer ou supprimer un abonnement de livraison de AWS WAF journaux.
Pour consulter les autorisations associées à cette politique, consultez [SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html)le *Guide de référence des politiques AWS gérées*.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création du rôle lié au service Security Lake
Il n'est pas nécessaire de créer manuellement le rôle `AWSServiceRoleForSecurityLake` lié à un service pour Security Lake. Lorsque vous activez Security Lake pour votre Compte AWS, Security Lake crée automatiquement le rôle lié au service pour vous.
## Modification du rôle lié au service Security Lake
Security Lake ne vous permet pas de modifier le rôle `AWSServiceRoleForSecurityLake` lié au service. Une fois qu'un rôle lié à un service est créé, vous ne pouvez pas modifier le nom du rôle car différentes entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Suppression du rôle lié au service Security Lake
Vous ne pouvez pas supprimer le rôle lié au service dans Security Lake. Au lieu de cela, vous pouvez supprimer le rôle lié au service de la console IAM, de l'API ou. AWS CLI Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
Avant de pouvoir supprimer le rôle lié à un service, vous devez d'abord confirmer qu'aucune session n'est active pour le rôle et supprimer toutes les ressources qui `AWSServiceRoleForSecurityLake` l'utilisent.
**Note**
Si Security Lake utilise le `AWSServiceRoleForSecurityLake` rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Dans ce cas, attendez quelques minutes, puis recommencez l'opération.
Si vous supprimez le rôle `AWSServiceRoleForSecurityLake` lié au service et que vous devez le créer à nouveau, vous pouvez le créer à nouveau en activant Security Lake pour votre compte. Lorsque vous réactivez Security Lake, Security Lake crée automatiquement le rôle lié au service pour vous.
## Pris en charge Régions AWS pour le rôle lié au service Security Lake
Security Lake prend en charge l'utilisation du rôle `AWSServiceRoleForSecurityLake` lié au service partout Régions AWS où Security Lake est disponible. Pour obtenir la liste des régions dans lesquelles Security Lake est actuellement disponible, consultez[Régions et points de terminaison de Security Lake](supported-regions.md).
# Autorisations de rôle lié à un service (SLR) pour la gestion des ressources
Security Lake utilise le rôle lié au service nommé `AWSServiceRoleForSecurityLakeResourceManagement` pour effectuer une surveillance continue et améliorer les performances, ce qui peut réduire la latence et les coûts. Ce rôle lié au service fait confiance au `resource-management.securitylake.amazonaws.com` service pour assumer le rôle. L'activation lui `AWSServiceRoleForSecurityLakeResourceManagement` donnera également accès à Lake Formation et enregistrera automatiquement vos compartiments S3 gérés par Security Lake auprès de Lake Formation dans toutes les régions pour une meilleure sécurité.
La politique d'autorisation pour le rôle, qui est une stratégie AWS gérée nommée`SecurityLakeResourceManagementServiceRolePolicy`, permet d'accéder aux ressources créées par Security Lake, notamment de gérer les métadonnées de votre lac de données. Pour plus d'informations sur les politiques AWS gérées pour Amazon Security Lake, consultez la section [Politiques AWS gérées pour Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement.html).
Ce rôle lié à un service permet à Security Lake de surveiller l'état des ressources déployées par Security Lake (compartiment S3, AWS Glue tables, file d'attente Amazon SQS, fonction Lambda de Metastore Manager (MSM) et règles) sur votre compte. EventBridge Voici quelques exemples d'opérations que Security Lake peut effectuer avec ce rôle lié à un service :
+ Le compactage des fichiers manifestes Apache Iceberg améliore les performances des requêtes et réduit les temps et les coûts de traitement par Lambda MSM.
+ Surveillez l'état d'Amazon SQS pour détecter les problèmes d'ingestion.
+ Optimisez la réplication des données entre régions pour exclure les fichiers de métadonnées.
**Note**
Si vous n'installez pas le rôle `AWSServiceRoleForSecurityLakeResourceManagement` lié au service, Security Lake continuera de fonctionner, mais il est vivement recommandé d'accepter ce rôle lié au service afin que Security Lake puisse surveiller et optimiser les ressources de votre compte.
**Détails de l’autorisation**
Le rôle est configuré selon la politique d'autorisation suivante :
+ `events`— Permet aux principaux de gérer les EventBridge règles requises pour les sources de journaux et les abonnés aux journaux.
+ `lambda`— Permet aux principaux de gérer le lambda utilisé pour mettre à jour les partitions de AWS Glue table après la livraison de la AWS source et la réplication entre régions.
+ `glue`— Permet aux principaux d'effectuer des actions d'écriture spécifiques pour les tables du catalogue de AWS Glue données. Cela permet également aux AWS Glue robots d'exploration d'identifier les partitions de vos données et à Security Lake de gérer les métadonnées Apache Iceberg pour vos tables Apache Iceberg.
+ `s3`— Permet aux principaux d'effectuer des actions de lecture et d'écriture spécifiques sur les compartiments Security Lake contenant les données du journal et les métadonnées de la table Glue.
+ `logs`— Autorise les principaux à accéder en lecture pour enregistrer la sortie de la fonction CloudWatch Lambda dans Logs.
+ `sqs`— Permet aux principaux d'effectuer des actions de lecture et d'écriture spécifiques pour les files d'attente Amazon SQS qui reçoivent des notifications d'événements lorsque des objets sont ajoutés ou mis à jour dans votre lac de données.
+ `lakeformation`— Permet aux directeurs de lire les paramètres de Lake Formation afin de détecter les erreurs de configuration.
Pour consulter les autorisations associées à cette politique, consultez [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html)le *Guide de référence des politiques AWS gérées*.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création du rôle lié au service Security Lake
Vous pouvez créer le rôle `AWSServiceRoleForSecurityLakeResourceManagement` lié à un service pour Security Lake à l'aide de la console Security Lake ou du. AWS CLI
Pour créer le rôle lié à un service, vous devez accorder les autorisations suivantes à votre utilisateur IAM ou à votre rôle IAM. Le rôle IAM doit être un administrateur de Lake Formation dans toutes les régions activées par Security Lake.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLakeFormationActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"lakeformation:GrantPermissions",
"lakeformation:ListPermissions",
"lakeformation:ListResources",
"lakeformation:RegisterResource",
"lakeformation:RevokePermissions"
],
"Resource": "*"
},
{
"Sid": "AllowIamActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": [
"arn:*:iam::*:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement",
"arn:*:iam::*:role/*AWSServiceRoleForLakeFormationDataAccess",
"arn:*:iam::aws:policy/service-role/AWSGlueServiceRole",
"arn:*:iam::aws:policy/service-role/AmazonSecurityLakeMetastoreManager",
"arn:*:iam::aws:policy/aws-service-role/SecurityLakeResourceManagementServiceRolePolicy"
],
"Condition": {
"StringLikeIfExists": {
"iam:AWSServiceName": [
"securitylake.amazonaws.com",
"resource-management.securitylake.amazonaws.com",
"lakeformation.amazonaws.com"
]
}
}
},
{
"Sid": "AllowGlueActionsViaConsole",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetTables"
],
"Resource": [
"arn:*:glue:*:*:catalog",
"arn:*:glue:*:*:database/amazon_security_lake_glue_db*",
"arn:*:glue:*:*:table/amazon_security_lake_glue_db*/*"
]
}
]
}
```
------
------
#### [ Console ]
1. Ouvrez la console Security Lake à l'adresse [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).
1. Acceptez le nouveau rôle lié au service en cliquant sur **Activer le rôle lié au service** dans la barre d'informations de la page Résumé.
Une fois que vous avez activé le rôle lié au service, vous n'aurez pas besoin de répéter ce processus pour une utilisation future de Security Lake.
------
#### [ CLI ]
Pour créer le rôle `AWSServiceRoleForSecurityLakeResourceManagement` lié au service par programmation, utilisez la commande CLI suivante.
```
$ aws iam create-service-linked-role
--aws-service-name resource-management.securitylake.amazonaws.com
```
Lorsque vous créez le rôle `AWSServiceRoleForSecurityLakeResourceManagement` lié à un service à l'aide de AWS CLI, vous devez également lui accorder des autorisations au niveau de la table Lake Formation (ALTER, DESCRIBE) sur toutes les tables de la base de données Security Lake Glue afin de gérer les métadonnées des tables et d'accéder aux données. Si les tables Glue d'une région font référence à des compartiments S3 issus de l'activation précédente de Security Lake, vous devez temporairement accorder à DATA\$1LOCATION\$1ACCESS des autorisations sur le rôle lié au service afin de permettre à Security Lake de remédier à cette situation.
Vous devez également autoriser Lake Formation à accéder au rôle `AWSServiceRoleForSecurityLakeResourceManagement` lié au service associé à votre compte.
L'exemple suivant montre comment accorder les autorisations de Lake Formation au rôle lié au service dans la région désignée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws lakeformation grant-permissions --region {region} --principal DataLakePrincipalIdentifier={AWSServiceRoleForSecurityLakeResourceManagement ARN} \
--permissions ALTER DESCRIBE --resource '{ "Table": { "DatabaseName": "amazon_security_lake_glue_db_{region}", "TableWildcard": {} } }'
```
L'exemple suivant montre à quoi ressemblera l'ARN du rôle. Vous devez modifier l'ARN du rôle pour qu'il corresponde à votre région.
`"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"`
Vous pouvez également utiliser l'appel [CreateServiceLinkedRole](https://docs.aws.amazon.com//IAM/latest/APIReference/API_CreateServiceLinkedRole.html)d'API. Dans la demande, spécifiez le `AWSServiceName` as`resource-management.securitylake.amazonaws.com`.
------
Après avoir activé le `AWSServiceRoleForSecurityLakeResourceManagement` rôle, si vous utilisez la clé gérée par le AWS KMS client (CMK) pour le chiffrement, vous devez autoriser le rôle lié au service à écrire des objets chiffrés dans des compartiments S3 dans les AWS régions où la clé CMK existe. Dans la AWS KMS console, ajoutez la politique suivante à la clé KMS dans les AWS régions où CMK existe. Pour en savoir plus sur la façon de modifier la politique des clés KMS, consultez la section [Politiques clés](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) du Guide du AWS Key Management Service développeur. AWS KMS
```
{
"Sid": "Allow SLR",
"Effect": "Allow",
"Principal": {
"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::[regional-datalake-s3-bucket-name]"
},
"StringLike": {
"kms:ViaService": "s3.[region].amazonaws.com"
}
}
},
```
## Modification du rôle lié au service Security Lake
Security Lake ne vous permet pas de modifier le rôle `AWSServiceRoleForSecurityLakeResourceManagement` lié au service. Une fois qu'un rôle lié à un service est créé, vous ne pouvez pas modifier le nom du rôle car différentes entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Suppression du rôle lié au service Security Lake
Vous ne pouvez pas supprimer le rôle lié au service dans Security Lake. Au lieu de cela, vous pouvez supprimer le rôle lié au service de la console IAM, de l'API ou. AWS CLI Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
Avant de pouvoir supprimer le rôle lié à un service, vous devez d'abord confirmer qu'aucune session n'est active pour le rôle et supprimer toutes les ressources qui `AWSServiceRoleForSecurityLakeResourceManagement` l'utilisent.
**Note**
Si Security Lake utilise le `AWSServiceRoleForSecurityLakeResourceManagement` rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Dans ce cas, attendez quelques minutes, puis recommencez l'opération.
Si vous supprimez le rôle `AWSServiceRoleForSecurityLakeResourceManagement` lié au service et que vous devez le créer à nouveau, vous pouvez le créer à nouveau en activant Security Lake pour votre compte. Lorsque vous réactivez Security Lake, Security Lake crée automatiquement le rôle lié au service pour vous.
## Pris en charge Régions AWS pour le rôle lié au service Security Lake
Security Lake prend en charge l'utilisation du rôle `AWSServiceRoleForSecurityLakeResourceManagement` lié au service partout Régions AWS où Security Lake est disponible. Pour obtenir la liste des régions dans lesquelles Security Lake est actuellement disponible, consultez[Régions et points de terminaison de Security Lake](supported-regions.md).
# Protection des données dans Amazon Security Lake
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans Amazon Security Lake. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *AWS Blog de sécurité*.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Security Lake ou un autre utilisateur Services AWS à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
## Chiffrement au repos
Amazon Security Lake stocke vos données au repos en toute sécurité à l'aide de solutions de AWS chiffrement. Les données brutes du journal de sécurité et des événements sont stockées dans des compartiments [Amazon Simple Storage Service (Amazon S3) multi-locataires spécifiques à](https://docs.aws.amazon.com/AmazonS3/latest/userguide/common-bucket-patterns.html#multi-tenant-buckets) la source dans un compte géré par Security Lake. Chaque source de log possède son propre bucket multi-tenant. Security Lake chiffre ces données brutes à l'aide d'une [cléAWS détenue par](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) AWS Key Management Service (AWS KMS). AWS les clés détenues sont un ensemble de AWS KMS clés qu'un AWS service (dans ce cas Security Lake) possède et gère pour une utilisation dans plusieurs comptes. AWS
Security Lake exécute des tâches d'extraction, de transformation et de chargement (ETL) sur les données brutes des journaux et des événements.
Une fois les tâches ETL terminées, Security Lake crée des compartiments S3 à locataire unique dans votre compte (un compartiment pour chacun des compartiments dans Région AWS lesquels vous avez activé Security Lake). Les données ne sont stockées dans les compartiments S3 à locataires multiples que temporairement jusqu'à ce que Security Lake puisse les fournir de manière fiable aux compartiments S3 à locataire unique. Les compartiments à locataire unique incluent une politique basée sur les ressources qui autorise Security Lake à écrire des données de journal et d'événement dans les compartiments. Pour chiffrer les données de votre compartiment S3, vous pouvez choisir une clé de [chiffrement gérée par S3 ou une clé gérée par](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) le [client (à](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) partir de). AWS KMS Les deux options utilisent le chiffrement symétrique.
### Utilisation d'une clé KMS pour le chiffrement de vos données
Par défaut, les données fournies par Security Lake à votre compartiment S3 sont chiffrées par chiffrement côté serveur Amazon avec des [clés de chiffrement gérées par Amazon S3 (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)). Pour fournir une couche de sécurité que vous gérez directement, vous pouvez plutôt utiliser le [chiffrement côté serveur avec AWS KMS clés (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) pour vos données Security Lake.
Le SSE-KMS n'est pas pris en charge dans la console Security Lake. Pour utiliser SSE-KMS avec l'API ou la CLI de Security Lake, vous devez d'abord [créer une clé KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) ou utiliser une clé existante. Vous attachez une politique à la clé qui détermine quels utilisateurs peuvent utiliser la clé pour chiffrer et déchiffrer les données de Security Lake.
Si vous utilisez une clé gérée par le client pour chiffrer les données écrites dans votre compartiment S3, vous ne pouvez pas choisir une clé multirégionale. Pour les clés gérées par le client, Security Lake crée une [subvention](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en votre nom en envoyant une `CreateGrant` demande à AWS KMS. Les subventions AWS KMS sont utilisées pour donner à Security Lake l'accès à une clé KMS dans un compte client.
Security Lake a besoin de l'autorisation d'utiliser votre clé gérée par le client pour les opérations internes suivantes :
+ Envoyez `GenerateDataKey` des demandes AWS KMS à pour générer des clés de données chiffrées par votre clé gérée par le client.
+ Envoyez vos `RetireGrant` demandes à AWS KMS. Lorsque vous mettez à jour votre lac de données, cette opération permet de retirer la subvention qui a été ajoutée à la clé AWS KMS pour le traitement ETL.
Security Lake n'a pas besoin d'`Decrypt`autorisations. Lorsque les utilisateurs autorisés de la clé lisent les données de Security Lake, S3 gère le déchiffrement et les utilisateurs autorisés peuvent lire les données sous forme non cryptée. Toutefois, un abonné a besoin `Decrypt` d'autorisations pour utiliser les données sources. Pour plus d'informations sur les autorisations des abonnés, consultez[Gestion de l'accès aux données pour les abonnés de Security Lake](subscriber-data-access.md).
Si vous souhaitez utiliser une clé KMS existante pour chiffrer les données de Security Lake, vous devez modifier la politique de clé pour la clé KMS. La politique clé doit autoriser le rôle IAM associé à l'emplacement du lac de données de Lake Formation à utiliser la clé KMS pour déchiffrer les données. Pour savoir comment modifier la politique clé d'une clé KMS, consultez la section [Modification d'une politique clé](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying.html) dans le manuel du AWS Key Management Service développeur.
Votre clé KMS peut accepter des demandes de subvention, ce qui permet à Security Lake d'accéder à la clé, lorsque vous créez une politique clé ou que vous utilisez une politique clé existante avec les autorisations appropriées. Pour obtenir des instructions sur la création d'une politique clé, consultez [la section Création d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) dans le *Guide du AWS Key Management Service développeur*.
Associez la politique clé suivante à votre clé KMS :
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "*"
}
```
### Autorisations IAM requises pour l'utilisation d'une clé gérée par le client
Consultez la section [Mise en route : conditions préalables](get-started-programmatic.md#prerequisites) pour obtenir un aperçu des rôles IAM que vous devez créer pour utiliser Security Lake.
Lorsque vous ajoutez une source personnalisée ou un abonné, Security Lake crée des rôles IAM dans votre compte. Ces rôles sont destinés à être partagés avec d'autres identités IAM. Ils permettent à une source personnalisée d'écrire des données dans le lac de données et à un abonné de consommer les données du lac de données. Une politique AWS gérée appelée `AmazonSecurityLakePermissionsBoundary` définit les limites d'autorisation pour ces rôles.
### Chiffrement des files d'attente Amazon SQS
Lorsque vous créez votre lac de données, Security Lake crée deux files d'attente Amazon Simple Queue Service (Amazon SQS) non chiffrées dans le compte administrateur délégué de Security Lake. Vous devez chiffrer ces files d'attente pour protéger vos données. Le chiffrement côté serveur (SSE) par défaut fourni par Amazon Simple Queue Service n'est pas suffisant. Vous devez créer une clé gérée par le client dans AWS Key Management Service (AWS KMS) pour chiffrer les files d'attente et accorder au service Amazon S3 les autorisations principales pour travailler avec les files d'attente chiffrées. Pour obtenir des instructions sur l'octroi de ces autorisations, consultez [Pourquoi les notifications d'événements Amazon S3 ne sont-elles pas envoyées à une file d'attente Amazon SQS qui utilise le chiffrement côté serveur](https://repost.aws/knowledge-center/sqs-s3-event-notification-sse) ? dans le AWS Knowledge Center.
Étant donné que Security Lake prend AWS Lambda en charge les tâches d'extraction, de transfert et de chargement (ETL) sur vos données, vous devez également accorder à Lambda des autorisations pour gérer les messages dans vos files d'attente Amazon SQS. Pour plus d'informations, consultez la section [Autorisations relatives aux rôles d'exécution](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#events-sqs-permissions) dans le *Guide du AWS Lambda développeur*.
## Chiffrement en transit
Security Lake chiffre toutes les données en transit entre les AWS services. Security Lake protège les données en transit, lorsqu'elles sont acheminées vers et depuis le service, en chiffrant automatiquement toutes les données interréseaux à l'aide du protocole de cryptage TLS (Transport Layer Security) 1.2. Les demandes HTTPS directes envoyées au Security Lake APIs sont signées à l'aide de l'[algorithme AWS Signature version 4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html) pour établir une connexion sécurisée.
# Refus d’utiliser vos données pour améliorer le service
Vous pouvez choisir de refuser que vos données soient utilisées pour développer et améliorer Security Lake et d'autres services de AWS sécurité en utilisant la politique de AWS Organizations désinscription. Vous pouvez choisir de vous désinscrire même si Security Lake ne collecte actuellement aucune donnée de ce type. Pour plus d'informations sur la procédure de désactivation, veuillez consulter [Politiques de désactivation des services IA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) dans le *Guide de l'utilisateur AWS Organizations *.
À l'heure actuelle, Security Lake ne collecte aucune des données de sécurité traitées en votre nom, ni les données de sécurité que vous téléchargez dans votre lac de données de sécurité créé par ce service. Pour développer et améliorer le service Security Lake et les fonctionnalités d'autres services de sécurité, AWS Security Lake peut collecter de telles données à l'avenir, y compris les données que vous téléchargez à partir de sources de données tierces. Nous mettrons à jour cette page lorsque Security Lake aura l'intention de collecter de telles données et décrirons comment cela fonctionnera. Vous aurez toujours la possibilité de vous désinscrire à tout moment.
**Note**
Pour que vous puissiez utiliser la politique de désinscription, vos AWS comptes doivent être gérés de manière centralisée par AWS Organizations. Si vous n'avez pas encore créé d'organisation pour vos AWS comptes, consultez la section [Création et gestion d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) dans le *Guide de AWS Organizations l'utilisateur*.
Les effets de la désactivation sont les suivants :
+ Security Lake supprimera les données collectées et stockées avant votre désinscription (le cas échéant).
+ Une fois que vous vous êtes désinscrit, Security Lake ne collectera ni ne stockera ces données.
# Validation de conformité pour Amazon Security Lake
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Bonnes pratiques en matière de sécurité pour Security Lake
Consultez les meilleures pratiques suivantes pour travailler avec Amazon Security Lake.
## Accorder aux utilisateurs de Security Lake les autorisations minimales possibles
Respectez le principe du moindre privilège en accordant l'ensemble minimal d'autorisations de politique d'accès à vos utilisateurs, groupes d'utilisateurs et rôles Gestion des identités et des accès AWS (IAM). Par exemple, vous pouvez autoriser un utilisateur IAM à consulter une liste de sources de journaux dans Security Lake, mais pas à créer des sources ou des abonnés. Pour de plus amples informations, consultez [Exemples de politiques basées sur l'identité pour Security Lake](security_iam_id-based-policy-examples.md).
Vous pouvez également l'utiliser AWS CloudTrail pour suivre l'utilisation des API dans Security Lake. CloudTrail fournit un enregistrement des actions d'API effectuées par un utilisateur, un groupe ou un rôle dans Security Lake. Pour de plus amples informations, veuillez consulter [Journalisation des appels d'API Security Lake à l'aide CloudTrail](securitylake-cloudtrail.md).
## Afficher la page de résumé
La page de **résumé** de la console Security Lake fournit un aperçu des problèmes survenus au cours des 14 derniers jours qui ont un impact sur le service Security Lake et les compartiments Amazon S3 dans lesquels vos données sont stockées. Vous pouvez étudier ces problèmes de manière plus approfondie afin d'atténuer les éventuels impacts liés à la sécurité.
## Intégrer à Security Hub CSPM
Intégrez Security Lake et recevez AWS Security Hub CSPM les résultats du Security Hub CSPM dans Security Lake. Security Hub CSPM génère des résultats à partir de nombreuses intégrations différentes Services AWS et tierces. La réception des résultats du Security Hub CSPM vous permet d'avoir une vue d'ensemble de votre niveau de conformité et de savoir si vous respectez les meilleures pratiques en matière AWS de sécurité.
Pour de plus amples informations, veuillez consulter [Intégration avec AWS Security Hub CSPM](securityhub-integration.md).
## Supprimer AWS Lambda
Lorsque vous supprimez une AWS Lambda fonction, il est déconseillé de la désactiver au préalable. La désactivation d'une fonction Lambda avant sa suppression peut interférer avec les capacités de requête de données et avoir un impact sur d'autres fonctionnalités. Il est préférable de supprimer directement la fonction Lambda sans la désactiver. Pour plus d'informations sur la suppression de la fonction Lambda, consultez le guide [AWS Lambda du développeur](https://docs.aws.amazon.com//lambda/latest/dg/example_lambda_DeleteFunction_section.html).
## Surveillez les événements de Security Lake
Vous pouvez surveiller Security Lake à l'aide CloudWatch des métriques Amazon. CloudWatch collecte les données brutes de Security Lake chaque minute et les traite en métriques. Vous pouvez définir des alarmes qui déclenchent des notifications lorsque les mesures atteignent des seuils spécifiés.
Pour de plus amples informations, veuillez consulter [CloudWatch métriques pour Amazon Security Lake](cloudwatch-metrics.md).
# Résilience dans Amazon Security Lake
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Ces zones de disponibilité vous offrent un moyen efficace de concevoir et d’exploiter des applications et des bases de données. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
La disponibilité de Security Lake est liée à la disponibilité de la région. La distribution sur plusieurs zones de disponibilité permet au service de tolérer les défaillances dans chaque zone de disponibilité.
La disponibilité du plan de données Security Lake n'est liée à la disponibilité d'aucune région. Cependant, la disponibilité du plan de contrôle de Security Lake est étroitement liée à la disponibilité dans la région de l'Est des États-Unis (Virginie du Nord).
Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
Outre l'infrastructure AWS mondiale, Security Lake, dont les données sont soutenues par Amazon Simple Storage Service (Amazon S3), propose plusieurs fonctionnalités pour répondre à vos besoins en matière de résilience et de sauvegarde des données.
**Configuration du cycle de vie**
Une configuration du cycle de vie est un ensemble de règles qui définit des action qu’Amazon S3 applique à un groupe d’objets. Avec des règles de configuration du cycle de vie, vous pouvez indiquer à Amazon S3 de passer à des classes de stockage moins onéreuses, de les archiver ou de les supprimer. Pour plus d'informations, veuillez consulter [Gestion du cycle de vie des objets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) dans le *Guide de l'utilisateur Amazon S3*.
**Contrôle de version**
La gestion des versions est un moyen de conserver plusieurs variantes d’un objet dans le même compartiment. Vous pouvez utiliser la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à vous remettre à la fois des actions involontaires de l'utilisateur et des défaillances d'applications. Pour plus d'informations, consultez la section [Utilisation du versionnement dans les compartiments S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) dans le guide de l'*utilisateur Amazon S3*.
**Classes de stockage**
Amazon S3 offre une gamme de classes de stockage à choisir en fonction des exigences de votre charge de travail. Les classes de stockage S3 Standard-IA et S3 One Zone-IA sont conçues pour les données auxquelles vous accédez environ une fois par mois et nécessitent un accès en millisecondes. La classe de stockage S3 Glacier Instant Retrieval est conçue pour les données d’archivage de longue durée accessibles avec un accès en millisecondes auxquelles vous accédez environ une fois par trimestre. Pour les données d’archivage qui ne nécessitent pas d’accès immédiat, telles que les sauvegardes, vous pouvez utiliser les classes de stockage S3 Glacier Flexible Retrieval ou S3 Glacier Deep Archive. Pour plus d'informations, consultez la section [Utilisation des classes de stockage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) dans le *guide de l'utilisateur Amazon S3*.
# Sécurité de l'infrastructure dans Amazon Security Lake
En tant que service géré, Amazon Security Lake est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à Security Lake via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
# Analyse de configuration et de vulnérabilité dans Security Lake
La configuration et les contrôles informatiques sont une responsabilité partagée entre vous AWS et vous, notre client. Pour plus d'informations, consultez le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Amazon Security Lake et points de terminaison VPC d'interface ()AWS PrivateLink
Vous pouvez établir une connexion privée entre votre VPC et Amazon Security Lake en créant un point de terminaison *VPC d'interface*. Les points de terminaison de l'interface sont alimentés par [AWS PrivateLink](https://aws.amazon.com/privatelink)une technologie qui vous permet d'accéder de manière privée à Security Lake APIs sans passerelle Internet, périphérique NAT, connexion VPN ou connexion AWS Direct Connect. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec Security Lake. APIs Le trafic entre votre VPC et Security Lake ne quitte pas le réseau Amazon.
Chaque point de terminaison d’interface est représenté par une ou plusieurs [interfaces réseau Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dans vos sous-réseaux.
*Pour plus d'informations, consultez la section [Interface VPC endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) dans le Guide.AWS PrivateLink *
## Considérations relatives aux points de terminaison VPC Security Lake
*Avant de configurer un point de terminaison VPC d'interface pour Security Lake, assurez-vous de consulter les [propriétés et les limites du point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) dans le AWS PrivateLink Guide.*
Security Lake prend en charge les appels à toutes ses actions d'API depuis votre VPC.
Security Lake prend en charge les points de terminaison VPC FIPS uniquement dans les régions suivantes où FIPS existe :
+ USA Est (Virginie du Nord)
+ USA Est (Ohio)
+ USA Ouest (Californie du Nord)
+ US West (Oregon)
## Création d'un point de terminaison VPC d'interface pour Security Lake
Vous pouvez créer un point de terminaison VPC pour le service Security Lake à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour plus d’informations, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) dans le *Guide AWS PrivateLink *.
Créez un point de terminaison VPC pour Security Lake en utilisant le nom de service suivant :
+ com.amazonaws. *region*.securitylake
+ com.amazonaws. *region*.securitylake-fips (point de terminaison FIPS)
Si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API à Security Lake en utilisant son nom DNS par défaut pour la région, par exemple,`securitylake.us-east-1.amazonaws.com`.
Pour plus d'informations, consultez la section [Accès à un service via un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) dans le *AWS PrivateLink Guide*.
## Création d'une politique de point de terminaison VPC pour Security Lake
Vous pouvez associer une politique de point de terminaison à votre point de terminaison VPC qui contrôle l'accès à Security Lake. La politique spécifie les informations suivantes :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
*Pour plus d'informations, consultez la section [Contrôler l'accès aux services avec des points de terminaison VPC dans le Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).AWS PrivateLink *
**Exemple : politique de point de terminaison VPC pour les actions de Security Lake**
Voici un exemple de politique de point de terminaison pour Security Lake. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux actions Security Lake répertoriées à tous les principaux sur toutes les ressources.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"securitylake:ListDataLakes",
"securitylake:ListLogSources",
"securitylake:ListSubscribers"
],
"Resource":"*"
}
]
}
```
## Sous-réseaux partagés
Vous ne pouvez pas créer, décrire, modifier ou supprimer des points de terminaison d'un VPC dans des sous-réseaux qui sont partagés avec vous. Toutefois, vous pouvez utiliser les points de terminaison d'un VPC dans les sous-réseaux qui sont partagés avec vous. Pour plus d'informations sur le partage de VPC, consultez [Partager votre VPC avec d'autres comptes](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) dans le *Guide de l'utilisateur Amazon VPC*.
# Surveillance d'Amazon Security Lake
Security Lake s'intègre AWS CloudTrailà un service qui fournit un enregistrement des actions entreprises dans Security Lake par un utilisateur, un rôle ou un autre Service AWS. Cela inclut les actions depuis la console Security Lake et les appels programmatiques aux opérations de l'API Security Lake. En utilisant les informations collectées par CloudTrail, vous pouvez déterminer quelles demandes ont été adressées à Security Lake. Pour chaque demande, vous pouvez identifier le moment où elle a été faite, l'adresse IP à partir de laquelle elle a été faite, qui l'a faite, ainsi que des détails supplémentaires. Pour de plus amples informations, veuillez consulter [Journalisation des appels d'API Security Lake à l'aide CloudTrail](securitylake-cloudtrail.md).
Security Lake et Amazon CloudWatch étant intégrés, vous pouvez collecter, consulter et analyser les métriques des journaux collectés par Security Lake. CloudWatch les métriques de votre lac de données Security Lake sont automatiquement collectées et transmises à CloudWatch intervalles d'une minute. Vous pouvez également configurer une alarme pour vous envoyer une notification si un seuil spécifié est atteint pour une métrique de Security Lake. Pour obtenir la liste de toutes les métriques auxquelles Security Lake envoie CloudWatch, consultez[Mesures et dimensions de Security Lake](cloudwatch-metrics.md#available-securitylake-metrics).
# CloudWatch métriques pour Amazon Security Lake
Vous pouvez surveiller Security Lake à l'aide d'Amazon CloudWatch, qui collecte des données brutes chaque minute et les transforme en indicateurs lisibles en temps quasi réel. Ces statistiques sont conservées pendant 15 mois, afin que vous puissiez accéder aux informations historiques et avoir une meilleure perspective des données de votre lac de données. Vous pouvez également définir des alarmes qui surveillent certains seuils et envoient des notifications ou prennent des mesures lorsque ces seuils sont atteints.
**Topics**
+ [Mesures et dimensions de Security Lake](#available-securitylake-metrics)
+ [Affichage CloudWatch des statistiques pour Security Lake](#view-securitylake-metrics)
+ [Configuration d' CloudWatch alarmes pour les métriques de Security Lake](#securitylake-alarm-metrics)
## Mesures et dimensions de Security Lake
L’espace de noms `AWS/SecurityLake` inclut les métriques suivantes.
| Métrique | Description |
| --- | --- |
| `ProcessedSize` | Volume de données prises en charge de manière native et Services AWS actuellement stockées dans votre lac de données. Unités : octets |
Les dimensions suivantes sont disponibles pour les métriques de Security Lake.
| Dimension | Description |
| --- | --- |
| `Account` | `ProcessedSize`métrique pour une donnée spécifique Compte AWS. Cette dimension n'est disponible que lorsque vous la `Per-Account Source Version Metrics` visualisez CloudWatch. |
| `Region` | `ProcessedSize`métrique pour une donnée spécifique Région AWS. |
| `Source` | `ProcessedSize`métrique pour une source de AWS journal spécifique. |
| `SourceVersion` | `ProcessedSize`métrique pour une version spécifique d'une source de AWS journal. |
Vous pouvez consulter les statistiques pour des comptes spécifiques Comptes AWS (`Per-Account Source Version Metrics`) ou pour tous les comptes d'une organisation (`Per-Source Version Metrics`).
## Affichage CloudWatch des statistiques pour Security Lake
Vous pouvez surveiller les métriques de Security Lake à l'aide de la CloudWatch console, CloudWatch de sa propre interface de ligne de commande (CLI) ou de manière programmatique à l'aide de l' CloudWatch API. Choisissez votre méthode préférée et suivez les étapes pour accéder aux métriques de Security Lake.
------
#### [ CloudWatch console ]
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le volet de navigation, choisissez **Metrics, All metrics**.
1. Dans l'onglet **Parcourir**, choisissez **Security Lake**.
1. Choisissez les mesures de **version source par compte ou les mesures** de **version par source**.
1. Sélectionnez une métrique pour l'afficher en détail. Vous pouvez également choisir d'effectuer les opérations suivantes :
+ Pour trier les métriques, utilisez l’en-tête de colonne.
+ Pour représenter graphiquement une métrique, sélectionnez le nom de la métrique, puis choisissez une option de représentation graphique.
+ Pour filtrer par métrique, sélectionnez le nom de la métrique, puis choisissez **Ajouter à la recherche**.
------
#### [ CloudWatch API ]
Pour accéder aux métriques de Security Lake à l'aide de l' CloudWatch API, utilisez l'[https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)action.
------
#### [ AWS CLI ]
Pour accéder aux métriques de Security Lake à l'aide de AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html)commande.
------
Pour plus d'informations sur la surveillance à l'aide de métriques, consultez la section [Utiliser CloudWatch les métriques Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
## Configuration d' CloudWatch alarmes pour les métriques de Security Lake
CloudWatch vous permet également de définir des alarmes lorsqu'un seuil est atteint pour une métrique. Par exemple, vous pouvez définir une alarme pour la **ProcessedSize**métrique, afin d'être averti lorsque le volume de données provenant d'une source spécifique dépasse un seuil spécifique.
Pour obtenir des instructions sur la configuration des alarmes, consultez la section [Utilisation des CloudWatch alarmes Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) *dans le guide de CloudWatch l'utilisateur Amazon*.