Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Keamanan di Danau Keamanan
<a name="security"></a>

Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku untuk Amazon Security Lake, lihat [AWS Layanan dalam Lingkup menurut AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku. 

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Security Lake. Topik berikut menunjukkan cara mengkonfigurasi Security Lake untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya Security Lake Anda. 

**Topics**
+ [Manajemen identitas dan akses untuk Security Lake](security-iam.md)
+ [Perlindungan data di Amazon Security Lake](data-protection.md)
+ [Validasi kepatuhan untuk Amazon Security Lake](compliance-validation.md)
+ [Praktik terbaik keamanan untuk Security Lake](best-practices-overview.md)
+ [Ketahanan di Danau Keamanan Amazon](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di Amazon Security Lake](infrastructure-security.md)
+ [Analisis konfigurasi dan kerentanan di Security Lake](configuration-vulnerability-analysis.md)
+ [Amazon Security Lake dan titik akhir VPC antarmuka ()AWS PrivateLink](security-vpc-endpoints.md)
+ [Memantau Danau Keamanan Amazon](monitoring-overview.md)

# Manajemen identitas dan akses untuk Security Lake
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Security Lake. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana Security Lake bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas untuk Security Lake](security_iam_id-based-policy-examples.md)
+ [AWS kebijakan terkelola untuk Security Lake](security-iam-awsmanpol.md)
+ [Menggunakan peran terkait layanan untuk Security Lake](using-service-linked-roles.md)

## Audiens
<a name="security_iam_audience"></a>

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah identitas dan akses Amazon Security Lake](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana Security Lake bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk Security Lake](security_iam_id-based-policy-examples.md))

## Mengautentikasi dengan identitas
<a name="security_iam_authentication"></a>

Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), otentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.

### Akun AWS pengguna root
<a name="security_iam_authentication-rootuser"></a>

 Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 

### Identitas terfederasi
<a name="security_iam_authentication-federated"></a>

Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.

*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensil dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.

Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.

### Pengguna dan grup IAM
<a name="security_iam_authentication-iamuser"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.

### Peran IAM
<a name="security_iam_authentication-iamrole"></a>

*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.

Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Mengelola akses menggunakan kebijakan
<a name="security_iam_access-manage"></a>

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

### Kebijakan berbasis identitas
<a name="security_iam_access-manage-id-based-policies"></a>

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.

### Kebijakan berbasis sumber daya
<a name="security_iam_access-manage-resource-based-policies"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.

### Jenis-jenis kebijakan lain
<a name="security_iam_access-manage-other-policies"></a>

AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.

### Berbagai jenis kebijakan
<a name="security_iam_access-manage-multiple-policies"></a>

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.

# Bagaimana Security Lake bekerja dengan IAM
<a name="security_iam_service-with-iam"></a>

Sebelum Anda menggunakan IAM untuk mengelola akses ke Security Lake, pelajari fitur IAM apa yang tersedia untuk digunakan dengan Security Lake.






**Fitur IAM yang dapat Anda gunakan dengan Amazon Security Lake**  

| Fitur IAM | Dukungan Security Lake | 
| --- | --- | 
|  [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies)  |   Ya  | 
|  [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies)  |   Ya  | 
|  [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions)  |   Ya  | 
|  [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources)  |   Ya  | 
|  [Kunci kondisi kebijakan](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Ya  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   Tidak   | 
|  [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags)  |   Ya  | 
|  [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds)  |   Ya  | 
|  [Izin principal](#security_iam_service-with-iam-principal-permissions)  |   Ya  | 
|  [Peran layanan](#security_iam_service-with-iam-roles-service)  |   Tidak   | 
|  [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked)  |   Ya  | 

Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Security Lake dan AWS layanan lainnya dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *IAM*.

## Kebijakan berbasis identitas untuk Security Lake
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Mendukung kebijakan berbasis identitas**: Ya

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.

Security Lake mendukung kebijakan berbasis identitas. Untuk informasi selengkapnya, lihat [Contoh kebijakan berbasis identitas untuk Security Lake](security_iam_id-based-policy-examples.md).

## Kebijakan berbasis sumber daya dalam Security Lake
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Mendukung kebijakan berbasis sumber daya**: Ya

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

Layanan Security Lake membuat kebijakan berbasis sumber daya untuk bucket Amazon S3 yang menyimpan data Anda. Anda tidak melampirkan kebijakan berbasis sumber daya ini ke bucket S3 Anda. Security Lake secara otomatis membuat kebijakan ini atas nama Anda.

Sumber daya contoh adalah bucket S3 dengan Amazon Resource Name (ARN) dari. `arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}` Dalam contoh ini, `region` adalah spesifik Wilayah AWS tempat Anda mengaktifkan Security Lake, dan `bucket-identifier` merupakan string alfanumerik unik Regional yang ditetapkan Security Lake ke bucket. Security Lake membuat bucket S3 untuk menyimpan data dari Wilayah itu. Kebijakan sumber daya menentukan prinsipal mana yang dapat melakukan tindakan di bucket. Berikut contoh kebijakan berbasis sumber daya (kebijakan bucket) yang dilampirkan Security Lake ke bucket:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}/*",
                "arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}"
            ],
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        },
        {
            "Sid": "PutSecurityLakeObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "securitylake.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}/*",
                "arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{DA-AccountID}",
                    "s3:x-amz-acl": "bucket-owner-full-control"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:securitylake:us-east-1:111122223333:*"
                }
            }
        }
    ]
}
```

------

*Untuk mempelajari lebih lanjut tentang kebijakan berbasis sumber daya, lihat Kebijakan berbasis [identitas dan kebijakan berbasis](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) sumber daya di Panduan Pengguna IAM.*

## Tindakan kebijakan untuk Security Lake
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Mendukung tindakan kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.



Untuk daftar tindakan Security Lake, lihat [Tindakan yang ditentukan oleh Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) di *Referensi Otorisasi Layanan*.

Tindakan kebijakan di Security Lake menggunakan awalan berikut sebelum tindakan:

```
securitylake
```

Misalnya, untuk memberikan izin kepada pengguna untuk mengakses informasi tentang pelanggan tertentu, sertakan `securitylake:GetSubscriber` tindakan dalam kebijakan yang ditetapkan kepada pengguna tersebut. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. Security Lake mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini.

Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.

```
"Action": [
      "securitylake:action1",
      "securitylake:action2"
]
```





Untuk melihat contoh kebijakan berbasis identitas Security Lake, lihat. [Contoh kebijakan berbasis identitas untuk Security Lake](security_iam_id-based-policy-examples.md)

## Sumber daya kebijakan untuk Danau Keamanan
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Mendukung sumber daya kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```

Security Lake mendefinisikan jenis sumber daya berikut: pelanggan, dan konfigurasi data lake untuk Akun AWS dalam tertentu. Wilayah AWS Anda dapat menentukan jenis sumber daya ini dalam kebijakan dengan menggunakan ARNs.

Untuk daftar jenis sumber daya Security Lake dan sintaks ARN untuk masing-masing, lihat [Jenis sumber daya yang ditentukan oleh Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-resources-for-iam-policies) di Referensi Otorisasi *Layanan*. Untuk mempelajari tindakan yang dapat Anda tentukan untuk setiap jenis sumber daya, lihat [Tindakan yang ditentukan oleh Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) di *Referensi Otorisasi Layanan*.





Untuk melihat contoh kebijakan berbasis identitas Security Lake, lihat. [Contoh kebijakan berbasis identitas untuk Security Lake](security_iam_id-based-policy-examples.md)

## Kunci kondisi kebijakan untuk Security Lake
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Mendukung kunci kondisi kebijakan khusus layanan:** Yes

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.

Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.

Untuk daftar kunci kondisi Security Lake, lihat [Kunci kondisi untuk Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-policy-keys) di *Referensi Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat digunakan untuk menggunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) di *Referensi Otorisasi Layanan*. Untuk contoh kebijakan yang menggunakan kunci kondisi, lihat[Contoh kebijakan berbasis identitas untuk Security Lake](security_iam_id-based-policy-examples.md).

## Daftar kontrol akses (ACLs) di Security Lake
<a name="security_iam_service-with-iam-acls"></a>

**Mendukung ACLs:** Tidak 

Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.

Security Lake tidak mendukung ACLs, yang berarti Anda tidak dapat melampirkan ACL ke sumber daya Security Lake.

## Kontrol akses berbasis atribut (ABAC) dengan Security Lake
<a name="security_iam_service-with-iam-tags"></a>

**Mendukung ABAC (tanda dalam kebijakan):** Ya

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.

Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.

Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.

Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.

Anda dapat melampirkan tag ke sumber daya Security Lake — pelanggan, dan konfigurasi data lake untuk individu. Akun AWS Wilayah AWS Anda juga dapat mengontrol akses ke jenis sumber daya ini dengan memberikan informasi tag dalam `Condition` elemen kebijakan. Untuk informasi tentang menandai sumber daya Security Lake, lihat[Menandai sumber daya Danau Keamanan](tagging-resources.md). Untuk contoh kebijakan berbasis identitas yang mengontrol akses ke sumber daya berdasarkan tag untuk sumber daya tersebut, lihat. [Contoh kebijakan berbasis identitas untuk Security Lake](security_iam_id-based-policy-examples.md)

## Menggunakan kredensil sementara dengan Security Lake
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Mendukung kredensial sementara:** Ya

Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.

Security Lake mendukung penggunaan kredensil sementara.

## Teruskan sesi akses untuk Security Lake
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Mendukung sesi akses terusan (FAS):** Ya

 Sesi akses teruskan (FAS) menggunakan izin pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

Beberapa tindakan Security Lake memerlukan izin untuk tindakan tambahan yang bergantung pada tindakan lain Layanan AWS. Untuk daftar tindakan ini, lihat [Tindakan yang ditentukan oleh Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) di *Referensi Otorisasi Layanan*.



## Peran layanan untuk Security Lake
<a name="security_iam_service-with-iam-roles-service"></a>

**Mendukung peran layanan:** Tidak 

 Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*. 

Security Lake tidak mengambil atau menggunakan peran layanan. Namun, layanan terkait seperti Amazon EventBridge AWS Lambda, dan Amazon S3 mengambil peran layanan saat Anda menggunakan Security Lake. Untuk melakukan tindakan atas nama Anda, Security Lake menggunakan peran terkait layanan.

**Awas**  
Mengubah izin untuk peran layanan dapat menimbulkan masalah operasional dengan penggunaan Security Lake. Edit peran layanan hanya jika Security Lake memberikan panduan untuk melakukannya.

## Peran terkait layanan untuk Security Lake
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Mendukung peran terkait layanan**: Ya

 Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan. 

Security Lake menggunakan peran terkait layanan IAM bernama. `AWSServiceRoleForAmazonSecurityLake` Peran terkait layanan Security Lake memberikan izin untuk mengoperasikan layanan danau data keamanan atas nama pelanggan. Peran terkait layanan ini adalah peran IAM yang terhubung langsung ke Security Lake. Ini telah ditentukan sebelumnya oleh Security Lake, dan mencakup semua izin yang diperlukan Security Lake untuk memanggil orang lain Layanan AWS atas nama Anda. Security Lake menggunakan peran terkait layanan ini di semua Wilayah AWS tempat Danau Keamanan tersedia.

Untuk detail tentang membuat atau mengelola peran terkait layanan Security Lake, lihat. [Menggunakan peran terkait layanan untuk Security Lake](using-service-linked-roles.md)

# Contoh kebijakan berbasis identitas untuk Security Lake
<a name="security_iam_id-based-policy-examples"></a>

Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya Security Lake. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.

*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*

Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh Security Lake, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Kunci tindakan, sumber daya, dan kondisi untuk Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html) di *Referensi Otorisasi Layanan*.

**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol Security Lake](#security_iam_id-based-policy-examples-console)
+ [Contoh: Izinkan pengguna untuk melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Contoh: Izinkan akun manajemen organisasi menunjuk dan menghapus administrator yang didelegasikan](#security_iam_id-based-policy-examples-orgs)
+ [Contoh: Izinkan pengguna untuk meninjau pelanggan berdasarkan tag](#security_iam_id-based-policy-examples-review-subscribers-tags)

## Praktik terbaik kebijakan
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Security Lake di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

## Menggunakan konsol Security Lake
<a name="security_iam_id-based-policy-examples-console"></a>

Untuk mengakses konsol Amazon Security Lake, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Security Lake di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.

Untuk memastikan bahwa pengguna dan peran dapat menggunakan konsol Security Lake, buat kebijakan IAM yang memberi mereka akses konsol. Untuk informasi selengkapnya, lihat [identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) di Panduan Pengguna *IAM*.

Jika Anda membuat kebijakan yang memungkinkan pengguna atau peran menggunakan konsol Security Lake, pastikan kebijakan tersebut menyertakan tindakan yang sesuai untuk sumber daya yang perlu diakses pengguna atau peran tersebut di konsol. Jika tidak, mereka tidak akan dapat menavigasi ke atau menampilkan detail tentang sumber daya tersebut di konsol.

Misalnya, untuk menambahkan sumber kustom menggunakan konsol, pengguna harus diizinkan untuk melakukan tindakan ini:
+ `glue:CreateCrawler`
+ `glue:CreateDatabase`
+ `glue:CreateTable`
+ `glue:StartCrawlerSchedule`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `iam:DeleteRolePolicy`
+ `iam:PassRole`
+ `lakeformation:RegisterResource`
+ `lakeformation:GrantPermissions`
+ `s3:ListBucket`
+ `s3:PutObject`

## Contoh: Izinkan pengguna untuk melihat izin mereka sendiri
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Contoh: Izinkan akun manajemen organisasi menunjuk dan menghapus administrator yang didelegasikan
<a name="security_iam_id-based-policy-examples-orgs"></a>

Contoh ini menunjukkan cara Anda membuat kebijakan yang memungkinkan pengguna akun AWS Organizations manajemen menunjuk dan menghapus administrator Security Lake yang didelegasikan untuk organisasi mereka.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "securitylake:RegisterDataLakeDelegatedAdministrator",
                "securitylake:DeregisterDataLakeDelegatedAdministrator"
            ],
            "Resource": "arn:aws:securitylake:*:*:*"
        }
    ]
}
```

------

## Contoh: Izinkan pengguna untuk meninjau pelanggan berdasarkan tag
<a name="security_iam_id-based-policy-examples-review-subscribers-tags"></a>

Dalam kebijakan berbasis identitas, Anda dapat menggunakan kondisi untuk mengontrol akses ke sumber daya Security Lake berdasarkan tag. Contoh ini menunjukkan cara membuat kebijakan yang memungkinkan pengguna meninjau pelanggan dengan menggunakan konsol Security Lake atau Security Lake API. Namun, izin diberikan hanya jika nilai `Owner` tag untuk pelanggan adalah nama pengguna pengguna.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReviewSubscriberDetailsIfOwner",
            "Effect": "Allow",
            "Action": "securitylake:GetSubscriber",
            "Resource": "arn:aws:securitylake:*:*:subscriber/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        },
        {
            "Sid": "ListSubscribersIfOwner",
            "Effect": "Allow",
            "Action": "securitylake:ListSubscribers",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}
```

------

Dalam contoh ini, jika pengguna yang memiliki nama pengguna `richard-roe` mencoba meninjau detail pelanggan individu, pelanggan harus diberi tag `Owner=richard-roe` atau. `owner=richard-roe` Jika tidak, pengguna ditolak aksesnya. Kunci tag kondisi `Owner` cocok dengan keduanya `Owner` dan `owner` karena nama kunci kondisi tidak peka huruf besar/kecil. Untuk informasi selengkapnya tentang menggunakan kunci kondisi, lihat [elemen kebijakan IAM JSON: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam Panduan Pengguna *IAM*. Untuk informasi tentang menandai sumber daya Security Lake, lihat[Menandai sumber daya Danau Keamanan](tagging-resources.md).







# AWS kebijakan terkelola untuk Security Lake
<a name="security-iam-awsmanpol"></a>





Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.









## AWS kebijakan terkelola: AmazonSecurityLakeMetastoreManager
<a name="security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager"></a>

Amazon Security Lake menggunakan AWS Lambda fungsi untuk mengelola metadata di danau data Anda. Melalui penggunaan fungsi ini, Security Lake dapat mengindeks partisi Amazon Simple Storage Service (Amazon S3) yang berisi data dan file data Anda ke dalam AWS Glue tabel Data Catalog. Kebijakan terkelola ini berisi semua izin untuk fungsi Lambda untuk mengindeks partisi S3 dan file data ke dalam tabel. AWS Glue 

**Detail izin**

Kebijakan ini mencakup izin berikut:
+ `logs`— Memungkinkan kepala sekolah untuk mencatat output fungsi Lambda ke Amazon Logs. CloudWatch 
+ `glue`— Memungkinkan kepala sekolah untuk melakukan tindakan penulisan khusus untuk tabel Katalog AWS Glue Data. Ini juga memungkinkan AWS Glue crawler untuk mengidentifikasi partisi dalam data Anda.
+ `sqs`— Memungkinkan prinsipal untuk melakukan tindakan baca dan tulis tertentu untuk antrian Amazon SQS yang mengirim pemberitahuan peristiwa saat objek ditambahkan atau diperbarui di danau data Anda.
+ `s3`— Memungkinkan kepala sekolah melakukan tindakan baca dan tulis tertentu untuk bucket Amazon S3 yang berisi data Anda.

Untuk meninjau izin kebijakan ini, lihat [AmazonSecurityLakeMetastoreManager](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeMetastoreManager.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AmazonSecurityLakePermissionsBoundary
<a name="security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary"></a>

Amazon Security Lake membuat peran IAM untuk sumber kustom pihak ketiga untuk menulis data ke data lake dan bagi pelanggan kustom pihak ketiga untuk menggunakan data dari data lake, dan menggunakan kebijakan ini saat membuat peran ini untuk menentukan batas izin mereka. Anda tidak perlu mengambil tindakan untuk menggunakan kebijakan ini. Jika data lake dienkripsi dengan AWS KMS kunci yang dikelola pelanggan, `kms:Decrypt` dan `kms:GenerateDataKey` izin ditambahkan.

Untuk meninjau izin kebijakan ini, lihat [AmazonSecurityLakePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakePermissionsBoundary.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AmazonSecurityLakeAdministrator
<a name="security-iam-awsmanpol-AmazonSecurityLakeAdministrator"></a>

Anda dapat melampirkan `AmazonSecurityLakeAdministrator` kebijakan ke kepala sekolah sebelum mengaktifkan Amazon Security Lake untuk akun mereka. Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan Security Lake. Kepala sekolah kemudian dapat naik ke Security Lake dan kemudian mengkonfigurasi sumber dan pelanggan di Security Lake.

Kebijakan ini mencakup tindakan yang dapat dilakukan administrator Security Lake pada AWS layanan lain melalui Security Lake. 

`AmazonSecurityLakeAdministrator`Kebijakan ini tidak mendukung pembuatan peran utilitas yang diperlukan oleh Security Lake untuk mengelola replikasi lintas wilayah Amazon S3, pendaftaran partisi data baru, AWS Glue menjalankan crawler Glue pada data yang ditambahkan ke sumber kustom, atau memberi tahu pelanggan titik akhir HTTPS tentang data baru. Anda dapat membuat peran ini sebelumnya seperti yang dijelaskan dalam[Memulai dengan Amazon Security Lake](getting-started.md).

Selain kebijakan `AmazonSecurityLakeAdministrator` terkelola, Security Lake memerlukan `lakeformation:PutDataLakeSettings` izin untuk fungsi orientasi dan konfigurasi. `PutDataLakeSettings`memungkinkan pengaturan kepala IAM sebagai administrator untuk semua sumber daya Lake Formation regional di akun. Peran ini harus dimiliki `iam:CreateRole permission` serta `AmazonSecurityLakeAdministrator` kebijakan yang melekat padanya. 

Administrator Lake Formation memiliki akses penuh ke konsol Lake Formation, dan mengontrol konfigurasi data awal dan izin akses. Security Lake menetapkan prinsipal yang memungkinkan Security Lake dan `AmazonSecurityLakeMetaStoreManager` peran (atau peran tertentu lainnya) sebagai administrator Lake Formation sehingga mereka dapat membuat tabel, memperbarui skema tabel, mendaftarkan partisi baru, dan mengonfigurasi izin pada tabel. Anda harus menyertakan izin berikut dalam kebijakan untuk pengguna atau peran administrator Security Lake:

**catatan**  
Untuk memberikan izin yang cukup untuk memberikan akses pelanggan berbasis Lake Formation, Security Lake merekomendasikan untuk menambahkan izin berikut`glue:PutResourcePolicy`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPutLakeFormationSettings",
      "Effect": "Allow",
      "Action": "lakeformation:PutDatalakeSettings",
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowGlueActions",
      "Effect": "Allow",
      "Action": ["glue:PutResourcePolicy", "glue:DeleteResourcePolicy"],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*"
      ],
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    }
  ]
}
```

------



**Detail izin**

Kebijakan ini mencakup izin berikut.




+ `securitylake`— Memungkinkan kepala sekolah akses penuh ke semua tindakan Security Lake. 
+ `organizations`— Memungkinkan kepala sekolah untuk mengambil informasi dari Organizations tentang akun dalam suatu AWS organisasi. Jika akun milik organisasi, maka izin ini memungkinkan konsol Security Lake menampilkan nama akun dan nomor akun.
+ `iam`— Memungkinkan kepala sekolah untuk membuat peran terkait layanan untuk Security Lake,, dan AWS Lake Formation Amazon EventBridge, sebagai langkah yang diperlukan saat mengaktifkan layanan tersebut. Juga memungkinkan pembuatan dan pengeditan kebijakan untuk peran pelanggan dan sumber kustom, dengan izin peran tersebut terbatas pada apa yang diizinkan oleh kebijakan. `AmazonSecurityLakePermissionsBoundary` 
+ `ram`— Memungkinkan kepala sekolah untuk mengonfigurasi akses kueri Lake Formation berbasis oleh pelanggan ke sumber Security Lake. 
+ `s3`— Memungkinkan kepala sekolah untuk membuat dan mengelola ember Security Lake, dan membaca isi ember tersebut. 
+ `lambda`— Memungkinkan prinsipal untuk mengelola yang Lambda digunakan untuk memperbarui partisi AWS Glue tabel setelah pengiriman AWS sumber dan replikasi lintas wilayah. 
+ `glue`— Memungkinkan kepala sekolah untuk membuat dan mengelola database dan tabel Security Lake. 
+ `lakeformation`— Memungkinkan kepala sekolah untuk mengelola Lake Formation izin untuk tabel Security Lake. 
+ `events`— Memungkinkan kepala sekolah untuk mengelola aturan yang digunakan untuk memberi tahu pelanggan tentang data baru di sumber Security Lake. 
+ `sqs`— Memungkinkan kepala sekolah untuk membuat dan mengelola Amazon SQS antrian yang digunakan untuk memberi tahu pelanggan tentang data baru di sumber Security Lake. 
+ `kms`— Memungkinkan kepala sekolah memberikan akses ke Security Lake untuk menulis data menggunakan kunci yang dikelola pelanggan. 
+ `secretsmanager`— Memungkinkan kepala sekolah untuk mengelola rahasia yang digunakan untuk memberi tahu pelanggan tentang data baru di sumber Security Lake melalui titik akhir HTTPS. 



Untuk meninjau izin kebijakan ini, lihat [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: SecurityLakeServiceLinkedRole
<a name="security-iam-awsmanpol-SecurityLakeServiceLinkedRole"></a>

Security Lake menggunakan peran terkait layanan bernama `AWSServiceRoleForSecurityLake` untuk membuat dan mengoperasikan danau data keamanan.

Anda tidak dapat melampirkan kebijakan `SecurityLakeServiceLinkedRole` terkelola ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Security Lake untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan untuk](https://docs.aws.amazon.com//security-lake/latest/userguide/slr-permissions.html) Security Lake.

## AWS kebijakan terkelola: SecurityLakeResourceManagementServiceRolePolicy
<a name="security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement"></a>

Security Lake menggunakan peran terkait layanan yang disebutkan `AWSServiceRoleForSecurityLakeResourceManagement` untuk melakukan pemantauan berkelanjutan dan peningkatan kinerja, yang dapat mengurangi latensi dan biaya. Menyediakan akses untuk mengelola sumber daya yang dibuat oleh Security Lake. Memberikan Security Lake kemampuan untuk menghapus SecurityLake \$1Glue\$1Partyon\$1Updater\$1Lambda. Lambda ini tidak digunakan lagi untuk pelanggan yang telah melakukan migrasi gunung es dan pindah ke sumber v2. Lambda ini menggunakan runtime Python 3.9 yang akan ditinggalkan pada bulan Desember. Daripada memperbarui runtime untuk lambda ini untuk pelanggan tersebut, akan lebih baik untuk menghapusnya. Kami memiliki proses pemulihan yang akan menentukan apakah pelanggan masih membutuhkan lambda atau tidak dan menghapusnya jika tidak. Pembaruan SLR ini diperlukan untuk memungkinkan kami menghapus lambda itu.

Anda tidak dapat melampirkan kebijakan `SecurityLakeResourceManagementServiceRolePolicy` terkelola ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Security Lake untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan untuk](https://docs.aws.amazon.com//security-lake/latest/userguide/AWSServiceRoleForSecurityLakeResourceManagement.html) pengelolaan sumber daya.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `events`— Memungkinkan kepala sekolah untuk membuat daftar dan mengelola EventBridge aturan untuk pemrosesan acara Security Lake.
+ `lambda`— Memungkinkan prinsipal untuk mengelola fungsi dan konfigurasi Lambda untuk pemrosesan metadata Security Lake, termasuk kemampuan untuk menghapus fungsi pembaru partisi yang tidak digunakan lagi.
+ `glue`— Memungkinkan prinsipal untuk membuat partisi, mengelola tabel, dan mengakses database dalam Katalog AWS Glue Data untuk manajemen metadata Security Lake.
+ `s3`— Memungkinkan prinsipal mengelola konfigurasi bucket Amazon S3, kebijakan siklus hidup, dan objek metadata untuk operasi data lake Security Lake.
+ `logs`— Memungkinkan kepala sekolah untuk mengakses aliran CloudWatch Log dan data log kueri untuk fungsi Security Lake Lambda.
+ `sqs`— Memungkinkan kepala sekolah untuk mengelola antrian Amazon SQS dan pesan untuk alur kerja pemrosesan data Security Lake.
+ `lakeformation`— Memungkinkan kepala sekolah untuk mengambil pengaturan data lake dan izin untuk manajemen sumber daya Security Lake.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWS GlueServiceRole
<a name="security-iam-awsmanpol-AWSGlueServiceRole"></a>

Kebijakan `AWS GlueServiceRole` terkelola memanggil AWS Glue crawler dan mengizinkan AWS Glue untuk merayapi data sumber kustom dan mengidentifikasi metadata partisi. Metadata ini diperlukan untuk membuat dan memperbarui tabel di Katalog Data.

Untuk informasi selengkapnya, lihat [Mengumpulkan data dari sumber khusus di Security Lake](custom-sources.md).





## Security Lake memperbarui kebijakan AWS terkelola
<a name="security-iam-awsmanpol-updates"></a>



Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Security Lake sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen Security Lake.




| Ubah | Deskripsi | Date | 
| --- | --- | --- | 
|  [SecurityLakeResourceManagementServiceRolePolicy](#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement)— Kebijakan yang ada diperbarui  |  Security Lake memperbarui kebijakan terkelola `SecurityLakeResourceManagementServiceRolePolicy` untuk menambahkan `lambda:DeleteFunction` izin fungsi \$1Glue\$1Partyon\$1Updater\$1Lambda yang SecurityLake tidak digunakan lagi. Hal ini memungkinkan Security Lake untuk membersihkan fungsi Lambda yang tidak digunakan lagi sebagai bagian dari migrasi ke sumber v2 dan format gunung es.  |  November 18, 2025  | 
|  [AWSServiceRoleForSecurityLakeResourceManagement](AWSServiceRoleForSecurityLakeResourceManagement.md)— Kebijakan yang ada diperbarui  |  Kebijakan ini diperbarui untuk mengganti `StringLike` operator dengan `ArnLike` operator guna mengevaluasi kunci tipe ARN `lambda:FunctionArn` di blok `aws:ResourceAccount` kondisi. Ini memberikan penegakan yang lebih aman.   |  September 25, 2025  | 
|  [Peran terkait layanan untuk Amazon Security Lake](AWSServiceRoleForSecurityLakeResourceManagement.md) — Peran terkait layanan baru  |  Kami menambahkan peran terkait layanan baru. `AWSServiceRoleForSecurityLakeResourceManagement` Peran terkait layanan ini memberikan izin kepada Security Lake untuk melakukan pemantauan berkelanjutan dan peningkatan kinerja, yang dapat mengurangi latensi dan biaya.   |  November 14, 2024  | 
|  [Peran terkait layanan untuk Amazon Security Lake - Perbarui ke izin peran terkait](using-service-linked-roles.md) layanan yang ada  |  Kami menambahkan AWS WAF tindakan ke kebijakan AWS terkelola untuk `SecurityLakeServiceLinkedRole` kebijakan tersebut. Tindakan tambahan memungkinkan Security Lake untuk mengumpulkan AWS WAF log, ketika diaktifkan sebagai sumber log di Security Lake.  |  22 Mei 2024  | 
| [AmazonSecurityLakePermissionsBoundary](#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary) – Pembaruan ke kebijakan yang ada |  Security Lake menambahkan tindakan SID ke kebijakan tersebut.  |  13 Mei 2024  | 
|  [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) – Pembaruan ke kebijakan yang ada  |  Security Lake memperbarui kebijakan untuk menambahkan tindakan pembersihan metadata yang memungkinkan Anda menghapus metadata di data lake Anda.  |  Maret 27, 2024  | 
|  [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) – Pembaruan ke kebijakan yang ada  |  Security Lake memperbarui kebijakan untuk mengizinkan `iam:PassRole` `AmazonSecurityLakeMetastoreManagerV2` peran baru dan memungkinkan Security Lake menyebarkan atau memperbarui komponen data lake.  |  Februari 23, 2024  | 
|  [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) – Kebijakan baru  |  Security Lake menambahkan kebijakan terkelola baru yang memberikan izin kepada Security Lake untuk mengelola metadata di data lake Anda.  |  23 Januari 2024  | 
|  [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) – Kebijakan baru  |  Security Lake menambahkan kebijakan terkelola baru yang memberikan akses penuh utama ke semua tindakan Security Lake.  |  30 Mei 2023  | 
|  Security Lake mulai melacak perubahan  |  Security Lake mulai melacak perubahan untuk kebijakan yang AWS dikelola.  | 29 November 2022 | 

# Menggunakan peran terkait layanan untuk Security Lake
<a name="using-service-linked-roles"></a>

Security Lake menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah peran IAM yang terhubung langsung ke Security Lake. Ini telah ditentukan oleh Security Lake, dan itu mencakup semua izin yang diperlukan Security Lake untuk memanggil orang lain Layanan AWS atas nama Anda dan mengoperasikan layanan danau data keamanan. Security Lake menggunakan peran terkait layanan ini di semua Wilayah AWS tempat Danau Keamanan tersedia.

Peran terkait layanan menghilangkan kebutuhan untuk menambahkan izin yang diperlukan secara manual saat menyiapkan Security Lake. Security Lake mendefinisikan izin peran terkait layanan ini, dan kecuali ditentukan lain, hanya Security Lake yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*. Anda dapat menghapus peran terkait layanan hanya setelah menghapus sumber daya terkait. Ini melindungi sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan tautan untuk meninjau dokumentasi peran terkait layanan untuk layanan tersebut.

**Topics**
+ [Izin peran terkait layanan (SLR) untuk Security Lake](slr-permissions.md)
+ [Izin peran terkait layanan (SLR) untuk manajemen sumber daya](AWSServiceRoleForSecurityLakeResourceManagement.md)

# Izin peran terkait layanan (SLR) untuk Security Lake
<a name="slr-permissions"></a>

Security Lake menggunakan peran terkait layanan bernama. `AWSServiceRoleForSecurityLake` Peran terkait layanan ini mempercayai `securitylake.amazonaws.com` layanan untuk mengambil peran tersebut. Untuk informasi selengkapnya tentang, kebijakan AWS terkelola untuk Amazon Security Lake, lihat [AWS mengelola kebijakan untuk Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html).

Kebijakan izin untuk peran tersebut, yang merupakan kebijakan AWS terkelola bernama`SecurityLakeServiceLinkedRole`, memungkinkan Security Lake membuat dan mengoperasikan data lake keamanan. Ini juga memungkinkan Security Lake untuk melakukan tugas-tugas seperti berikut pada sumber daya yang ditentukan:
+ Gunakan AWS Organizations tindakan untuk mengambil informasi tentang akun terkait
+ Gunakan Amazon Elastic Compute Cloud (Amazon EC2) untuk mengambil informasi tentang Amazon VPC Flow Logs
+ Menggunakan AWS CloudTrail tindakan untuk mengambil informasi tentang peran terkait layanan
+ Gunakan AWS WAF tindakan untuk mengumpulkan AWS WAF log, saat diaktifkan sebagai sumber log di Security Lake
+ Gunakan `LogDelivery` tindakan untuk membuat atau menghapus langganan pengiriman AWS WAF log.

Untuk meninjau izin kebijakan ini, lihat [SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran terkait layanan Security Lake
<a name="create-slr"></a>

Anda tidak perlu membuat peran `AWSServiceRoleForSecurityLake` terkait layanan untuk Security Lake secara manual. Saat Anda mengaktifkan Security Lake untuk Anda Akun AWS, Security Lake secara otomatis membuat peran terkait layanan untuk Anda.

## Mengedit peran terkait layanan Security Lake
<a name="edit-slr"></a>

Security Lake tidak mengizinkan Anda mengedit peran `AWSServiceRoleForSecurityLake` terkait layanan. Setelah peran terkait layanan dibuat, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait layanan Security Lake
<a name="delete-slr"></a>

Anda tidak dapat menghapus peran terkait layanan dari Security Lake. Sebagai gantinya, Anda dapat menghapus peran terkait layanan dari konsol IAM, API, atau. AWS CLI Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

Sebelum dapat menghapus peran terkait layanan, Anda harus terlebih dahulu mengonfirmasi bahwa peran tersebut tidak memiliki sesi aktif dan menghapus sumber daya apa pun yang `AWSServiceRoleForSecurityLake` digunakan.

**catatan**  
Jika Security Lake menggunakan `AWSServiceRoleForSecurityLake` peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika itu terjadi, tunggu beberapa menit dan kemudian coba operasi lagi.

Jika Anda menghapus peran `AWSServiceRoleForSecurityLake` terkait layanan dan perlu membuatnya lagi, Anda dapat membuatnya lagi dengan mengaktifkan Security Lake untuk akun Anda. Saat Anda mengaktifkan Security Lake lagi, Security Lake secara otomatis membuat peran terkait layanan lagi untuk Anda.

## Didukung Wilayah AWS untuk peran terkait layanan Security Lake
<a name="slr-regions"></a>

Security Lake mendukung penggunaan peran `AWSServiceRoleForSecurityLake` terkait layanan di semua Wilayah AWS tempat Security Lake tersedia. Untuk daftar Wilayah di mana Danau Keamanan saat ini tersedia, lihat[Wilayah Danau Keamanan dan titik akhir](supported-regions.md).

# Izin peran terkait layanan (SLR) untuk manajemen sumber daya
<a name="AWSServiceRoleForSecurityLakeResourceManagement"></a>

Security Lake menggunakan peran terkait layanan yang disebutkan `AWSServiceRoleForSecurityLakeResourceManagement` untuk melakukan pemantauan berkelanjutan dan peningkatan kinerja, yang dapat mengurangi latensi dan biaya. Peran terkait layanan ini mempercayai `resource-management.securitylake.amazonaws.com` layanan untuk mengambil peran tersebut. Mengaktifkan juga `AWSServiceRoleForSecurityLakeResourceManagement` akan memberinya akses ke Lake Formation dan secara otomatis mendaftarkan bucket S3 terkelola Security Lake Anda dengan Lake Formation di semua Wilayah untuk meningkatkan keamanan. 

 Kebijakan izin untuk peran, yang merupakan kebijakan AWS terkelola bernama`SecurityLakeResourceManagementServiceRolePolicy`, memungkinkan akses untuk mengelola sumber daya yang dibuat oleh Security Lake; termasuk mengelola metadata di data lake Anda. Untuk informasi selengkapnya tentang, kebijakan AWS terkelola untuk Amazon Security Lake, lihat [kebijakan AWS terkelola untuk Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement.html).

Peran terkait layanan ini memungkinkan Security Lake memantau kesehatan sumber daya yang digunakan oleh Security Lake (Bucket S3, tabel, Antrian AWS Glue Amazon SQS, Fungsi Lambda Metastore Manager (MSM), dan aturan) ke akun Anda. EventBridge Beberapa contoh operasi yang dapat dilakukan Security Lake dengan peran terkait layanan ini adalah:
+ Pemadatan file manifes Apache Iceberg, yang meningkatkan kinerja kueri dan menurunkan waktu dan biaya pemrosesan Lambda MSM.
+ Pantau status Amazon SQS untuk mendeteksi masalah konsumsi.
+ Optimalkan replikasi data lintas wilayah untuk mengecualikan file metadata.

**catatan**  
Jika Anda tidak menginstal peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan, Security Lake akan terus berfungsi tetapi sangat disarankan untuk menerima peran terkait layanan ini sehingga Security Lake dapat memantau dan mengoptimalkan sumber daya di akun Anda. 

**Detail izin**

Peran dikonfigurasi dengan kebijakan izin berikut:




+ `events`— Memungkinkan kepala sekolah untuk mengelola EventBridge aturan yang diperlukan untuk sumber log dan log pelanggan.
+ `lambda`— Memungkinkan prinsipal untuk mengelola lambda yang digunakan untuk memperbarui partisi AWS Glue tabel setelah pengiriman AWS sumber dan replikasi lintas wilayah.
+ `glue`— Memungkinkan kepala sekolah untuk melakukan tindakan penulisan khusus untuk tabel Katalog AWS Glue Data. Ini juga memungkinkan AWS Glue crawler untuk mengidentifikasi partisi dalam data Anda, dan memungkinkan Security Lake mengelola metadata Apache Iceberg untuk tabel Apache Iceberg Anda.
+ `s3`— Memungkinkan kepala sekolah untuk melakukan tindakan baca dan tulis tertentu pada bucket Security Lake yang berisi data log dan metadata tabel Glue.
+ `logs`— Memungkinkan akses baca kepala sekolah untuk mencatat output fungsi Lambda ke Log. CloudWatch 
+ `sqs`— Memungkinkan prinsipal untuk melakukan tindakan baca dan tulis tertentu untuk antrian Amazon SQS yang menerima pemberitahuan peristiwa saat objek ditambahkan atau diperbarui di danau data Anda.
+ `lakeformation`— Memungkinkan kepala sekolah membaca pengaturan Lake Formation untuk memantau kesalahan konfigurasi.

Untuk meninjau izin kebijakan ini, lihat [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran terkait layanan Security Lake
<a name="create-slr"></a>

Anda dapat membuat peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan untuk Security Lake menggunakan konsol Security Lake atau. AWS CLI

Untuk membuat peran terkait layanan, Anda harus memberikan izin berikut kepada pengguna IAM atau peran IAM Anda. Peran IAM harus menjadi administrator Lake Formation di semua Wilayah yang diaktifkan Security Lake.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowLakeFormationActionsViaSecurityLakeConsole",
      "Effect": "Allow",
      "Action": [
        "lakeformation:GrantPermissions",
        "lakeformation:ListPermissions",
        "lakeformation:ListResources",
        "lakeformation:RegisterResource",
        "lakeformation:RevokePermissions"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowIamActionsViaSecurityLakeConsole",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:GetPolicyVersion",
        "iam:GetRole",
        "iam:PutRolePolicy"
      ],
      "Resource": [
        "arn:*:iam::*:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement",
        "arn:*:iam::*:role/*AWSServiceRoleForLakeFormationDataAccess",
        "arn:*:iam::aws:policy/service-role/AWSGlueServiceRole",
        "arn:*:iam::aws:policy/service-role/AmazonSecurityLakeMetastoreManager",
        "arn:*:iam::aws:policy/aws-service-role/SecurityLakeResourceManagementServiceRolePolicy"
      ],
      "Condition": {
        "StringLikeIfExists": {
          "iam:AWSServiceName": [
            "securitylake.amazonaws.com",
            "resource-management.securitylake.amazonaws.com",
            "lakeformation.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowGlueActionsViaConsole",
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabase",
        "glue:GetTables"
      ],
      "Resource": [
        "arn:*:glue:*:*:catalog",
        "arn:*:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:*:glue:*:*:table/amazon_security_lake_glue_db*/*"
      ]
    }
  ]
}
```

------

------
#### [ Console ]

1. Buka konsol Security Lake di [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Terima peran terkait layanan baru dengan mengklik **Aktifkan peran terkait layanan** di bilah informasi di halaman Ringkasan.

Setelah Anda mengaktifkan peran terkait layanan, Anda tidak perlu mengulangi proses ini untuk penggunaan Security Lake di masa mendatang.

------
#### [ CLI ]

Untuk membuat peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan secara terprogram, gunakan perintah CLI berikut. 

```
$ aws iam create-service-linked-role 
--aws-service-name resource-management.securitylake.amazonaws.com
```



Saat membuat peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan menggunakan AWS CLI, Anda juga harus memberikannya izin tingkat tabel Lake Formation (ALTER, DESCRIPTION) ke semua tabel pada database Security Lake Glue untuk mengelola metadata tabel dan mengakses data. Jika Glue tabel di wilayah mana pun mereferensikan bucket S3 dari pengaktifan Security Lake sebelumnya, Anda harus mengizinkan sementara izin DATA\$1LOCATION\$1ACCESS ke peran terkait layanan untuk memungkinkan Security Lake memulihkan situasi ini. 

Anda juga harus memberikan izin Lake Formation ke peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan untuk akun Anda.

Contoh berikut menunjukkan cara memberikan izin Lake Formation ke peran terkait layanan di Wilayah yang ditunjuk. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws lakeformation grant-permissions --region {region} --principal DataLakePrincipalIdentifier={AWSServiceRoleForSecurityLakeResourceManagement ARN} \
--permissions ALTER DESCRIBE --resource '{ "Table": { "DatabaseName": "amazon_security_lake_glue_db_{region}", "TableWildcard": {} } }'
```

Contoh berikut menunjukkan bagaimana ARN Peran akan terlihat seperti. Anda harus mengedit ARN Peran agar sesuai dengan Wilayah Anda.

`"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"`

Anda juga dapat menggunakan panggilan [CreateServiceLinkedRole](https://docs.aws.amazon.com//IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API. Dalam permintaan, tentukan `AWSServiceName` sebagai`resource-management.securitylake.amazonaws.com`.

------

Setelah mengaktifkan `AWSServiceRoleForSecurityLakeResourceManagement` peran, jika Anda menggunakan AWS KMS Customer Managed Key (CMK) untuk enkripsi, Anda harus mengizinkan peran terkait layanan untuk menulis objek terenkripsi ke bucket S3 di Wilayah tempat CMK ada. AWS Di AWS KMS konsol, tambahkan kebijakan berikut ke kunci KMS di AWS Wilayah tempat CMK ada. Untuk detail tentang cara mengubah kebijakan kunci KMS, lihat [Kebijakan utama AWS KMS di](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) Panduan AWS Key Management Service Pengembang.

```
{
    "Sid": "Allow SLR",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::[regional-datalake-s3-bucket-name]"
        },
        "StringLike": {
            "kms:ViaService": "s3.[region].amazonaws.com"
        }
    }
},
```

## Mengedit peran terkait layanan Security Lake
<a name="edit-slr"></a>

Security Lake tidak mengizinkan Anda mengedit peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan. Setelah peran terkait layanan dibuat, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait layanan Security Lake
<a name="delete-slr"></a>

Anda tidak dapat menghapus peran terkait layanan dari Security Lake. Sebagai gantinya, Anda dapat menghapus peran terkait layanan dari konsol IAM, API, atau. AWS CLI Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

Sebelum dapat menghapus peran terkait layanan, Anda harus terlebih dahulu mengonfirmasi bahwa peran tersebut tidak memiliki sesi aktif dan menghapus sumber daya apa pun yang `AWSServiceRoleForSecurityLakeResourceManagement` digunakan.

**catatan**  
Jika Security Lake menggunakan `AWSServiceRoleForSecurityLakeResourceManagement` peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika itu terjadi, tunggu beberapa menit dan kemudian coba operasi lagi.

Jika Anda menghapus peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan dan perlu membuatnya lagi, Anda dapat membuatnya lagi dengan mengaktifkan Security Lake untuk akun Anda. Saat Anda mengaktifkan Security Lake lagi, Security Lake secara otomatis membuat peran terkait layanan lagi untuk Anda.

## Didukung Wilayah AWS untuk peran terkait layanan Security Lake
<a name="slr-regions"></a>

Security Lake mendukung penggunaan peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan di semua Wilayah AWS tempat Security Lake tersedia. Untuk daftar Wilayah di mana Danau Keamanan saat ini tersedia, lihat[Wilayah Danau Keamanan dan titik akhir](supported-regions.md).

# Perlindungan data di Amazon Security Lake
<a name="data-protection"></a>

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon Security Lake. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Security Lake atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

## Enkripsi saat diam
<a name="encryption-rest"></a>

Amazon Security Lake menyimpan data Anda dengan aman menggunakan solusi AWS enkripsi. Log keamanan mentah dan data peristiwa disimpan dalam bucket Amazon [Simple Storage Service (Amazon S3) khusus sumber tertentu di akun yang dikelola](https://docs.aws.amazon.com/AmazonS3/latest/userguide/common-bucket-patterns.html#multi-tenant-buckets) Security Lake. Setiap sumber log memiliki bucket multi-tenant sendiri. Security Lake mengenkripsi data mentah ini menggunakan [kunci AWS milik](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) from AWS Key Management Service ()AWS KMS. AWS kunci yang dimiliki adalah kumpulan AWS KMS kunci yang dimiliki AWS layanan—dalam hal ini Security Lake—memiliki dan mengelola untuk digunakan di beberapa akun. AWS 

Security Lake menjalankan pekerjaan ekstrak, transformasi, dan pemuatan (ETL) pada log mentah dan data peristiwa. 

Setelah pekerjaan ETL selesai, Security Lake membuat bucket S3 penyewa tunggal di akun Anda (satu ember untuk masing-masing Wilayah AWS tempat Anda mengaktifkan Security Lake). Data disimpan dalam bucket S3 multi-tenant hanya sementara sampai Security Lake dapat mengirimkan data dengan andal ke bucket S3 penyewa tunggal. Bucket penyewa tunggal menyertakan kebijakan berbasis sumber daya yang memberikan izin Security Lake untuk menulis data log dan peristiwa ke bucket. Untuk mengenkripsi data di bucket S3, Anda dapat memilih [kunci enkripsi terkelola S3 atau kunci yang dikelola](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) [pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) (dari). AWS KMS Kedua opsi menggunakan enkripsi simetris.

### Menggunakan kunci KMS untuk enkripsi data Anda
<a name="customer-managed-key"></a>

Secara default, data yang dikirimkan oleh Security Lake ke bucket S3 Anda dienkripsi oleh enkripsi sisi server Amazon dengan kunci enkripsi yang dikelola Amazon S3 ([SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)). Untuk menyediakan lapisan keamanan yang Anda kelola secara langsung, Anda dapat menggunakan [enkripsi sisi server dengan AWS KMS kunci (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) untuk data Security Lake Anda.

SSE-KMS tidak didukung di konsol Security Lake. Untuk menggunakan SSE-KMS dengan Security Lake API atau CLI, pertama-tama Anda [membuat kunci KMS atau menggunakan kunci yang ada](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html). Anda melampirkan kebijakan ke kunci yang menentukan pengguna mana yang dapat menggunakan kunci untuk mengenkripsi dan mendekripsi data Security Lake.

Jika Anda menggunakan kunci terkelola pelanggan untuk mengenkripsi data yang ditulis ke bucket S3, Anda tidak dapat memilih kunci Multi-wilayah. Untuk kunci yang dikelola pelanggan, Security Lake membuat [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) atas nama Anda dengan mengirimkan `CreateGrant` permintaan ke AWS KMS. Hibah AWS KMS digunakan untuk memberikan Security Lake akses ke kunci KMS di akun pelanggan.

Security Lake memerlukan hibah untuk menggunakan kunci yang dikelola pelanggan Anda untuk operasi internal berikut:
+ Kirim `GenerateDataKey` permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci terkelola pelanggan Anda.
+ Kirim `RetireGrant` permintaan ke AWS KMS. Saat Anda melakukan pembaruan pada data lake Anda, operasi ini memungkinkan penghentian hibah yang ditambahkan ke kunci AWS KMS untuk pemrosesan ETL.

Security Lake tidak memerlukan `Decrypt` izin. Ketika pengguna resmi kunci membaca data Security Lake, S3 mengelola dekripsi, dan pengguna yang berwenang dapat membaca data dalam bentuk yang tidak terenkripsi. Namun, pelanggan memerlukan `Decrypt` izin untuk menggunakan data sumber. Untuk informasi selengkapnya tentang izin pelanggan, lihat. [Mengelola akses data untuk pelanggan Security Lake](subscriber-data-access.md)

Jika Anda ingin menggunakan kunci KMS yang ada untuk mengenkripsi data Security Lake, Anda harus mengubah kebijakan kunci untuk kunci KMS. Kebijakan utama harus mengizinkan peran IAM yang terkait dengan lokasi danau data Lake Formation untuk menggunakan kunci KMS untuk mendekripsi data. Untuk petunjuk tentang cara mengubah kebijakan kunci untuk kunci KMS, lihat [Mengubah kebijakan kunci](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying.html) di Panduan AWS Key Management Service Pengembang.

Kunci KMS Anda dapat menerima permintaan hibah, memungkinkan Security Lake mengakses kunci, saat Anda membuat kebijakan kunci atau menggunakan kebijakan kunci yang ada dengan izin yang sesuai. Untuk petunjuk cara membuat kebijakan kunci, lihat [Membuat kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) di *Panduan AWS Key Management Service Pengembang*. 

Lampirkan kebijakan kunci berikut ke kunci KMS Anda:

```
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
  "Action": [
    "kms:CreateGrant",
    "kms:DescribeKey",
    "kms:GenerateDataKey"
  ],
  "Resource": "*"
}
```

### Izin IAM yang diperlukan saat menggunakan kunci terkelola pelanggan
<a name="iam-permissions-key"></a>

Lihat bagian [Memulai: Prasyarat](get-started-programmatic.md#prerequisites) untuk ikhtisar peran IAM yang perlu Anda buat untuk menggunakan Security Lake.

Saat Anda menambahkan sumber kustom atau pelanggan, Security Lake membuat peran IAM di akun Anda. Peran ini dimaksudkan untuk dibagikan dengan identitas IAM lainnya. Mereka mengizinkan sumber khusus untuk menulis data ke danau data dan pelanggan untuk mengkonsumsi data dari danau data. Kebijakan AWS terkelola yang disebut `AmazonSecurityLakePermissionsBoundary` menetapkan batas izin untuk peran ini.

### Mengenkripsi antrian Amazon SQS
<a name="encrypt-sqs-queues"></a>

Saat Anda membuat data lake, Security Lake membuat dua antrian Amazon Simple Queue Service (Amazon SQS) yang tidak terenkripsi di akun administrator Security Lake yang didelegasikan. Anda harus mengenkripsi antrian ini untuk melindungi data Anda. Enkripsi sisi server (SSE) default yang disediakan oleh Amazon Simple Queue Service tidak cukup. Anda harus membuat kunci terkelola pelanggan in AWS Key Management Service (AWS KMS) untuk mengenkripsi antrian dan memberikan izin utama layanan Amazon S3 untuk bekerja dengan antrian terenkripsi. Untuk petunjuk tentang pemberian izin ini, lihat [Mengapa notifikasi peristiwa Amazon S3 tidak dikirimkan ke antrean Amazon SQS yang menggunakan enkripsi sisi server](https://repost.aws/knowledge-center/sqs-s3-event-notification-sse)? di pusat AWS pengetahuan.

Karena Security Lake digunakan AWS Lambda untuk mendukung pekerjaan ekstrak, transfer, dan pemuatan (ETL) pada data Anda, Anda juga harus memberikan izin Lambda untuk mengelola pesan di antrian Amazon SQS Anda. Untuk selengkapnya, lihat [Izin peran eksekusi](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#events-sqs-permissions) di *Panduan AWS Lambda Pengembang*.

## Enkripsi saat bergerak
<a name="encryption-transit"></a>

Security Lake mengenkripsi semua data dalam perjalanan antar AWS layanan. Security Lake melindungi data dalam perjalanan, saat melakukan perjalanan ke dan dari layanan, dengan secara otomatis mengenkripsi semua data antar-jaringan menggunakan protokol enkripsi Transport Layer Security (TLS) 1.2. Permintaan HTTPS langsung yang dikirim ke Security Lake APIs ditandatangani dengan menggunakan [Algoritma AWS Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html) untuk membuat koneksi yang aman.

# Memilih untuk tidak menggunakan data Anda untuk perbaikan layanan
<a name="opting-out-of-using-your-data"></a>

Anda dapat memilih untuk tidak menggunakan data Anda untuk mengembangkan dan meningkatkan Security Lake dan layanan AWS keamanan lainnya dengan menggunakan kebijakan AWS Organizations opt-out. Anda dapat memilih untuk memilih keluar meskipun Security Lake saat ini tidak mengumpulkan data tersebut. Untuk informasi selengkapnya tentang cara memilih keluar, lihat [kebijakan opt-out layanan AI](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) di *AWS Organizations Panduan Pengguna*. 

Saat ini, Security Lake tidak mengumpulkan data keamanan apa pun yang diproses atas nama Anda, atau data keamanan yang Anda unggah ke danau data keamanan yang dibuat oleh layanan ini. Untuk mengembangkan dan meningkatkan layanan Security Lake dan fungsionalitas layanan AWS keamanan lainnya, Security Lake dapat mengumpulkan data tersebut di masa mendatang, termasuk data yang Anda unggah dari sumber data pihak ketiga. Kami akan memperbarui halaman ini ketika Security Lake bermaksud mengumpulkan data semacam itu dan menjelaskan cara kerjanya. Anda masih akan memiliki kesempatan untuk memilih keluar kapan saja.

**catatan**  
Agar Anda dapat menggunakan kebijakan opt-out, AWS akun Anda harus dikelola secara terpusat oleh. AWS Organizations Jika Anda belum membuat organisasi untuk AWS akun Anda, lihat [Membuat dan mengelola organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) di *Panduan AWS Organizations Pengguna*.

Memilih keluar memiliki efek sebagai berikut:
+ Security Lake akan menghapus data yang dikumpulkan dan disimpan sebelum Anda memilih keluar (jika ada).
+ Setelah Anda memilih keluar, Security Lake tidak akan lagi mengumpulkan atau menyimpan data ini.

# Validasi kepatuhan untuk Amazon Security Lake
<a name="compliance-validation"></a>

Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .

Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).

# Praktik terbaik keamanan untuk Security Lake
<a name="best-practices-overview"></a>

Lihat praktik terbaik berikut untuk bekerja dengan Amazon Security Lake.

## Berikan izin minimum kepada pengguna Security Lake
<a name="minimum-permissions"></a>

Ikuti prinsip hak istimewa terkecil dengan memberikan set minimum izin kebijakan akses untuk pengguna AWS Identity and Access Management (IAM), grup pengguna, dan peran Anda. Misalnya, Anda mungkin mengizinkan pengguna IAM untuk melihat daftar sumber log di Security Lake tetapi tidak membuat sumber atau pelanggan. Untuk informasi selengkapnya, lihat [Contoh kebijakan berbasis identitas untuk Security Lake](security_iam_id-based-policy-examples.md)

Anda juga dapat menggunakan AWS CloudTrail untuk melacak penggunaan API di Security Lake. CloudTrail menyediakan catatan tindakan API yang diambil oleh pengguna, grup, atau peran di Security Lake. Untuk informasi selengkapnya, lihat [Pencatatan panggilan Security Lake API menggunakan CloudTrail](securitylake-cloudtrail.md).

## Lihat halaman Ringkasan
<a name="summary-page"></a>

Halaman **Ringkasan** konsol Security Lake memberikan ikhtisar masalah dari 14 hari terakhir yang memengaruhi layanan Security Lake dan bucket Amazon S3 tempat data Anda disimpan. Anda dapat menyelidiki lebih lanjut masalah ini untuk membantu Anda mengurangi kemungkinan dampak terkait keamanan.

## Integrasi dengan Security Hub CSPM
<a name="integrate-security-hub"></a>

Integrasikan Security Lake dan AWS Security Hub CSPM untuk menerima temuan CSPM Security Hub di Security Lake. Security Hub CSPM menghasilkan temuan dari banyak integrasi yang berbeda Layanan AWS dan pihak ketiga. Menerima temuan CSPM Security Hub membantu Anda mendapatkan gambaran umum tentang postur kepatuhan Anda dan apakah Anda memenuhi praktik terbaik AWS keamanan.

Untuk informasi selengkapnya, lihat [Integrasi dengan AWS Security Hub CSPM](securityhub-integration.md).

## Hapus AWS Lambda
<a name="Lambda"></a>

Saat menghapus suatu AWS Lambda fungsi, kami sarankan untuk tidak menonaktifkannya terlebih dahulu. Menonaktifkan fungsi Lambda sebelum penghapusan dapat mengganggu kemampuan kueri data dan berpotensi memengaruhi fungsi lainnya. Yang terbaik adalah menghapus fungsi Lambda secara langsung tanpa menonaktifkannya. Untuk informasi selengkapnya tentang menghapus fungsi Lambda, [AWS Lambda lihat](https://docs.aws.amazon.com//lambda/latest/dg/example_lambda_DeleteFunction_section.html) panduan pengembang.

## Memantau acara Security Lake
<a name="monitor-cloudwatch-metrics"></a>

Anda dapat memantau Danau Keamanan menggunakan CloudWatch metrik Amazon. CloudWatch mengumpulkan data mentah dari Security Lake setiap menit dan memprosesnya menjadi metrik. Anda dapat menyetel alarm yang memicu notifikasi saat metrik cocok dengan ambang batas yang ditentukan.

Lihat informasi yang lebih lengkap di [CloudWatch metrik untuk Amazon Security Lake](cloudwatch-metrics.md).

# Ketahanan di Danau Keamanan Amazon
<a name="disaster-recovery-resiliency"></a>

Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Zona Ketersediaan ini menawarkan cara efektif untuk merancang dan mengoperasikan aplikasi dan basis data. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.

Ketersediaan Danau Keamanan terkait dengan ketersediaan Wilayah. Distribusi di beberapa Availability Zone membantu layanan mentolerir kegagalan di Availability Zone tunggal.

Ketersediaan pesawat data Security Lake tidak terkait dengan ketersediaan Wilayah apa pun. Namun, ketersediaan pesawat kontrol Danau Keamanan terkait erat dengan ketersediaan Wilayah AS Timur (Virginia N.).

Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).

Selain infrastruktur AWS global, Security Lake, di mana data didukung oleh Amazon Simple Storage Service (Amazon S3); menawarkan beberapa fitur untuk membantu mendukung ketahanan data dan kebutuhan pencadangan Anda.

**Konfigurasi siklus hidup**  
Konfigurasi siklus aktif adalah serangkaian aturan yang menentukan tindakan yang diterapkan Amazon S3 pada sekelompok objek. Dengan aturan konfigurasi siklus aktif, Anda dapat memberi tahu Amazon S3 untuk melakukan transisi objek ke kelas penyimpanan yang lebih murah, mengarsipkan, atau menghapusnya. Untuk informasi selengkapnya, lihat [Mengelola siklus hidup penyimpanan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) di Panduan Pengguna *Amazon S3*.

**Pembuatan Versi**  
Penentuan Versi adalah cara menyimpan beberapa varian objek dalam bucket yang sama. Anda dapat menggunakan Penentuan Versi untuk menyimpan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan dalam bucket Amazon S3. Pembuatan versi membantu Anda pulih dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. *Untuk informasi selengkapnya, lihat [Menggunakan pembuatan versi di bucket S3 di Panduan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) Amazon S3.*

**Kelas penyimpanan**  
Amazon S3 menawarkan serangkaian kelas penyimpanan untuk dipilih tergantung pada persyaratan beban kerja Anda. Kelas penyimpanan S3 Standard-IA dan S3 One Zone-IA dirancang untuk data yang Anda akses sekitar sebulan sekali dan membutuhkan akses milidetik. Kelas penyimpanan S3 Glacier Instant Retrieval dirancang untuk data arsip berumur panjang yang diakses dengan akses milidetik yang Anda akses sekitar seperempat sekali. Untuk data arsip yang tidak memerlukan akses langsung, seperti backup, Anda dapat menggunakan kelas penyimpanan S3 Glacier Flexible Retrieval atau S3 Glacier Deep Archive. Untuk informasi selengkapnya, lihat [Menggunakan kelas penyimpanan Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) di Panduan Pengguna *Amazon S3*.

# Keamanan infrastruktur di Amazon Security Lake
<a name="infrastructure-security"></a>

Sebagai layanan terkelola, Amazon Security Lake dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Security Lake melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

# Analisis konfigurasi dan kerentanan di Security Lake
<a name="configuration-vulnerability-analysis"></a>

Konfigurasi dan kontrol TI adalah tanggung jawab bersama antara AWS dan Anda, pelanggan kami. Untuk informasi lebih lanjut, lihat [model tanggung jawab AWS bersama](https://aws.amazon.com/compliance/shared-responsibility-model/). 

# Amazon Security Lake dan titik akhir VPC antarmuka ()AWS PrivateLink
<a name="security-vpc-endpoints"></a>

Anda dapat membuat koneksi pribadi antara VPC dan Amazon Security Lake dengan membuat titik akhir *VPC antarmuka*. Endpoint antarmuka didukung oleh [AWS PrivateLink](https://aws.amazon.com/privatelink), teknologi yang memungkinkan Anda mengakses Security Lake secara pribadi APIs tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi Direct AWS Connect. Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan Security Lake. APIs Lalu lintas antara VPC dan Security Lake Anda tidak meninggalkan jaringan Amazon. 

Setiap titik akhir antarmuka diwakili oleh satu atau beberapa [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) di subnet Anda. 

*Untuk informasi selengkapnya, lihat [Titik akhir VPC Antarmuka (AWS PrivateLink) di Panduan](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink * 

## Pertimbangan untuk titik akhir VPC Security Lake
<a name="vpc-endpoint-considerations"></a>

*Sebelum Anda menyiapkan titik akhir VPC antarmuka untuk Security Lake, pastikan Anda meninjau [properti dan batasan titik akhir Antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) dalam Panduan.AWS PrivateLink * 

Security Lake mendukung panggilan ke semua tindakan API-nya dari VPC Anda. 

Security Lake mendukung titik akhir VPC FIPS hanya di Wilayah berikut di mana FIPS ada:
+ Timur AS (N. Virginia)
+ AS Timur (Ohio)
+ AS Barat (California Utara)
+ AS Barat (Oregon)

## Membuat titik akhir VPC antarmuka untuk Security Lake
<a name="vpc-endpoint-create"></a>

Anda dapat membuat titik akhir VPC untuk layanan Security Lake menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) di *AWS PrivateLink Panduan*.

Buat titik akhir VPC untuk Security Lake menggunakan nama layanan berikut:

 
+ com.amazonaws. *region*.securitylake
+ com.amazonaws. *region*.securitylake-fips (titik akhir FIPS)

Jika Anda mengaktifkan DNS pribadi untuk titik akhir, Anda dapat membuat permintaan API ke Security Lake menggunakan nama DNS default untuk Wilayah, misalnya,. `securitylake.us-east-1.amazonaws.com` 

Untuk informasi selengkapnya, lihat [Mengakses layanan melalui titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) di *AWS PrivateLink Panduan*.

## Membuat kebijakan titik akhir VPC untuk Security Lake
<a name="vpc-endpoint-policy"></a>

Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC Anda yang mengontrol akses ke Security Lake. Kebijakan titik akhir menentukan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.

*Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan dengan titik akhir VPC di Panduan](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).AWS PrivateLink * 

**Contoh: Kebijakan titik akhir VPC untuk tindakan Security Lake**  
Berikut ini adalah contoh kebijakan endpoint untuk Security Lake. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke tindakan Security Lake yang terdaftar untuk semua prinsipal di semua sumber daya.

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securitylake:ListDataLakes",
            "securitylake:ListLogSources",
            "securitylake:ListSubscribers"
         ],
         "Resource":"*"
      }
   ]
}
```

## Subnet bersama
<a name="sh-vpc-endpoint-shared-subnets"></a>

Anda tidak dapat membuat, mendeskripsikan, memodifikasi, atau menghapus titik akhir VPC di subnet yang dibagikan dengan Anda. Namun, Anda dapat menggunakan titik akhir VPC di subnet yang dibagikan dengan Anda. Untuk informasi tentang berbagi VPC, lihat [Membagikan VPC Anda dengan akun lain di Panduan Pengguna](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) Amazon *VPC*.

# Memantau Danau Keamanan Amazon
<a name="monitoring-overview"></a>

Security Lake terintegrasi dengan AWS CloudTrail, yang merupakan layanan yang menyediakan catatan tindakan yang diambil di Security Lake oleh pengguna, peran, atau lainnya Layanan AWS. Ini termasuk tindakan dari konsol Security Lake dan panggilan terprogram ke operasi Security Lake API. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan mana yang dibuat ke Security Lake. Untuk setiap permintaan, Anda dapat mengidentifikasi waktu permintaan itu dibuat, tempat alamat IP itu dibuat, siapa yang membuat permintaan, dan detail tambahan lainnya. Untuk informasi selengkapnya, lihat [Pencatatan panggilan Security Lake API menggunakan CloudTrail](securitylake-cloudtrail.md).

Security Lake dan Amazon CloudWatch terintegrasi, sehingga Anda dapat mengumpulkan, melihat, dan menganalisis metrik untuk log yang dikumpulkan Security Lake. CloudWatch metrik untuk danau data Security Lake Anda secara otomatis dikumpulkan dan didorong ke CloudWatch interval satu menit. Anda juga dapat mengatur alarm untuk mengirimi Anda pemberitahuan jika ambang batas yang ditentukan terpenuhi untuk metrik Security Lake. Untuk daftar semua metrik yang dikirimkan Security Lake CloudWatch, lihat[Metrik dan dimensi Danau Keamanan](cloudwatch-metrics.md#available-securitylake-metrics).

# CloudWatch metrik untuk Amazon Security Lake
<a name="cloudwatch-metrics"></a>

Anda dapat memantau Security Lake menggunakan Amazon CloudWatch, yang mengumpulkan data mentah setiap menit dan memprosesnya menjadi metrik yang dapat dibaca, mendekati waktu nyata. Statistik ini disimpan selama 15 bulan, sehingga Anda dapat mengakses informasi historis dan mendapatkan perspektif yang lebih baik tentang data di danau data Anda. Anda juga dapat mengatur alarm yang memperhatikan ambang batas tertentu dan mengirim notifikasi atau mengambil tindakan saat ambang batas tersebut terpenuhi.

**Topics**
+ [Metrik dan dimensi Danau Keamanan](#available-securitylake-metrics)
+ [Melihat CloudWatch metrik untuk Security Lake](#view-securitylake-metrics)
+ [Menyetel CloudWatch alarm untuk metrik Security Lake](#securitylake-alarm-metrics)

## Metrik dan dimensi Danau Keamanan
<a name="available-securitylake-metrics"></a>

Namespace `AWS/SecurityLake` mencakup metrik berikut.


| Metrik | Deskripsi | 
| --- | --- | 
|  `ProcessedSize`  |  Volume data dari dukungan asli Layanan AWS yang saat ini disimpan di danau data Anda. Unit: Byte  | 

Dimensi berikut tersedia untuk metrik Security Lake.


| Dimensi | Deskripsi | 
| --- | --- | 
|  `Account`  |  `ProcessedSize`metrik untuk yang spesifik Akun AWS. Dimensi ini hanya tersedia ketika Anda melihat `Per-Account Source Version Metrics` pada CloudWatch.  | 
|  `Region`  |  `ProcessedSize`metrik untuk yang spesifik Wilayah AWS.  | 
|  `Source`  |  `ProcessedSize`metrik untuk sumber AWS log tertentu.  | 
|  `SourceVersion`  |  `ProcessedSize`metrik untuk versi tertentu dari sumber AWS log.  | 

Anda dapat melihat metrik untuk spesifik Akun AWS (`Per-Account Source Version Metrics`) atau untuk semua akun di organisasi (`Per-Source Version Metrics`).

## Melihat CloudWatch metrik untuk Security Lake
<a name="view-securitylake-metrics"></a>

Anda dapat memantau metrik untuk Security Lake menggunakan CloudWatch konsol, CloudWatch antarmuka baris perintah (CLI) sendiri, atau menggunakan API secara terprogram. CloudWatch Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengakses metrik Security Lake.

------
#### [ CloudWatch console ]

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Pada panel navigasi, pilih **Metrik, Semua metrik**.

1. Pada tab **Browse**, pilih **Security Lake**.

1. Pilih Metrik **Versi Sumber Per-Akun atau Metrik Versi** **Per-Sumber**.

1. Pilih metrik untuk melihatnya secara detail. Anda juga dapat memilih untuk melakukan hal berikut:
   + Untuk mengurutkan metrik, gunakan judul kolom.
   + Untuk membuat grafik metrik, pilih nama metrik, dan pilih opsi grafik.
   + Untuk memfilter menurut metrik, pilih nama metrik lalu pilih **Tambahkan ke pencarian**.

------
#### [ CloudWatch API ]

Untuk mengakses metrik Security Lake menggunakan CloudWatch API, gunakan [https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)tindakan.

------
#### [ AWS CLI ]

Untuk mengakses metrik Security Lake menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html)perintah.

------

Untuk informasi selengkapnya tentang pemantauan menggunakan metrik, lihat [Menggunakan CloudWatch metrik Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) di * CloudWatch Panduan Pengguna Amazon*.

## Menyetel CloudWatch alarm untuk metrik Security Lake
<a name="securitylake-alarm-metrics"></a>

CloudWatch juga memungkinkan Anda untuk mengatur alarm ketika ambang batas terpenuhi untuk metrik. Misalnya, Anda dapat menyetel alarm untuk **ProcessedSize**metrik, sehingga Anda diberi tahu ketika volume data dari sumber tertentu melebihi ambang batas tertentu.

Untuk petunjuk tentang pengaturan alarm, lihat [Menggunakan CloudWatch alarm Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) di * CloudWatch Panduan Pengguna Amazon*.