Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan peran terkait layanan untuk Security Lake
<a name="using-service-linked-roles"></a>

Security Lake menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah peran IAM yang terhubung langsung ke Security Lake. Ini telah ditentukan oleh Security Lake, dan itu mencakup semua izin yang diperlukan Security Lake untuk memanggil orang lain Layanan AWS atas nama Anda dan mengoperasikan layanan danau data keamanan. Security Lake menggunakan peran terkait layanan ini di semua Wilayah AWS tempat Danau Keamanan tersedia.

Peran terkait layanan menghilangkan kebutuhan untuk menambahkan izin yang diperlukan secara manual saat menyiapkan Security Lake. Security Lake mendefinisikan izin peran terkait layanan ini, dan kecuali ditentukan lain, hanya Security Lake yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*. Anda dapat menghapus peran terkait layanan hanya setelah menghapus sumber daya terkait. Ini melindungi sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan tautan untuk meninjau dokumentasi peran terkait layanan untuk layanan tersebut.

**Topics**
+ [Izin peran terkait layanan (SLR) untuk Security Lake](slr-permissions.md)
+ [Izin peran terkait layanan (SLR) untuk manajemen sumber daya](AWSServiceRoleForSecurityLakeResourceManagement.md)

# Izin peran terkait layanan (SLR) untuk Security Lake
<a name="slr-permissions"></a>

Security Lake menggunakan peran terkait layanan bernama. `AWSServiceRoleForSecurityLake` Peran terkait layanan ini mempercayai `securitylake.amazonaws.com` layanan untuk mengambil peran tersebut. Untuk informasi selengkapnya tentang, kebijakan AWS terkelola untuk Amazon Security Lake, lihat [AWS mengelola kebijakan untuk Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html).

Kebijakan izin untuk peran tersebut, yang merupakan kebijakan AWS terkelola bernama`SecurityLakeServiceLinkedRole`, memungkinkan Security Lake membuat dan mengoperasikan data lake keamanan. Ini juga memungkinkan Security Lake untuk melakukan tugas-tugas seperti berikut pada sumber daya yang ditentukan:
+ Gunakan AWS Organizations tindakan untuk mengambil informasi tentang akun terkait
+ Gunakan Amazon Elastic Compute Cloud (Amazon EC2) untuk mengambil informasi tentang Amazon VPC Flow Logs
+ Menggunakan AWS CloudTrail tindakan untuk mengambil informasi tentang peran terkait layanan
+ Gunakan AWS WAF tindakan untuk mengumpulkan AWS WAF log, saat diaktifkan sebagai sumber log di Security Lake
+ Gunakan `LogDelivery` tindakan untuk membuat atau menghapus langganan pengiriman AWS WAF log.

Untuk meninjau izin kebijakan ini, lihat [SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran terkait layanan Security Lake
<a name="create-slr"></a>

Anda tidak perlu membuat peran `AWSServiceRoleForSecurityLake` terkait layanan untuk Security Lake secara manual. Saat Anda mengaktifkan Security Lake untuk Anda Akun AWS, Security Lake secara otomatis membuat peran terkait layanan untuk Anda.

## Mengedit peran terkait layanan Security Lake
<a name="edit-slr"></a>

Security Lake tidak mengizinkan Anda mengedit peran `AWSServiceRoleForSecurityLake` terkait layanan. Setelah peran terkait layanan dibuat, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait layanan Security Lake
<a name="delete-slr"></a>

Anda tidak dapat menghapus peran terkait layanan dari Security Lake. Sebagai gantinya, Anda dapat menghapus peran terkait layanan dari konsol IAM, API, atau. AWS CLI Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

Sebelum dapat menghapus peran terkait layanan, Anda harus terlebih dahulu mengonfirmasi bahwa peran tersebut tidak memiliki sesi aktif dan menghapus sumber daya apa pun yang `AWSServiceRoleForSecurityLake` digunakan.

**catatan**  
Jika Security Lake menggunakan `AWSServiceRoleForSecurityLake` peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika itu terjadi, tunggu beberapa menit dan kemudian coba operasi lagi.

Jika Anda menghapus peran `AWSServiceRoleForSecurityLake` terkait layanan dan perlu membuatnya lagi, Anda dapat membuatnya lagi dengan mengaktifkan Security Lake untuk akun Anda. Saat Anda mengaktifkan Security Lake lagi, Security Lake secara otomatis membuat peran terkait layanan lagi untuk Anda.

## Didukung Wilayah AWS untuk peran terkait layanan Security Lake
<a name="slr-regions"></a>

Security Lake mendukung penggunaan peran `AWSServiceRoleForSecurityLake` terkait layanan di semua Wilayah AWS tempat Security Lake tersedia. Untuk daftar Wilayah di mana Danau Keamanan saat ini tersedia, lihat[Wilayah Danau Keamanan dan titik akhir](supported-regions.md).

# Izin peran terkait layanan (SLR) untuk manajemen sumber daya
<a name="AWSServiceRoleForSecurityLakeResourceManagement"></a>

Security Lake menggunakan peran terkait layanan yang disebutkan `AWSServiceRoleForSecurityLakeResourceManagement` untuk melakukan pemantauan berkelanjutan dan peningkatan kinerja, yang dapat mengurangi latensi dan biaya. Peran terkait layanan ini mempercayai `resource-management.securitylake.amazonaws.com` layanan untuk mengambil peran tersebut. Mengaktifkan juga `AWSServiceRoleForSecurityLakeResourceManagement` akan memberinya akses ke Lake Formation dan secara otomatis mendaftarkan bucket S3 terkelola Security Lake Anda dengan Lake Formation di semua Wilayah untuk meningkatkan keamanan. 

 Kebijakan izin untuk peran, yang merupakan kebijakan AWS terkelola bernama`SecurityLakeResourceManagementServiceRolePolicy`, memungkinkan akses untuk mengelola sumber daya yang dibuat oleh Security Lake; termasuk mengelola metadata di data lake Anda. Untuk informasi selengkapnya tentang, kebijakan AWS terkelola untuk Amazon Security Lake, lihat [kebijakan AWS terkelola untuk Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement.html).

Peran terkait layanan ini memungkinkan Security Lake memantau kesehatan sumber daya yang digunakan oleh Security Lake (Bucket S3, tabel, Antrian AWS Glue Amazon SQS, Fungsi Lambda Metastore Manager (MSM), dan aturan) ke akun Anda. EventBridge Beberapa contoh operasi yang dapat dilakukan Security Lake dengan peran terkait layanan ini adalah:
+ Pemadatan file manifes Apache Iceberg, yang meningkatkan kinerja kueri dan menurunkan waktu dan biaya pemrosesan Lambda MSM.
+ Pantau status Amazon SQS untuk mendeteksi masalah konsumsi.
+ Optimalkan replikasi data lintas wilayah untuk mengecualikan file metadata.

**catatan**  
Jika Anda tidak menginstal peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan, Security Lake akan terus berfungsi tetapi sangat disarankan untuk menerima peran terkait layanan ini sehingga Security Lake dapat memantau dan mengoptimalkan sumber daya di akun Anda. 

**Detail izin**

Peran dikonfigurasi dengan kebijakan izin berikut:




+ `events`— Memungkinkan kepala sekolah untuk mengelola EventBridge aturan yang diperlukan untuk sumber log dan log pelanggan.
+ `lambda`— Memungkinkan prinsipal untuk mengelola lambda yang digunakan untuk memperbarui partisi AWS Glue tabel setelah pengiriman AWS sumber dan replikasi lintas wilayah.
+ `glue`— Memungkinkan kepala sekolah untuk melakukan tindakan penulisan khusus untuk tabel Katalog AWS Glue Data. Ini juga memungkinkan AWS Glue crawler untuk mengidentifikasi partisi dalam data Anda, dan memungkinkan Security Lake mengelola metadata Apache Iceberg untuk tabel Apache Iceberg Anda.
+ `s3`— Memungkinkan kepala sekolah untuk melakukan tindakan baca dan tulis tertentu pada bucket Security Lake yang berisi data log dan metadata tabel Glue.
+ `logs`— Memungkinkan akses baca kepala sekolah untuk mencatat output fungsi Lambda ke Log. CloudWatch 
+ `sqs`— Memungkinkan prinsipal untuk melakukan tindakan baca dan tulis tertentu untuk antrian Amazon SQS yang menerima pemberitahuan peristiwa saat objek ditambahkan atau diperbarui di danau data Anda.
+ `lakeformation`— Memungkinkan kepala sekolah membaca pengaturan Lake Formation untuk memantau kesalahan konfigurasi.

Untuk meninjau izin kebijakan ini, lihat [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran terkait layanan Security Lake
<a name="create-slr"></a>

Anda dapat membuat peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan untuk Security Lake menggunakan konsol Security Lake atau. AWS CLI

Untuk membuat peran terkait layanan, Anda harus memberikan izin berikut kepada pengguna IAM atau peran IAM Anda. Peran IAM harus menjadi administrator Lake Formation di semua Wilayah yang diaktifkan Security Lake.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowLakeFormationActionsViaSecurityLakeConsole",
      "Effect": "Allow",
      "Action": [
        "lakeformation:GrantPermissions",
        "lakeformation:ListPermissions",
        "lakeformation:ListResources",
        "lakeformation:RegisterResource",
        "lakeformation:RevokePermissions"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowIamActionsViaSecurityLakeConsole",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:GetPolicyVersion",
        "iam:GetRole",
        "iam:PutRolePolicy"
      ],
      "Resource": [
        "arn:*:iam::*:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement",
        "arn:*:iam::*:role/*AWSServiceRoleForLakeFormationDataAccess",
        "arn:*:iam::aws:policy/service-role/AWSGlueServiceRole",
        "arn:*:iam::aws:policy/service-role/AmazonSecurityLakeMetastoreManager",
        "arn:*:iam::aws:policy/aws-service-role/SecurityLakeResourceManagementServiceRolePolicy"
      ],
      "Condition": {
        "StringLikeIfExists": {
          "iam:AWSServiceName": [
            "securitylake.amazonaws.com",
            "resource-management.securitylake.amazonaws.com",
            "lakeformation.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowGlueActionsViaConsole",
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabase",
        "glue:GetTables"
      ],
      "Resource": [
        "arn:*:glue:*:*:catalog",
        "arn:*:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:*:glue:*:*:table/amazon_security_lake_glue_db*/*"
      ]
    }
  ]
}
```

------

------
#### [ Console ]

1. Buka konsol Security Lake di [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Terima peran terkait layanan baru dengan mengklik **Aktifkan peran terkait layanan** di bilah informasi di halaman Ringkasan.

Setelah Anda mengaktifkan peran terkait layanan, Anda tidak perlu mengulangi proses ini untuk penggunaan Security Lake di masa mendatang.

------
#### [ CLI ]

Untuk membuat peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan secara terprogram, gunakan perintah CLI berikut. 

```
$ aws iam create-service-linked-role 
--aws-service-name resource-management.securitylake.amazonaws.com
```



Saat membuat peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan menggunakan AWS CLI, Anda juga harus memberikannya izin tingkat tabel Lake Formation (ALTER, DESCRIPTION) ke semua tabel pada database Security Lake Glue untuk mengelola metadata tabel dan mengakses data. Jika Glue tabel di wilayah mana pun mereferensikan bucket S3 dari pengaktifan Security Lake sebelumnya, Anda harus mengizinkan sementara izin DATA\$1LOCATION\$1ACCESS ke peran terkait layanan untuk memungkinkan Security Lake memulihkan situasi ini. 

Anda juga harus memberikan izin Lake Formation ke peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan untuk akun Anda.

Contoh berikut menunjukkan cara memberikan izin Lake Formation ke peran terkait layanan di Wilayah yang ditunjuk. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws lakeformation grant-permissions --region {region} --principal DataLakePrincipalIdentifier={AWSServiceRoleForSecurityLakeResourceManagement ARN} \
--permissions ALTER DESCRIBE --resource '{ "Table": { "DatabaseName": "amazon_security_lake_glue_db_{region}", "TableWildcard": {} } }'
```

Contoh berikut menunjukkan bagaimana ARN Peran akan terlihat seperti. Anda harus mengedit ARN Peran agar sesuai dengan Wilayah Anda.

`"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"`

Anda juga dapat menggunakan panggilan [CreateServiceLinkedRole](https://docs.aws.amazon.com//IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API. Dalam permintaan, tentukan `AWSServiceName` sebagai`resource-management.securitylake.amazonaws.com`.

------

Setelah mengaktifkan `AWSServiceRoleForSecurityLakeResourceManagement` peran, jika Anda menggunakan AWS KMS Customer Managed Key (CMK) untuk enkripsi, Anda harus mengizinkan peran terkait layanan untuk menulis objek terenkripsi ke bucket S3 di Wilayah tempat CMK ada. AWS Di AWS KMS konsol, tambahkan kebijakan berikut ke kunci KMS di AWS Wilayah tempat CMK ada. Untuk detail tentang cara mengubah kebijakan kunci KMS, lihat [Kebijakan utama AWS KMS di](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) Panduan AWS Key Management Service Pengembang.

```
{
    "Sid": "Allow SLR",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::[regional-datalake-s3-bucket-name]"
        },
        "StringLike": {
            "kms:ViaService": "s3.[region].amazonaws.com"
        }
    }
},
```

## Mengedit peran terkait layanan Security Lake
<a name="edit-slr"></a>

Security Lake tidak mengizinkan Anda mengedit peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan. Setelah peran terkait layanan dibuat, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait layanan Security Lake
<a name="delete-slr"></a>

Anda tidak dapat menghapus peran terkait layanan dari Security Lake. Sebagai gantinya, Anda dapat menghapus peran terkait layanan dari konsol IAM, API, atau. AWS CLI Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

Sebelum dapat menghapus peran terkait layanan, Anda harus terlebih dahulu mengonfirmasi bahwa peran tersebut tidak memiliki sesi aktif dan menghapus sumber daya apa pun yang `AWSServiceRoleForSecurityLakeResourceManagement` digunakan.

**catatan**  
Jika Security Lake menggunakan `AWSServiceRoleForSecurityLakeResourceManagement` peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika itu terjadi, tunggu beberapa menit dan kemudian coba operasi lagi.

Jika Anda menghapus peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan dan perlu membuatnya lagi, Anda dapat membuatnya lagi dengan mengaktifkan Security Lake untuk akun Anda. Saat Anda mengaktifkan Security Lake lagi, Security Lake secara otomatis membuat peran terkait layanan lagi untuk Anda.

## Didukung Wilayah AWS untuk peran terkait layanan Security Lake
<a name="slr-regions"></a>

Security Lake mendukung penggunaan peran `AWSServiceRoleForSecurityLakeResourceManagement` terkait layanan di semua Wilayah AWS tempat Security Lake tersedia. Untuk daftar Wilayah di mana Danau Keamanan saat ini tersedia, lihat[Wilayah Danau Keamanan dan titik akhir](supported-regions.md).