リソース管理のためのサービスにリンクされたロール (SLR) アクセス許可 - Amazon Security Lake
Security Lake のサービスリンクロールの作成Security Lake 向けのサービスリンクロールの編集Security Lake 向けのサービスリンクロールの削除Security Lake サービスにリンクされたロール AWS リージョン でサポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リソース管理のためのサービスにリンクされたロール (SLR) アクセス許可

Security Lake は、 という名前のサービスにリンクされたロールAWSServiceRoleForSecurityLakeResourceManagementを使用して、継続的なモニタリングとパフォーマンスの向上を実行します。これにより、レイテンシーとコストを削減できます。このサービスリンクロールは、ロールを引き受ける上で resource-management.securitylake.amazonaws.com サービスを信頼します。またAWSServiceRoleForSecurityLakeResourceManagement、 を有効にすると、Lake Formation へのアクセスが許可され、セキュリティを強化するために、すべてのリージョンで Security Lake マネージド S3 バケットを Lake Formation に自動的に登録します。

という名前の AWS マネージドポリシーであるロールのアクセス許可ポリシーはSecurityLakeResourceManagementServiceRolePolicy、データレイク内のメタデータの管理など、Security Lake によって作成されたリソースを管理するためのアクセスを許可します。Amazon Security Lake AWS の管理ポリシーの詳細については、AWS 「Amazon Security Lake の管理ポリシー」を参照してください。

このサービスにリンクされたロールにより、Security Lake は、Security Lake (S3 Bucket、 AWS Glue tables、Amazon SQS Queue、Metastore Manager (MSM) Lambda Function、EventBridge ルール) によってアカウントにデプロイされたリソースのヘルスをモニタリングできます。Security Lake がこのサービスにリンクされたロールで実行できるオペレーションの例を以下に示します。

  • Apache Iceberg マニフェストファイルの圧縮により、クエリのパフォーマンスが向上し、Lambda MSM の処理時間とコストを削減できます。

  • Amazon SQS の状態をモニタリングして、取り込みの問題を検出します。

  • メタデータファイルを除外するために、クロスリージョンデータレプリケーションを最適化します。

注記

AWSServiceRoleForSecurityLakeResourceManagement サービスにリンクされたロールをインストールしない場合、Security Lake は引き続き機能しますが、Security Lake がアカウント内のリソースをモニタリングおよび最適化できるように、このサービスにリンクされたロールを受け入れることを強くお勧めします。

アクセス許可の詳細

そのロールは、次のアクセス許可ポリシーで設定する必要があります。

  • events – プリンシパルがログソースとログサブスクライバーに必要な EventBridge ルールを管理できるようにします。

  • lambda – AWS プリンシパルがソース配信とクロスリージョンレプリケーション後に AWS Glue テーブルパーティションを更新するために使用される Lambda を管理できるようにします。

  • glue – プリンシパルが AWS Glue Data Catalog テーブルに対して特定の書き込みアクションを実行できるようにします。これにより、 AWS Glue クローラはデータ内のパーティションを識別でき、Security Lake は Apache Iceberg テーブルの Apache Iceberg メタデータを管理できます。

  • s3 – プリンシパルが、ログデータと Glue テーブルメタデータを含む Security Lake バケットに対して特定の読み取りおよび書き込みアクションを実行できるようにします。

  • logs – Lambda 関数の出力を CloudWatch Logs に記録するための読み取りアクセスをプリンシパルに許可します。

  • sqs – プリンシパルが、データレイクでオブジェクトが追加または更新されたときにイベント通知を受け取る Amazon SQS キューに対して特定の読み取りおよび書き込みアクションを実行できるようにします。

  • lakeformation – プリンシパルが Lake Formation 設定を読み取って設定ミスをモニタリングできるようにします。

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」のSecurityLakeResourceManagementServiceRolePolicy」を参照してください。

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスリンクロールのアクセス権限) を参照してください。

Security Lake のサービスリンクロールの作成

Security Lake AWSServiceRoleForSecurityLakeResourceManagementのサービスにリンクされたロールは、Security Lake コンソールまたは を使用して作成できます AWS CLI。

サービスにリンクされたロールを作成するには、IAM ユーザーまたは IAM ロールに次のアクセス許可を付与する必要があります。IAM ロールは、Security Lake が有効なすべてのリージョンで Lake Formation 管理者である必要があります。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowLakeFormationActionsViaSecurityLakeConsole",
      "Effect": "Allow",
      "Action": [
        "lakeformation:GrantPermissions",
        "lakeformation:ListPermissions",
        "lakeformation:ListResources",
        "lakeformation:RegisterResource",
        "lakeformation:RevokePermissions"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowIamActionsViaSecurityLakeConsole",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:GetPolicyVersion",
        "iam:GetRole",
        "iam:PutRolePolicy"
      ],
      "Resource": [
        "arn:*:iam::*:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement",
        "arn:*:iam::*:role/*AWSServiceRoleForLakeFormationDataAccess",
        "arn:*:iam::aws:policy/service-role/AWSGlueServiceRole",
        "arn:*:iam::aws:policy/service-role/AmazonSecurityLakeMetastoreManager",
        "arn:*:iam::aws:policy/aws-service-role/SecurityLakeResourceManagementServiceRolePolicy"
      ],
      "Condition": {
        "StringLikeIfExists": {
          "iam:AWSServiceName": [
            "securitylake.amazonaws.com",
            "resource-management.securitylake.amazonaws.com",
            "lakeformation.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowGlueActionsViaConsole",
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabase",
        "glue:GetTables"
      ],
      "Resource": [
        "arn:*:glue:*:*:catalog",
        "arn:*:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:*:glue:*:*:table/amazon_security_lake_glue_db*/*"
      ]
    }
  ]
}
Console

  1. Security Lake コンソール https://console.aws.amazon.com/securitylake/ を開きます。

  2. 概要ページの情報バーでサービスにリンクされたロールを有効にするをクリックして、新しいサービスにリンクされたロールを受け入れます。

サービスにリンクされたロールを有効にすると、Security Lake を将来使用するためにこのプロセスを繰り返す必要はありません。

CLI

AWSServiceRoleForSecurityLakeResourceManagement サービスにリンクされたロールをプログラムで作成するには、次の CLI コマンドを使用します。

$ aws iam create-service-linked-role 
--aws-service-name resource-management.securitylake.amazonaws.com

を使用してAWSServiceRoleForSecurityLakeResourceManagementサービスにリンクされたロールを作成するときは AWS CLI、テーブルメタデータを管理し、データにアクセスするために、Security Lake Glue データベース上のすべてのテーブルに Lake Formation テーブルレベルのアクセス許可 (ALTER、DESCRIBE) も付与する必要があります。いずれかのリージョンの Glue テーブルが以前の Security Lake 有効化から S3 バケットを参照する場合は、サービスにリンクされたロールへの DATA_LOCATION_ACCESS アクセス許可を一時的に許可して、Security Lake がこの状況を修復できるようにする必要があります。

また、Lake Formation のアクセス許可をアカウントのAWSServiceRoleForSecurityLakeResourceManagementサービスにリンクされたロールに付与する必要があります。

次の例は、指定されたリージョンのサービスにリンクされたロールに Lake Formation のアクセス許可を付与する方法を示しています。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws lakeformation grant-permissions --region {region} --principal DataLakePrincipalIdentifier={AWSServiceRoleForSecurityLakeResourceManagement ARN} \
--permissions ALTER DESCRIBE --resource '{ "Table": { "DatabaseName": "amazon_security_lake_glue_db_{region}", "TableWildcard": {} } }'

次の例は、ロール ARN がどのように表示されるかを示しています。リージョンと一致するようにロール ARN を編集する必要があります。

"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"

CreateServiceLinkedRole API コールを使用することもできます。リクエストで、 を AWSServiceNameとして指定しますresource-management.securitylake.amazonaws.com

AWSServiceRoleForSecurityLakeResourceManagement ロールを有効にした後、暗号化に AWS KMS カスタマーマネージドキー (CMK) を使用している場合は、サービスにリンクされたロールが CMK が存在するリージョンの S3 バケットに暗号化されたオブジェクトを AWS 書き込むことを許可する必要があります。 AWS KMS コンソールで、CMK が存在する AWS リージョンの KMS キーに次のポリシーを追加します。KMS キーポリシーを変更する方法の詳細については、「 AWS Key Management Service デベロッパーガイド」の「 のキーポリシー AWS KMS」を参照してください。

{
    "Sid": "Allow SLR",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::[regional-datalake-s3-bucket-name]"
        },
        "StringLike": {
            "kms:ViaService": "s3.[region].amazonaws.com"
        }
    }
},

Security Lake 向けのサービスリンクロールの編集

Security Lake では、AWSServiceRoleForSecurityLakeResourceManagement サービスリンクロールの編集は許可されていません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

Security Lake 向けのサービスリンクロールの削除

サービスリンクロールを Security Lake から削除することはできません。代わりに、IAM コンソール、API、または からサービスにリンクされたロールを削除できます AWS CLI。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

サービスリンクロールを削除する前に、まずロールにアクティブなセッションがないことを確認し、AWSServiceRoleForSecurityLakeResourceManagement が使用しているリソースを削除する必要があります。

注記

リソースを削除しようとするときに Security Lake が AWSServiceRoleForSecurityLakeResourceManagement ロールを使用している場合、削除は失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForSecurityLakeResourceManagementサービスリンクロールを削除したが、再作成する必要がある場合は、アカウントで Security Lake を有効にすることで、ロールを再作成することができます。Security Lake を再作成すると、Security Lake は、ユーザーのためにサービスリンクロールを再作成します。

Security Lake サービスにリンクされたロール AWS リージョン でサポート

Security Lake は、Security Lake AWS リージョン が利用可能なすべての でAWSServiceRoleForSecurityLakeResourceManagementサービスにリンクされたロールの使用をサポートしています。Security Lake が現在利用可能なリージョンのリストについては、「Security Lake のリージョンとエンドポイント」を参照してください。