AWS Security Lake の マネージドポリシー - Amazon Security Lake
AmazonSecurityLakeMetastoreManagerAmazonSecurityLakePermissionsBoundaryAmazonSecurityLakeAdministratorSecurityLakeServiceLinkedRoleSecurityLakeResourceManagementServiceRolePolicyAWS GlueServiceRoleポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security Lake の マネージドポリシー

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー: AmazonSecurityLakeMetastoreManager

Amazon Security Lake は、 AWS Lambda 関数を使用してデータレイク内のメタデータを管理します。この関数を使用すると、Security Lake はデータとデータファイルを含む Amazon Simple Storage Service (Amazon S3) パーティションを AWS Glue Data Catalog テーブルにインデックス化できます。この管理ポリシーには、S3 パーティションとデータファイルを AWS Glue テーブルにインデックス化するための Lambda 関数のすべてのアクセス許可が含まれています。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • logs – プリンシパルが Lambda 関数の出力を Amazon CloudWatch Logs にログ記録できるようにします。

  • glue – プリンシパルが AWS Glue Data Catalog テーブルに対して特定の書き込みアクションを実行できるようにします。これにより、 AWS Glue クローラはデータ内のパーティションを識別することもできます。

  • sqs – プリンシパルが Amazon SQS キューに対して特定の読み取りおよび書き込みアクションを実行し、データレイクでオブジェクトが追加または更新されたときにイベント通知を送信できるようにします。

  • s3 – プリンシパルがデータを含む Amazon S3 バケットに対して特定の読み取りおよび書き込みアクションを実行できるようにします。

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」のAmazonSecurityLakeMetastoreManager」を参照してください。

AWS マネージドポリシー: AmazonSecurityLakePermissionsBoundary

Amazon Security Lake は、サードパーティのカスタムソースがデータレイクにデータを書き込むためのものと、サードパーティのカスタムサブスクライバーがデータレイクからデータを消費するための IAM ロールを作成し、その際にこのポリシーを使用して権限の境界を定義します。このポリシーを使用するために、お客様が実行する必要があるアクションはありません。データレイクがカスタマーマネージド AWS KMS キーで暗号化されている場合、 kms:Decrypt アクセスkms:GenerateDataKey許可が追加されます。

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」のAmazonSecurityLakePermissionsBoundary」を参照してください。

AWS マネージドポリシー: AmazonSecurityLakeAdministrator

アカウントで Amazon Security Lake を有効にする前に、プリンシパルに AmazonSecurityLakeAdministrator ポリシーをアタッチできます。このポリシーにより、プリンシパルが Security Lake のすべてのアクションに完全にアクセスすることが許可される、管理者許可が付与されます。その後、プリンシパルは Security Lake にオンボーディングし、Security Lake でソースとサブスクライバーを設定できます。

このポリシーには、Security Lake 管理者が Security Lake を通じて他の AWS サービスに対して実行できるアクションが含まれています。

このAmazonSecurityLakeAdministratorポリシーは、Security Lake が Amazon S3 クロスリージョンレプリケーションの管理、 での新しいデータパーティションの登録 AWS Glue、カスタムソースに追加されたデータに対する Glue クローラの実行、または新しいデータの HTTPS エンドポイントサブスクライバーへの通知に必要なユーティリティロールの作成をサポートしていません。これらのロールは、「Amazon Security Lake の開始方法」で説明されているように事前に作成できます。

AmazonSecurityLakeAdministrator 管理ポリシーに加えて、Security Lake にはオンボーディングと設定機能のための lakeformation:PutDataLakeSettings 権限が必要です。PutDataLakeSettings は、アカウント内のすべてのリージョンの Lake Formation リソースの管理者として IAM プリンシパルを設定できます。このロールには iam:CreateRole permissionAmazonSecurityLakeAdministrator のポリシーが添付されている必要があります。

Lake Formation 管理者は Lake Formation コンソールへのフルアクセス権を持ち、初期データ設定とアクセス権限を制御できます。Security Lake は、Security Lake を有効にするプリンシパルと AmazonSecurityLakeMetaStoreManager ロール (またはその他の指定されたロール) を Lake Formation 管理者として割り当てます。これにより、管理者はテーブルの作成、テーブルスキーマの更新、新しいパーティションの登録、テーブルに対する権限の設定を行うことができます。Security Lake 管理者ユーザーまたはロールのポリシーには、次のアクセス許可を含める必要があります。

注記

Lake Formation ベースのサブスクライバーアクセスを許可するのに十分なアクセス許可を提供するために、Security Lake では次のアクセスglue:PutResourcePolicy許可を追加することをお勧めします。

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutLakeFormationSettings",
      "Effect": "Allow",
      "Action": "lakeformation:PutDatalakeSettings",
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowGlueActions",
      "Effect": "Allow",
      "Action": ["glue:PutResourcePolicy", "glue:DeleteResourcePolicy"],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*"
      ],
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    }
  ]
}

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • securitylake - すべての Security Lakeアクションへの完全なアクセスをプリンシパルに許可します。

  • organizations – プリンシパルが AWS Organizations から組織内のアカウントに関する情報を取得できるようにします。アカウントが組織に属している場合、これらの許可は、Security Lake コンソールがアカウント名とアカウント番号を表示することを許可します。

  • iam – プリンシパルが Security Lake、 AWS Lake Formation、および のサービスにリンクされたロールを Amazon EventBridge、これらのサービスを有効にするために必要なステップとして作成できるようにします。また、サブスクライバーロールとカスタムソースロールのポリシーを作成および編集できます。これらのロールの権限は、AmazonSecurityLakePermissionsBoundary ポリシーで許可されているものに限定されます。

  • ram – Security Lake ソースへのサブスクライバーによる設定 Lake Formationベースのクエリアクセスをプリンシパルに許可します。

  • s3 — プリンシパルが Security Lake バケットを作成および管理し、それらのバケットの内容を読み取ることを許可します。

  • lambda – プリンシパルが、 AWS ソース配信とクロスリージョンレプリケーション後にテーブルパーティションを更新する Lambda AWS Glue ために使用される を管理できるようにします。

  • glue — プリンシパルが Security Lake のデータベースとテーブルを作成および管理できるようにします。

  • lakeformation – プリンシパルが Security Lake テーブルの Lake Formation アクセス許可を管理できるようにします。

  • events — プリンシパルが Security Lake ソース内の新しいデータをサブスクライバーに通知するためのルールを管理できるようにします。

  • sqs – Security Lake ソースの新しいデータをサブスクライバーに通知するために使用される Amazon SQS キューを作成および管理することをプリンシパルに許可します。

  • kms — プリンシパルが Security Lake に顧客管理キーを使用してデータを書き込むためのアクセス権を付与できるようにします。

  • secretsmanager — プリンシパルが HTTPS エンドポイント経由で、Security Lake ソース内の新しいデータをサブスクライバーに通知するために使用されるシークレットを管理できるようにします。

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」のAmazonSecurityLakeAdministrator」を参照してください。

AWS マネージドポリシー: SecurityLakeServiceLinkedRole

Security Lake は、 という名前のサービスにリンクされたロールAWSServiceRoleForSecurityLakeを使用して、セキュリティデータレイクを作成および運用します。

SecurityLakeServiceLinkedRole マネージド ポリシーを IAM エンティティにアタッチすることはできません。このポリシーは、ユーザーに代わって Security Lake がアクションを実行することを許可するサービスリンクロールに添付されます。詳細については、「Security Lake のサービスにリンクされたロールのアクセス許可」を参照してください。

AWS マネージドポリシー: SecurityLakeResourceManagementServiceRolePolicy

Security Lake は、 という名前のサービスにリンクされたロールAWSServiceRoleForSecurityLakeResourceManagementを使用して継続的なモニタリングとパフォーマンスの向上を実行し、レイテンシーとコストを削減できます。Security Lake によって作成されたリソースを管理するためのアクセスを提供します。Security Lake に SecurityLake_Glue_Partition_Updater_Lambda を削除する機能を付与します。この Lambda は、iceberg 移行を実行し、v2 ソースに移行したお客様向けに廃止されました。この Lambda は、12 月に廃止される Python 3.9 ランタイムを使用していました。これらのお客様のためにこの Lambda のランタイムを更新するのではなく、削除することをお勧めします。Lambda をまだ必要としているかどうかを判断し、必要としていない場合は削除する復旧プロセスがあります。この SLR 更新は、その Lambda を削除できるようにするために必要です。

SecurityLakeResourceManagementServiceRolePolicy マネージド ポリシーを IAM エンティティにアタッチすることはできません。このポリシーは、ユーザーに代わって Security Lake がアクションを実行することを許可するサービスリンクロールに添付されます。詳細については、「リソース管理のためのサービスにリンクされたロールのアクセス許可」を参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • events – プリンシパルが Security Lake イベント処理の EventBridge ルールを一覧表示および管理できるようにします。

  • lambda – プリンシパルが、廃止されたパーティションアップデーター関数を削除する機能など、Security Lake メタデータ処理の Lambda 関数と設定を管理できるようにします。

  • glue – プリンシパルが Security Lake メタデータ管理用の AWS Glue Data Catalog でパーティションの作成、テーブルの管理、データベースへのアクセスを許可します。

  • s3 – プリンシパルが Security Lake データレイクオペレーションの Amazon S3 バケット設定、ライフサイクルポリシー、メタデータオブジェクトを管理できるようにします。

  • logs – プリンシパルが CloudWatch Logs ストリームにアクセスし、Security Lake Lambda 関数のログデータをクエリできるようにします。

  • sqs – プリンシパルが Security Lake データ処理ワークフローの Amazon SQS キューとメッセージを管理できるようにします。

  • lakeformation – プリンシパルが Security Lake リソース管理のデータレイク設定とアクセス許可を取得できるようにします。

JSON ポリシードキュメントの最新バージョンなど、ポリシーの詳細については、「 AWS マネージドポリシーリファレンスガイド」のSecurityLakeResourceManagementServiceRolePolicy」を参照してください。

AWS マネージドポリシー: AWS GlueServiceRole

AWS GlueServiceRole 管理ポリシーは AWS Glue クローラを呼び出し、カスタムソースデータのクロールとパーティションメタデータの識別 AWS Glue を に許可します。このメタデータはデータカタログでテーブルを作成および更新するために必要です。

詳細については、「Security Lake のカスタムソースからデータを収集する」を参照してください。

AWS マネージドポリシーに対する Security Lake の更新

このサービスがこれらの変更の追跡を開始してからの Security Lake の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、Security Lake の [Document history] (ドキュメントの履歴) ページの RSS フィードをサブスクライブしてください。

変更 説明 日付

SecurityLakeResourceManagementServiceRolePolicy – 既存のポリシーを更新しました

Security Lake は、管理ポリシーを更新SecurityLakeResourceManagementServiceRolePolicyして、廃止された SecurityLake_Glue_Partition_Updater_Lambda 関数のlambda:DeleteFunctionアクセス許可を追加しました。これにより、Security Lake は v2 ソースと iceberg 形式への移行の一環として、非推奨の Lambda 関数をクリーンアップできます。

2025 年 11 月 18 日

AWSServiceRoleForSecurityLakeResourceManagement – 既存のポリシーを更新

このポリシーは、 StringLike演算子を ArnLike演算子に置き換えて、 aws:ResourceAccount 条件ブロックlambda:FunctionArnの の ARN タイプのキーを評価するように更新されました。これにより、より安全な適用が可能になります。

2025 年 9 月 25 日

Amazon Security Lake のサービスにリンクされたロール – 新しいサービスにリンクされたロール

新しいサービスにリンクされたロール を追加しましたAWSServiceRoleForSecurityLakeResourceManagement。このサービスにリンクされたロールは、Security Lake が継続的なモニタリングとパフォーマンスの向上を実行するアクセス許可を提供するため、レイテンシーとコストを削減できます。

2024 年 11 月 14 日

Amazon Security Lake のサービスにリンクされたロール – 既存のサービスにリンクされたロールのアクセス許可の更新

SecurityLakeServiceLinkedRole ポリシーの AWS マネージドポリシーに AWS WAF アクションを追加しました。追加のアクションにより、Security Lake で AWS WAF ログソースとして有効になっている場合、Security Lake はログを収集できます。

2024 年 5 月 22 日

AmazonSecurityLakePermissionsBoundary – 既存ポリシーへの更新

Security Lake がポリシーに SID アクションを追加しました。

2024 年 5 月 13 日

AmazonSecurityLakeMetastoreManager – 既存ポリシーへの更新

Security Lake は、データレイク内のメタデータを削除できるメタデータクリーンアップアクションを追加するようにポリシーを更新しました。

2024 年 3 月 27 日

AmazonSecurityLakeAdministrator – 既存ポリシーへの更新

Security Lake は、新しいAmazonSecurityLakeMetastoreManagerV2ロールiam:PassRoleで を許可するようにポリシーを更新し、Security Lake がデータレイクコンポーネントをデプロイまたは更新できるようにします。

2024 年 2 月 23 日

AmazonSecurityLakeMetastoreManager - 新しいポリシー

Security Lake は、Security Lake がデータレイク内のメタデータを管理するためのアクセス許可を付与する新しい管理ポリシーを追加しました。

2024 年 1 月 23 日

AmazonSecurityLakeAdministrator - 新しいポリシー

Security Lake は、すべての Security Lake アクションへのフルアクセスをプリンシパルに付与する新しい管理ポリシーを追加しました。

2023 年 5 月 30 日

Security Lake が変更の追跡を開始

Security Lake は、 AWS マネージドポリシーの変更の追跡を開始しました。

 2022 年 11 月 29 日