Security Lake のサービスにリンクされたロール (SLR) アクセス許可 - Amazon Security Lake
Security Lake のサービスリンクロールの作成Security Lake 向けのサービスリンクロールの編集Security Lake 向けのサービスリンクロールの削除Security Lake サービスにリンクされたロール AWS リージョン でサポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Lake のサービスにリンクされたロール (SLR) アクセス許可

Security Lake では、AWSServiceRoleForSecurityLake という名前のサービスリンクロールを使用します。このサービスリンクロールは、ロールを引き受ける上で securitylake.amazonaws.com サービスを信頼します。Amazon Security Lake AWS の管理ポリシーの詳細については、AWS 「Amazon Security Lake の管理ポリシー」を参照してください。

という名前の AWS マネージドポリシーであるロールのアクセス許可ポリシーSecurityLakeServiceLinkedRoleにより、Security Lake はセキュリティデータレイクを作成して運用できます。また、Security Lake は指定されたリソースに対して次のようなタスクを実行できるようになります。

  • AWS Organizations アクションを使用して、関連付けられたアカウントに関する情報を取得する

  • Amazon Elastic Compute Cloud (Amazon EC2) を使用して、Amazon VPC フローログに関する情報を取得します

  • AWS CloudTrail アクションを使用して、サービスにリンクされたロールに関する情報を取得する

  • Security Lake で AWS WAF ログソースとして有効になっている場合、 AWS WAF アクションを使用してログを収集する

  • LogDelivery アクションを使用して、 AWS WAF ログ配信サブスクリプションを作成または削除します。

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイド」のSecurityLakeServiceLinkedRole」を参照してください。

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスリンクロールのアクセス権限) を参照してください。

Security Lake のサービスリンクロールの作成

Security Lake 用のAWSServiceRoleForSecurityLakeサービスリンクロールを手動で作成する必要はありません。で Security Lake を有効にすると AWS アカウント、Security Lake は自動的にサービスにリンクされたロールを作成します。

Security Lake 向けのサービスリンクロールの編集

Security Lake では、AWSServiceRoleForSecurityLake サービスリンクロールの編集は許可されていません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

Security Lake 向けのサービスリンクロールの削除

サービスリンクロールを Security Lake から削除することはできません。代わりに、IAM コンソール、API、または からサービスにリンクされたロールを削除できます AWS CLI。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

サービスリンクロールを削除する前に、まずロールにアクティブなセッションがないことを確認し、AWSServiceRoleForSecurityLake が使用しているリソースを削除する必要があります。

注記

リソースを削除しようとするときに Security Lake が AWSServiceRoleForSecurityLake ロールを使用している場合、削除は失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForSecurityLakeサービスリンクロールを削除したが、再作成する必要がある場合は、アカウントで Security Lake を有効にすることで、ロールを再作成することができます。Security Lake を再作成すると、Security Lake は、ユーザーのためにサービスリンクロールを再作成します。

Security Lake サービスにリンクされたロール AWS リージョン でサポート

Security Lake は、Security Lake AWS リージョン が利用可能なすべての でAWSServiceRoleForSecurityLakeサービスにリンクされたロールの使用をサポートしています。Security Lake が現在利用可能なリージョンのリストについては、「Security Lake のリージョンとエンドポイント」を参照してください。