As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em Security Lake
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de data centers e arquiteturas de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam ao Amazon Security Lake, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Security Lake. Os tópicos a seguir mostram como configurar o Security Lake para atender aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos do Security Lake.
**Topics**
+ [Gerenciamento de identidade e acesso para Security Lake](security-iam.md)
+ [Proteção de dados no Amazon Security Lake](data-protection.md)
+ [Validação de conformidade do Amazon Security Lake](compliance-validation.md)
+ [Práticas recomendadas de segurança no Security Lake](best-practices-overview.md)
+ [Resiliência no Amazon Security Lake](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura no Amazon Security Lake](infrastructure-security.md)
+ [Configuração e análise de vulnerabilidade no Security Lake](configuration-vulnerability-analysis.md)
+ [Amazon Security Lake e endpoints de interface VPC ()AWS PrivateLink](security-vpc-endpoints.md)
+ [Monitorar o Amazon Security Lake](monitoring-overview.md)
# Gerenciamento de identidade e acesso para Security Lake
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (fazer login) e *autorizado* (ter permissões) para usar recursos do Security Lake. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Security Lake funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para Security Lake](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para Security Lake](security-iam-awsmanpol.md)
+ [Usando funções vinculadas ao serviço para o Security Lake](using-service-linked-roles.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso do Amazon Security Lake](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Security Lake funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para Security Lake](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Security Lake funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Security Lake, saiba quais recursos do IAM estão disponíveis para uso com o Security Lake.
**Atributos do IAM que você pode usar com o Amazon Security Lake**
| Recurso do IAM | Suporte ao Security Lake |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em atributos](#security_iam_service-with-iam-resource-based-policies) | Sim |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Permissões de entidade principal](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Não |
| [Perfis vinculados ao serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
Para ter uma visão de alto nível de como o Security Lake e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para Security Lake
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
O Security Lake é compatível com políticas baseadas em identidade. Para obter mais informações, consulte [Exemplos de políticas baseadas em identidade para Security Lake](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos no Security Lake
**Compatível com políticas baseadas em recursos:** sim
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
O serviço Security Lake cria políticas baseadas em recursos para os buckets do Amazon S3 que armazenam seus dados. Você não anexa essas políticas baseadas em recursos aos seus buckets do S3. O Security Lake cria automaticamente essas políticas em seu nome.
Um exemplo de recurso é um bucket do S3 com um nome do recurso da Amazon (ARN) de `arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}`. Neste exemplo, `region` é um Região da AWS local específico em que você ativou o Security Lake e `bucket-identifier` é uma sequência alfanumérica regionalmente exclusiva que o Security Lake atribui ao bucket. O Security Lake cria o bucket S3 para armazenar dados dessa região. A política de recursos define quais entidades principais podem realizar ações no bucket. Aqui está um exemplo de política baseada em recursos (política de bucket) que o Security Lake anexa ao bucket:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}/*",
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "PutSecurityLakeObject",
"Effect": "Allow",
"Principal": {
"Service": "securitylake.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}/*",
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{DA-AccountID}",
"s3:x-amz-acl": "bucket-owner-full-control"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:securitylake:us-east-1:111122223333:*"
}
}
}
]
}
```
------
Para obter mais informações sobre as políticas de acesso baseadas em recursos, consulte [Políticas baseadas em identidade e em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) no *Guia do usuário do IAM*.
## Ações da política para Security Lake
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para obter uma lista de ações do Security Lake, consulte [Ações definidas pelo Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) na *Referência de autorização do serviço*.
As ações de políticas no Security Lake usam o seguinte prefixo antes da ação:
```
securitylake
```
Por exemplo, para conceder permissão a um usuário para acessar informações sobre um assinante específico, inclua a ação `securitylake:GetSubscriber` na política atribuída a esse usuário. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O Security Lake define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"securitylake:action1",
"securitylake:action2"
]
```
Para visualizar exemplos de políticas baseadas em identidade do Security Lake, consulte [Exemplos de políticas baseadas em identidade para Security Lake](security_iam_id-based-policy-examples.md).
## Recursos de políticas para Security Lake
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
O Security Lake define os seguintes tipos de recursos: assinante e a configuração do data lake para um Conta da AWS em um determinado Região da AWS. Você pode especificar esses tipos de recursos nas políticas usando ARNs.
Para obter uma lista dos tipos de recursos do Security Lake e a sintaxe dos ARNs para cada um, consulte [Tipos de recursos definidos pelo Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-resources-for-iam-policies) na *Referência de autorização do serviço*. Para saber quais ações você pode especificar para cada tipo de recurso, consulte [Ações definidas pelo Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) na *Referência de autorização do serviço*.
Para visualizar exemplos de políticas baseadas em identidade do Security Lake, consulte [Exemplos de políticas baseadas em identidade para Security Lake](security_iam_id-based-policy-examples.md).
## Chaves de condição de política do Security Lake
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para obter uma lista de chaves de condição do Security Lake, consulte [Chaves de condição do Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-policy-keys) na *Referência de autorização do serviço*. Para saber com que ações e recursos você pode usar uma chave de condição, consulte [Ações definidas pelo Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) na *Referência de autorização do serviço*. Para obter exemplos de políticas que usam chaves de condição, consulte [Exemplos de políticas baseadas em identidade para Security Lake](security_iam_id-based-policy-examples.md).
## Listas de controle de acesso (ACLs) no Security Lake
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Security Lake não oferece suporte ACLs, o que significa que você não pode anexar uma ACL a um recurso do Security Lake.
## Controle de acesso por atributo (ABAC) com o Security Lake
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
Você pode anexar tags aos recursos do Security Lake — assinantes e à configuração do data lake para um indivíduo Conta da AWS . Regiões da AWS Você também pode controlar o acesso a esses tipos de recursos fornecendo informações de tag no elemento `Condition` de uma política. Para obter mais informações sobre recursos de marcação do Security Lake, consulte [Marcando recursos do Security Lake](tagging-resources.md). Para obter exemplos de políticas baseadas em identidade visando controlar o acesso a um recurso baseado nas tags desse recurso, consulte [Exemplos de políticas baseadas em identidade para Security Lake](security_iam_id-based-policy-examples.md).
## Usar credenciais temporárias com o Security Lake
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
O Security Lake oferece suporte ao uso de credenciais temporárias.
## Sessões de acesso direto para o Security Lake
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Algumas ações do Security Lake exigem permissões adicionais para ações dependentes em outros Serviços da AWS. Para obter uma lista dessas ações, consulte [Ações definidas pelo Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) na *Referência de autorização do serviço*.
## Perfis de serviço do Security Lake
**Compatível com perfis de serviço:** não
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
O Security Lake não assume nem usa perfis de serviço. No entanto, serviços relacionados, como Amazon e Amazon S3 EventBridge AWS Lambda, assumem funções de serviço quando você usa o Security Lake. Para executar ações em seu nome, o Security Lake usa uma função vinculada a serviços.
**Atenção**
A alteração das permissões em um perfil de serviço pode criar problemas operacionais no uso do Security Lake. Edite os perfis de serviço somente quando o Security Lake orientar você a fazê-lo.
## Funções vinculadas a serviços do Security Lake
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
O Security Lake usa uma função vinculada a serviços do IAM chamada `AWSServiceRoleForAmazonSecurityLake`. A função vinculada a serviços do Security Lake concede permissões para operar um serviço de data lake de segurança em nome dos clientes. Um perfil vinculado a serviços é um perfil do IAM que está vinculada diretamente ao Security Lake. É predefinido pelo Security Lake e inclui todas as permissões que o Security Lake exige para ligar para outras pessoas Serviços da AWS em seu nome. O Security Lake usa essa função vinculada ao serviço em todos os lugares em Regiões da AWS que o Security Lake está disponível.
Para obter detalhes sobre como criar ou gerenciar função vinculada a serviços do Security Lake, consulte [Usando funções vinculadas ao serviço para o Security Lake](using-service-linked-roles.md).
# Exemplos de políticas baseadas em identidade para Security Lake
Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do Security Lake. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos pelo Security Lake, incluindo o formato de cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição para o Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html) na *Referência de autorização de serviço*. ARNs
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Como usar o console do Security Lake](#security_iam_id-based-policy-examples-console)
+ [Exemplo: permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Exemplo: permitir que a conta de gerenciamento da organização designe e remova um administrador delegado](#security_iam_id-based-policy-examples-orgs)
+ [Exemplo: permitir que os usuários avaliem os assinantes com base em tags](#security_iam_id-based-policy-examples-review-subscribers-tags)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Security Lake em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Como usar o console do Security Lake
Para acessar o console do Amazon Security Lake, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos do Security Lake em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções possam usar o console do Security Lake, crie políticas do IAM que forneçam acesso ao console. Para ter mais informações, consulte [Identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Manual do usuário do IAM*.
Se você criar uma política que permita que usuários ou funções usem o console do Security Lake, certifique-se de que a política inclua as ações apropriadas para os recursos que esses usuários ou funções precisam acessar no console. Caso contrário, eles não conseguirão navegar ou exibir detalhes sobre esses recursos no console.
Por exemplo, para adicionar uma fonte personalizada usando o console, um usuário deve ter permissão para realizar estas ações:
+ `glue:CreateCrawler`
+ `glue:CreateDatabase`
+ `glue:CreateTable`
+ `glue:StartCrawlerSchedule`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `iam:DeleteRolePolicy`
+ `iam:PassRole`
+ `lakeformation:RegisterResource`
+ `lakeformation:GrantPermissions`
+ `s3:ListBucket`
+ `s3:PutObject`
## Exemplo: permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Exemplo: permitir que a conta de gerenciamento da organização designe e remova um administrador delegado
Este exemplo mostra como você pode criar uma política que permite que um usuário de uma conta de gerenciamento do AWS Organizations designe e remova o administrador delegado do Security Lake da organização.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"securitylake:RegisterDataLakeDelegatedAdministrator",
"securitylake:DeregisterDataLakeDelegatedAdministrator"
],
"Resource": "arn:aws:securitylake:*:*:*"
}
]
}
```
------
## Exemplo: permitir que os usuários avaliem os assinantes com base em tags
Você pode usar condições em uma política baseada em identidade para controlar o acesso aos recursos do Security Lake com base em tags. Este exemplo mostra como você pode criar uma política que permite que um usuário avalie os assinantes usando o console do Security Lake ou a API do Security Lake. No entanto, a permissão é concedida somente se o valor da tag do `Owner` tiver o valor do nome de usuário desse assinante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewSubscriberDetailsIfOwner",
"Effect": "Allow",
"Action": "securitylake:GetSubscriber",
"Resource": "arn:aws:securitylake:*:*:subscriber/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
},
{
"Sid": "ListSubscribersIfOwner",
"Effect": "Allow",
"Action": "securitylake:ListSubscribers",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Neste exemplo, se um usuário com o nome de usuário `richard-roe` tentar revisar os detalhes de assinantes individuais, um assinante deverá ter a tag `Owner=richard-roe` ou `owner=richard-roe`. Caso contrário, o usuário terá o acesso negado. A chave da tag de condição `Owner` corresponde a `Owner` e a `owner` porque os nomes de chaves de condição não diferenciam letras maiúsculas de minúsculas. Para obter mais informações sobre o uso de chaves de condição, consulte [Elementos de política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*. Para obter mais informações sobre recursos de marcação do Security Lake, consulte [Marcando recursos do Security Lake](tagging-resources.md).
# AWS políticas gerenciadas para Security Lake
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) for lançada ou novas operações de API forem disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AmazonSecurityLakeMetastoreManager
O Amazon Security Lake usa uma AWS Lambda função para gerenciar metadados em seu data lake. Com o uso dessa função, o Security Lake pode indexar partições do Amazon Simple Storage Service (Amazon S3) que contêm seus dados e arquivos de dados nas AWS Glue tabelas do Catálogo de Dados. Essa política gerenciada contém todas as permissões da função Lambda para indexar as partições e arquivos de dados do S3 nas tabelas. AWS Glue
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `logs`— Permite que os diretores registrem a saída da função Lambda no Amazon CloudWatch Logs.
+ `glue`— Permite que os diretores executem ações de gravação específicas para tabelas do Catálogo AWS Glue de Dados. Isso também permite que AWS Glue os rastreadores identifiquem partições em seus dados.
+ `sqs`— Permite que os diretores realizem ações específicas de leitura e gravação para filas do Amazon SQS que enviam notificações de eventos quando objetos são adicionados ou atualizados em seu data lake.
+ `s3`— Permite que os diretores realizem ações específicas de leitura e gravação para o bucket do Amazon S3 que contém seus dados.
Para verificar as permissões para esta política, consulte [AmazonSecurityLakeMetastoreManager](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeMetastoreManager.html) no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AmazonSecurityLakePermissionsBoundary
O Amazon Security Lake cria perfis do IAM para fontes personalizadas de terceiros gravarem dados em um data lake e para que assinantes terceirizados consumam dados de um data lake e usa essa política ao criar esses perfis para definir o limite de suas permissões. Você não precisa fazer nada para usar essa política. Se o data lake for criptografado com uma AWS KMS chave gerenciada pelo cliente `kms:Decrypt` e `kms:GenerateDataKey` as permissões forem adicionadas.
Para verificar as permissões para esta política, consulte [AmazonSecurityLakePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakePermissionsBoundary.html) no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AmazonSecurityLakeAdministrator
Você pode vincular a política `AmazonSecurityLakeAdministrator` a uma entidade principal antes que ela habilite o Amazon Security Lake para sua conta. Essa política concede permissões administrativas que oferecem à entidade principal acesso total a todas as ações do Security Lake. A entidade principal pode então se conectar ao Security Lake e, posteriormente, configurar fontes e assinantes no Security Lake.
Essa política inclui as ações que os administradores do Security Lake podem executar em outros serviços da AWS pelo Security Lake.
A `AmazonSecurityLakeAdministrator` política não suporta a criação de funções utilitárias exigidas pelo Security Lake para gerenciar a replicação entre regiões do Amazon S3, o registro de novas partições de dados, a AWS Glue execução de um rastreador Glue em dados adicionados a fontes personalizadas ou a notificação de novos dados aos assinantes do endpoint HTTPS. Você pode criar essas funções com antecedência, conforme descrito em [Conceitos básicos do Amazon Security Lake](getting-started.md).
Além da política gerenciada `AmazonSecurityLakeAdministrator`, o Security Lake exige permissões `lakeformation:PutDataLakeSettings` para funções de integração e configuração. `PutDataLakeSettings` permite definir uma entidade principal do IAM como administrador de todos os recursos regionais do Lake Formation na conta. Essa função deve ter `iam:CreateRole permission`, além de uma política `AmazonSecurityLakeAdministrator` associada a ela.
Os administradores do Lake Formation têm acesso total ao console do Lake Formation e controlam a configuração inicial dos dados e as permissões de acesso. O Security Lake atribui a entidade principal que habilita o Security Lake e a função `AmazonSecurityLakeMetaStoreManager` (ou outra função especificada) como administradores do Lake Formation para que eles possam criar tabelas, atualizar o esquema da tabela, registrar novas partições e configurar permissões nas tabelas. Você deve incluir as seguintes permissões na política para o usuário ou a função de administrador do Security Lake:
**nota**
Para fornecer permissões suficientes para conceder acesso de assinante baseado em Lake Formation, o Security Lake recomenda adicionar as seguintes `glue:PutResourcePolicy` permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutLakeFormationSettings",
"Effect": "Allow",
"Action": "lakeformation:PutDatalakeSettings",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "securitylake.amazonaws.com"
}
}
},
{
"Sid": "AllowGlueActions",
"Effect": "Allow",
"Action": ["glue:PutResourcePolicy", "glue:DeleteResourcePolicy"],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
"arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "securitylake.amazonaws.com"
}
}
}
]
}
```
------
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `securitylake`: permite que entidades principais tenham total acesso a todas as ações do Security Lake.
+ `organizations`: permite que entidades principais recuperem informações das organizações da AWS sobre as contas de uma organização. Se conta for da organização, essas permissões permitem que o console do Security Lake exiba os nomes das contas e os números das contas.
+ `iam`— Permite que os diretores criem funções vinculadas a serviços para o Security Lake e AWS Lake Formation Amazon EventBridge, como uma etapa necessária ao habilitar esses serviços. Também permite a criação e edição de políticas para funções de assinante e de fonte personalizada, com as permissões dessas funções limitadas ao que é permitido pela política `AmazonSecurityLakePermissionsBoundary`.
+ `ram`— Permite que os diretores configurem o acesso Lake Formation baseado em consultas dos assinantes às fontes do Security Lake.
+ `s3`: permite que as entidades principais criem e gerenciem os buckets do Security Lake e leiam o conteúdo desses buckets.
+ `lambda`— permite que os diretores gerenciem o Lambda usado para atualizar as partições da AWS Glue tabela após a entrega da AWS fonte e a replicação entre regiões.
+ `glue`: permite que as entidades principais criem e gerenciem banco de dados e tabelas do Security Lake.
+ `lakeformation`— Permite que os diretores gerenciem Lake Formation as permissões das tabelas do Security Lake.
+ `events`: permite que as entidades principais gerenciem as regras usadas para notificar os assinantes sobre novos dados nas fontes do Security Lake.
+ `sqs`— Permite que os diretores criem e gerenciem Amazon SQS filas usadas para notificar os assinantes sobre novos dados nas fontes do Security Lake.
+ `kms`: permite que as entidades principais concedam acesso ao Security Lake para gravar dados usando uma chave gerenciada pelo cliente.
+ `secretsmanager`: permite que as entidades principais gerenciem segredos usados para notificar os assinantes sobre novos dados nas fontes do Security Lake por meio de endpoints HTTPS.
Para verificar as permissões para esta política, consulte [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html) no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: SecurityLakeServiceLinkedRole
O Security Lake usa a função vinculada ao serviço chamada `AWSServiceRoleForSecurityLake` para criar e operar o data lake de segurança.
Não é possível anexar a política gerenciada `SecurityLakeServiceLinkedRole` às suas entidades do IAM. Essa política é anexada a uma função vinculada a serviços que permite que o Security Lake realize ações em seu nome. Para obter mais informações, consulte [Permissões de função vinculada ao serviço para o Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/slr-permissions.html).
## AWS política gerenciada: SecurityLakeResourceManagementServiceRolePolicy
O Security Lake usa a função vinculada ao serviço nomeada `AWSServiceRoleForSecurityLakeResourceManagement` para realizar melhorias contínuas de monitoramento e desempenho, o que pode reduzir a latência e os custos. Fornece acesso para gerenciar recursos criados pelo Security Lake. Concede ao Security Lake a capacidade de excluir SecurityLake \$1Glue\$1Partition\$1Updater\$1Lambda. Esse lambda foi descontinuado para clientes que realizaram a migração do iceberg e migraram para fontes v2. Esse lambda estava usando o tempo de execução do Python 3.9, que será descontinuado em dezembro. Em vez de atualizar o tempo de execução desse lambda para esses clientes, seria melhor excluí-los. Temos um processo de recuperação que determinará se o cliente ainda precisa do lambda ou não e o excluirá se não precisar. Essa atualização do SLR é necessária para nos permitir excluir esse lambda.
Não é possível anexar a política gerenciada `SecurityLakeResourceManagementServiceRolePolicy` às suas entidades do IAM. Essa política é anexada a uma função vinculada a serviços que permite que o Security Lake realize ações em seu nome. Para obter mais informações, consulte [Permissões de funções vinculadas ao serviço para gerenciamento de recursos](https://docs.aws.amazon.com//security-lake/latest/userguide/AWSServiceRoleForSecurityLakeResourceManagement.html).
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `events`— Permite que os diretores listem e gerenciem EventBridge regras para o processamento de eventos do Security Lake.
+ `lambda`— Permite que os diretores gerenciem as funções e configurações do Lambda para o processamento de metadados do Security Lake, incluindo a capacidade de excluir funções obsoletas do atualizador de partições.
+ `glue`— permite que os diretores criem partições, gerenciem tabelas e acessem bancos de dados no Catálogo de AWS Glue Dados para o gerenciamento de metadados do Security Lake.
+ `s3`— Permite que os diretores gerenciem configurações de bucket, políticas de ciclo de vida e objetos de metadados do Amazon S3 para operações de data lake do Security Lake.
+ `logs`— Permite que os diretores acessem fluxos de CloudWatch registros e consultem dados de log para funções do Security Lake Lambda.
+ `sqs`— Permite que os diretores gerenciem filas e mensagens do Amazon SQS para fluxos de trabalho de processamento de dados do Security Lake.
+ `lakeformation`— Permite que os diretores recuperem as configurações e permissões do data lake para o gerenciamento de recursos do Security Lake.
Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html) no *AWS Managed Policy Reference Guide*.
## AWS política gerenciada: AWS GlueServiceRole
A política `AWS GlueServiceRole` gerenciada invoca o AWS Glue rastreador e permite rastrear dados de origem personalizados e identificar AWS Glue metadados de partições. Esses metadados são necessários para criar e atualizar tabelas no Catálogo de dados.
Para obter mais informações, consulte [Coletando dados de fontes personalizadas no Security Lake](custom-sources.md).
## Atualizações do Security Lake nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Security Lake desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed de RSS na página Histórico do documento do Security Lake.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [SecurityLakeResourceManagementServiceRolePolicy](#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement)— Política existente atualizada | O Security Lake atualizou a política gerenciada `SecurityLakeResourceManagementServiceRolePolicy` para adicionar `lambda:DeleteFunction` permissão para funções obsoletas do \$1Glue\$1Partition\$1Updater\$1Lambda. SecurityLake Isso permite que o Security Lake limpe funções obsoletas do Lambda como parte da migração para fontes v2 e formato iceberg. | 18 de novembro de 2025 |
| [AWSServiceRoleForSecurityLakeResourceManagement](AWSServiceRoleForSecurityLakeResourceManagement.md)— Política existente atualizada | Essa política foi atualizada para substituir o `StringLike` operador pelo `ArnLike` operador para avaliar as chaves do tipo ARN para o bloco `lambda:FunctionArn` `aws:ResourceAccount` condicional. Isso proporciona uma aplicação mais segura. | 25 de setembro de 2025 |
| [Função vinculada a serviços para Amazon Security Lake — Nova função vinculada](AWSServiceRoleForSecurityLakeResourceManagement.md) a serviços | Adicionamos uma nova função vinculada ao serviço. `AWSServiceRoleForSecurityLakeResourceManagement` Essa função vinculada ao serviço fornece permissões ao Security Lake para realizar melhorias contínuas de monitoramento e desempenho, o que pode reduzir a latência e os custos. | 14 de novembro de 2024 |
| [Função vinculada ao serviço para o Amazon Security Lake](using-service-linked-roles.md) — Atualização das permissões existentes da função vinculada ao serviço | Adicionamos AWS WAF ações à política AWS gerenciada para a `SecurityLakeServiceLinkedRole` política. As ações adicionais permitem que o Security Lake colete AWS WAF registros, quando habilitado como uma fonte de log no Security Lake. | 22 de maio de 2024 |
| [AmazonSecurityLakePermissionsBoundary](#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary) – atualização para uma política existente | O Security Lake adicionou ações de SID à política. | 13 de maio de 2024 |
| [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) – atualização para uma política existente | O Security Lake atualizou a política para adicionar uma ação de limpeza de metadados que permite excluir os metadados em seu data lake. | 27 de março de 2024 |
| [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) – atualização para uma política existente | O Security Lake atualizou a política para permitir `iam:PassRole` a nova `AmazonSecurityLakeMetastoreManagerV2` função e permitir que o Security Lake implante ou atualize componentes do data lake. | 23 de fevereiro de 2024 |
| [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) – Nova política | O Security Lake adicionou uma nova política gerenciada que concede permissões para o Security Lake gerenciar metadados em seu data lake. | 23 de janeiro de 2024 |
| [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) – Nova política | O Security Lake adicionou uma nova política gerenciada que concede ao principal acesso total a todas as ações do Security Lake. | 30 de maio de 2023 |
| O Security Lake iniciou o rastreamento de alterações | O Security Lake começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 29 de novembro de 2022 |
# Usando funções vinculadas ao serviço para o Security Lake
O Security Lake usa AWS Identity and Access Management funções [vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é uma função do IAM vinculada diretamente ao Security Lake. Ela é predefinida pelo Security Lake e inclui todas as permissões que o Security Lake exige para chamar todos os outros Serviços da AWS em seu nome e operar o serviço de data lake de segurança. O Security Lake usa essa função vinculada ao serviço em todos os lugares em Regiões da AWS que o Security Lake está disponível.
A função vinculada a serviços elimina a necessidade de adicionar manualmente as permissões necessárias ao configurar o Security Lake. O Security Lake define as permissões dessa função vinculada ao serviço e, a menos que definido em contrário, somente o Security Lake pode assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*. Você só pode excluir uma função vinculada ao serviço depois de excluir seus recursos relacionados. Isso protege seus recursos porque você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para revisar a documentação da função vinculada a esse serviço.
**Topics**
+ [Permissões de função vinculada ao serviço (SLR) para Security Lake](slr-permissions.md)
+ [Permissões de função vinculada ao serviço (SLR) para gerenciamento de recursos](AWSServiceRoleForSecurityLakeResourceManagement.md)
# Permissões de função vinculada ao serviço (SLR) para Security Lake
O Security Lake usa a função vinculada a serviços chamada `AWSServiceRoleForSecurityLake`. Essa função vinculada a serviços confia no serviço `securitylake.amazonaws.com` para assumir a função. Para obter mais informações sobre políticas AWS gerenciadas para o Amazon Security Lake, consulte [AWS Gerenciar políticas para o Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html).
A política de permissões para a função, que é uma política AWS gerenciada chamada`SecurityLakeServiceLinkedRole`, permite que o Security Lake crie e opere o data lake de segurança. Também permite que o Security Lake execute tarefas como as seguintes nos recursos especificados:
+ Use AWS Organizations ações para recuperar informações sobre contas associadas
+ Usar o Amazon Elastic Compute Cloud (Amazon EC2) para recuperar informações sobre logs de fluxo do Amazon VPC
+ Use AWS CloudTrail ações para recuperar informações sobre a função vinculada ao serviço
+ Use AWS WAF ações para coletar AWS WAF registros, quando ativada como fonte de log no Security Lake
+ Use a `LogDelivery` ação para criar ou excluir uma assinatura de entrega de AWS WAF registros.
Para verificar as permissões para esta política, consulte [SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html) no *Guia de referência de políticas gerenciadas pela AWS *.
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Como criar uma função vinculada a serviços do Security Lake
Você não precisa criar manualmente o perfil vinculado à serviços `AWSServiceRoleForSecurityLake` para o Security Lake. Quando você ativa o Security Lake para você Conta da AWS, o Security Lake cria automaticamente a função vinculada ao serviço para você.
## Como editar uma função vinculada a serviços do Security Lake
O Security Lake não permite que você edite a função vinculada a serviços `AWSServiceRoleForSecurityLake`. Após a criação da função vinculada a serviços, você não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Como excluir uma função vinculada a serviços do Security Lake
Não é possível excluir a função vinculada a serviços do Security Lake. Em vez disso, você pode excluir a função vinculada ao serviço do console do IAM, da API ou. AWS CLI Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
Antes de excluir a função vinculada a serviços, é necessário confirmar que a função não possui sessões ativas e remover quaisquer recursos que estejam sendo utilizados por `AWSServiceRoleForSecurityLake`.
**nota**
Se o serviço Security Lake estiver usando a função `AWSServiceRoleForSecurityLake` quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente fazer a operação novamente.
Se excluir a função vinculada a serviços `AWSServiceRoleForSecurityLake` e precisar criá-la novamente, você poderá criá-la novamente ativando o Security Lake em sua conta. Quando você ativa o Security Lake novamente, o Security Lake cria automaticamente uma função vinculada a serviços para você mais uma vez.
## Compatível com Regiões da AWS a função vinculada ao serviço Security Lake
O Security Lake suporta o uso da função `AWSServiceRoleForSecurityLake` vinculada ao serviço em todos os locais em Regiões da AWS que o Security Lake está disponível. Para ver uma lista das Regiões em que o Security Lake está disponível atualmente, consulte [Regiões e endpoints do Security Lake](supported-regions.md).
# Permissões de função vinculada ao serviço (SLR) para gerenciamento de recursos
O Security Lake usa a função vinculada ao serviço nomeada `AWSServiceRoleForSecurityLakeResourceManagement` para realizar melhorias contínuas de monitoramento e desempenho, o que pode reduzir a latência e os custos. Essa função vinculada a serviços confia no serviço `resource-management.securitylake.amazonaws.com` para assumir a função. A ativação também concederá acesso ao Lake Formation e `AWSServiceRoleForSecurityLakeResourceManagement` registrará automaticamente seus buckets S3 gerenciados pelo Security Lake no Lake Formation em todas as regiões para melhorar a segurança.
A política de permissões para a função, que é uma política AWS gerenciada chamada`SecurityLakeResourceManagementServiceRolePolicy`, permite acesso para gerenciar recursos criados pelo Security Lake, incluindo o gerenciamento dos metadados em seu data lake. Para obter mais informações sobre políticas AWS gerenciadas para o Amazon Security Lake, consulte [políticas AWS gerenciadas para o Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement.html).
Essa função vinculada ao serviço permite que o Security Lake monitore a integridade dos recursos implantados pelo Security Lake (S3 Bucket, tabelas, AWS Glue Amazon SQS Queue, Metastore Manager (MSM) Lambda Function e regras) em sua conta. EventBridge Alguns exemplos de operações que o Security Lake pode realizar com essa função vinculada ao serviço são:
+ Compactação de arquivos de manifesto do Apache Iceberg, que melhora o desempenho das consultas e reduz os tempos e custos de processamento do Lambda MSM.
+ Monitore o estado do Amazon SQS para detectar problemas de ingestão.
+ Otimize a replicação de dados entre regiões para excluir arquivos de metadados.
**nota**
Se você não instalar a função `AWSServiceRoleForSecurityLakeResourceManagement` vinculada ao serviço, o Security Lake continuará funcionando, mas é altamente recomendável aceitar essa função vinculada ao serviço para que o Security Lake possa monitorar e otimizar os recursos em sua conta.
**Detalhes das permissões**
A função está configurada com a seguinte política de permissões:
+ `events`— Permite que os diretores gerenciem EventBridge as regras necessárias para fontes e assinantes de registros.
+ `lambda`— Permite que os diretores gerenciem o lambda usado para atualizar as partições da AWS Glue tabela após a entrega da AWS fonte e a replicação entre regiões.
+ `glue`— Permite que os diretores executem ações de gravação específicas para tabelas do Catálogo AWS Glue de Dados. Isso também permite que AWS Glue os rastreadores identifiquem partições em seus dados e permite que o Security Lake gerencie os metadados do Apache Iceberg para suas tabelas do Apache Iceberg.
+ `s3`— Permite que os diretores realizem ações específicas de leitura e gravação nos buckets do Security Lake contendo dados de log e metadados da tabela Glue.
+ `logs`— Permite que os diretores tenham acesso de leitura para registrar a saída da função CloudWatch Lambda em Logs.
+ `sqs`— Permite que os diretores realizem ações específicas de leitura e gravação para filas do Amazon SQS que recebem notificações de eventos quando objetos são adicionados ou atualizados em seu data lake.
+ `lakeformation`— Permite que os diretores leiam as configurações do Lake Formation para monitorar configurações incorretas.
Para verificar as permissões para esta política, consulte [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS *.
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Como criar uma função vinculada a serviços do Security Lake
Você pode criar a função `AWSServiceRoleForSecurityLakeResourceManagement` vinculada ao serviço para o Security Lake usando o console do Security Lake ou o. AWS CLI
Para criar a função vinculada ao serviço, você deve conceder as seguintes permissões ao seu usuário do IAM ou função do IAM. A função do IAM deve ser de administrador do Lake Formation em todas as regiões habilitadas para o Security Lake.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLakeFormationActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"lakeformation:GrantPermissions",
"lakeformation:ListPermissions",
"lakeformation:ListResources",
"lakeformation:RegisterResource",
"lakeformation:RevokePermissions"
],
"Resource": "*"
},
{
"Sid": "AllowIamActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": [
"arn:*:iam::*:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement",
"arn:*:iam::*:role/*AWSServiceRoleForLakeFormationDataAccess",
"arn:*:iam::aws:policy/service-role/AWSGlueServiceRole",
"arn:*:iam::aws:policy/service-role/AmazonSecurityLakeMetastoreManager",
"arn:*:iam::aws:policy/aws-service-role/SecurityLakeResourceManagementServiceRolePolicy"
],
"Condition": {
"StringLikeIfExists": {
"iam:AWSServiceName": [
"securitylake.amazonaws.com",
"resource-management.securitylake.amazonaws.com",
"lakeformation.amazonaws.com"
]
}
}
},
{
"Sid": "AllowGlueActionsViaConsole",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetTables"
],
"Resource": [
"arn:*:glue:*:*:catalog",
"arn:*:glue:*:*:database/amazon_security_lake_glue_db*",
"arn:*:glue:*:*:table/amazon_security_lake_glue_db*/*"
]
}
]
}
```
------
------
#### [ Console ]
1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).
1. Aceite a nova função vinculada ao serviço clicando em **Habilitar função vinculada ao serviço** na barra de informações na página Resumo.
Depois de habilitar a função vinculada ao serviço, você não precisará repetir esse processo para uso futuro do Security Lake.
------
#### [ CLI ]
Para criar a função `AWSServiceRoleForSecurityLakeResourceManagement` vinculada ao serviço de forma programática, use o seguinte comando da CLI.
```
$ aws iam create-service-linked-role
--aws-service-name resource-management.securitylake.amazonaws.com
```
Ao criar a função `AWSServiceRoleForSecurityLakeResourceManagement` vinculada ao serviço usando AWS CLI, você também deve conceder permissões em nível de tabela do Lake Formation (ALTER, DESCRIBE) a todas as tabelas no banco de dados do Security Lake Glue para gerenciar os metadados da tabela e acessar os dados. Se as tabelas do Glue em qualquer região fizerem referência a buckets do S3 da ativação anterior do Security Lake, você deverá conceder temporariamente as permissões DATA\$1LOCATION\$1ACCESS à função vinculada ao serviço para permitir que o Security Lake corrija essa situação.
Você também precisa conceder permissões de Lake Formation para a função `AWSServiceRoleForSecurityLakeResourceManagement` vinculada ao serviço de sua conta.
O exemplo a seguir mostra como conceder permissões ao Lake Formation para a função vinculada ao serviço na região designada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws lakeformation grant-permissions --region {region} --principal DataLakePrincipalIdentifier={AWSServiceRoleForSecurityLakeResourceManagement ARN} \
--permissions ALTER DESCRIBE --resource '{ "Table": { "DatabaseName": "amazon_security_lake_glue_db_{region}", "TableWildcard": {} } }'
```
O exemplo a seguir mostra como será a aparência do ARN da função. Você deve editar o ARN da função para corresponder à sua região.
`"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"`
Você também pode usar a chamada de [CreateServiceLinkedRole](https://docs.aws.amazon.com//IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API. Na solicitação, especifique o `AWSServiceName` como`resource-management.securitylake.amazonaws.com`.
------
Depois de ativar a `AWSServiceRoleForSecurityLakeResourceManagement` função, se você estiver usando a Chave Gerenciada pelo AWS KMS Cliente (CMK) para criptografia, deverá permitir que a função vinculada ao serviço grave objetos criptografados em buckets do S3 nas regiões em que a CMK existe. AWS No AWS KMS console, adicione a política a seguir à chave KMS AWS nas regiões em que a CMK existe. Para obter detalhes sobre como alterar a política de chaves do KMS, consulte [Políticas de chaves AWS KMS no](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) Guia do AWS Key Management Service desenvolvedor.
```
{
"Sid": "Allow SLR",
"Effect": "Allow",
"Principal": {
"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::[regional-datalake-s3-bucket-name]"
},
"StringLike": {
"kms:ViaService": "s3.[region].amazonaws.com"
}
}
},
```
## Como editar uma função vinculada a serviços do Security Lake
O Security Lake não permite que você edite a função vinculada a serviços `AWSServiceRoleForSecurityLakeResourceManagement`. Após a criação da função vinculada a serviços, você não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Como excluir uma função vinculada a serviços do Security Lake
Não é possível excluir a função vinculada a serviços do Security Lake. Em vez disso, você pode excluir a função vinculada ao serviço do console do IAM, da API ou. AWS CLI Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
Antes de excluir a função vinculada a serviços, é necessário confirmar que a função não possui sessões ativas e remover quaisquer recursos que estejam sendo utilizados por `AWSServiceRoleForSecurityLakeResourceManagement`.
**nota**
Se o serviço Security Lake estiver usando a função `AWSServiceRoleForSecurityLakeResourceManagement` quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente fazer a operação novamente.
Se excluir a função vinculada a serviços `AWSServiceRoleForSecurityLakeResourceManagement` e precisar criá-la novamente, você poderá criá-la novamente ativando o Security Lake em sua conta. Quando você ativa o Security Lake novamente, o Security Lake cria automaticamente uma função vinculada a serviços para você mais uma vez.
## Compatível com Regiões da AWS a função vinculada ao serviço Security Lake
O Security Lake suporta o uso da função `AWSServiceRoleForSecurityLakeResourceManagement` vinculada ao serviço em todos os locais em Regiões da AWS que o Security Lake está disponível. Para ver uma lista das Regiões em que o Security Lake está disponível atualmente, consulte [Regiões e endpoints do Security Lake](supported-regions.md).
# Proteção de dados no Amazon Security Lake
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) de se aplica à proteção de dados no Amazon Security Lake. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Security Lake ou outro Serviços da AWS usando o console AWS CLI, a API ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
## Criptografia em repouso
O Amazon Security Lake armazena com segurança seus dados em repouso usando soluções de AWS criptografia. Os dados brutos de log e eventos de segurança são armazenados em buckets multilocatários do Amazon [Simple Storage Service (Amazon S3) específicos da fonte em uma conta gerenciada](https://docs.aws.amazon.com/AmazonS3/latest/userguide/common-bucket-patterns.html#multi-tenant-buckets) pelo Security Lake. Cada fonte de log tem seu próprio bucket multilocatário. O Security Lake criptografa esses dados brutos usando uma [AWS chave própria](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) de AWS Key Management Service (AWS KMS). AWS chaves próprias são uma coleção de AWS KMS chaves que um AWS serviço — nesse caso, o Security Lake — possui e gerencia para uso em várias contas. AWS
O Security Lake executa trabalhos de extração, transformação e carregamento (ETL) em dados brutos de log e eventos.
Depois que os trabalhos de ETL forem concluídos, o Security Lake cria buckets S3 de inquilino único em sua conta (um bucket para cada um no qual você ativou Região da AWS o Security Lake). Os dados são armazenados nos buckets S3 multilocatários apenas temporariamente até que o Security Lake possa entregar os dados de forma confiável aos buckets S3 de inquilino único. Os buckets de locatário único incluem uma política baseada em recursos que dá permissão ao Security Lake para gravar dados de log e eventos nos buckets. Para criptografar dados em seu bucket do S3, você pode escolher uma chave de [criptografia gerenciada pelo S3 ou uma chave gerenciada](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) [pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) (de). AWS KMS Ambas as opções usam criptografia simétrica.
### Como usar uma chave do KMS para criptografia dos dados
Por padrão, os arquivos de log entregues pelo Security Lake ao seu bucket do S3 são criptografados criptografia do servidor da Amazon com [chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html). Para fornecer uma camada de segurança que você gerencia diretamente, você pode usar [criptografia do lado do servidor com AWS KMS chaves (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) para seus dados do Security Lake.
O SSE-KMS não é compatível com o console do Security Lake. Para usar o SSE-KMS com a API do Security Lake ou a CLI, primeiro você [cria uma chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) ou usa uma chave existente. Você anexa uma política à chave que determina quais usuários podem usar as chaves para criptografar e descriptografar os arquivos de log do Security Lake.
Se você usar uma chave gerenciada pelo cliente para criptografar dados gravados em seu bucket do S3, não poderá escolher uma chave multirregional. Para chaves gerenciadas pelo cliente, o Security Lake cria uma [concessão](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) em seu nome enviando uma solicitação `CreateGrant` para o AWS KMS. As concessões AWS KMS são usadas para dar ao Security Lake acesso a uma chave KMS em uma conta de cliente.
O Security Lake requer a concessão para usar a sua chave gerenciada pelo cliente para as seguintes operações internas:
+ Envie `GenerateDataKey` solicitações AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente.
+ Envie `RetireGrant` solicitações para AWS KMS. Quando você faz atualizações no seu data lake, essa operação permite a retirada da concessão que foi adicionada à chave do AWS KMS para processamento de ETL.
O Security Lake não precisa de permissões `Decrypt`. Quando os usuários autorizados da chave leem dados do Security Lake, o S3 gerencia a descriptografia, e os usuários autorizados podem ler os dados de modo não criptografado. No entanto, um assinante precisa de permissões `Decrypt` para consumir os dados da fonte. Para obter mais informações sobre permissões do assinante, consulte [Como gerenciar o acesso a dados para assinantes do Security Lake](subscriber-data-access.md).
Se quiser usar uma chave KMS existente para criptografar dados do Security Lake, você deve modificar a política de chaves para a chave KMS. A política de chaves deve permitir que a função do IAM associada à localização do data lake do Lake Formation use a chave KMS para descriptografar os dados. Para obter instruções sobre como alterar a política de chaves de uma chave KMS, consulte [Alteração de uma política de chaves](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying.html) no Guia do AWS Key Management Service desenvolvedor.
Sua chave KMS pode aceitar solicitações de concessão, permitindo que o Security Lake acesse a chave quando você cria uma política de chaves ou usa uma política de chaves existente com as permissões apropriadas. Para obter mais informações sobre como criar uma política de chave, consulte [Criar uma política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) no *Guia do desenvolvedor do AWS Key Management Service *.
Anexe a seguinte política de chaves à sua chave do KMS:
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "*"
}
```
### Permissões do IAM obrigatórias ao usar uma chave gerenciada pelo cliente
Consulte a seção [Conceitos básicos: pré-requisitos](get-started-programmatic.md#prerequisites) para ter uma visão geral dos perfis do IAM que você precisa criar para usar o Security Lake.
Quando você adiciona uma fonte personalizada ou um assinante, o Security Lake cria perfis do IAM em sua conta. Esses perfis devem ser compartilhados com outras identidades do IAM. Eles permitem que uma fonte personalizada grave dados no data lake e que um assinante consuma dados do data lake. Uma política AWS gerenciada chamada `AmazonSecurityLakePermissionsBoundary` define os limites de permissão para essas funções.
### Criptografar filas do Amazon SQS
Quando você cria seu data lake, o Security Lake cria duas filas não criptografadas do Amazon Simple Queue Service (Amazon SQS) na conta delegada do administrador do Security Lake. Você deve criptografar essas filas para proteger os dados. A criptografia do lado do servidor (SSE) padrão fornecida pelo Amazon Simple Queue Service não é suficiente. Você deve criar uma chave gerenciada pelo cliente em AWS Key Management Service (AWS KMS) para criptografar as filas e conceder ao serviço Amazon S3 permissões principais para trabalhar com as filas criptografadas. Para obter instruções sobre como conceder essas permissões, consulte [Por que as notificações de eventos do Amazon S3 não são entregues a uma fila do Amazon SQS](https://repost.aws/knowledge-center/sqs-s3-event-notification-sse) que usa criptografia do lado do servidor? no Centro de AWS Conhecimento.
Como o Security Lake usa AWS Lambda para suportar trabalhos de extração, transferência e carregamento (ETL) em seus dados, você também deve conceder permissões ao Lambda para gerenciar mensagens em suas filas do Amazon SQS. Para obter mais informações, consulte [Permissões de função de execução](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#events-sqs-permissions) no *Guia do desenvolvedor do AWS Lambda *.
## Criptografia em trânsito
O Security Lake criptografa todos os dados em trânsito entre os AWS serviços. O Security Lake protege os dados em trânsito, à medida que viajam de e para o serviço, criptografando automaticamente todos os dados entre redes usando o protocolo de criptografia Transport Layer Security (TLS) 1.2. As solicitações HTTPS diretas enviadas ao Security Lake APIs são assinadas usando o [algoritmo AWS Signature versão 4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html) para estabelecer uma conexão segura.
# Optar por não usar seus dados para melhorar o serviço
Você pode optar por não ter seus dados usados para desenvolver e melhorar o Security Lake e outros serviços AWS de segurança usando a política AWS Organizations de exclusão. Você pode rejeitar, mesmo que o Security Lake não colete esses dados no momento. Para obter mais informações sobre como optar por não participar, consulte as [políticas de exclusão dos serviços de IA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) no *Guia do usuário do AWS Organizations *.
Atualmente, o Security Lake não coleta nenhum dado de segurança que processa em seu nome ou dados de segurança que você carrega no seu data lake de segurança criado por esse serviço. Para desenvolver e melhorar o serviço Security Lake e as funcionalidades de outros serviços de AWS segurança, o Security Lake poderá coletar esses dados no futuro, incluindo dados que você carrega de fontes de dados de terceiros. Atualizaremos esta página quando o Security Lake pretender coletar esses dados e descreveremos como isso funcionará. Você ainda terá a oportunidade de rejeitar a qualquer momento.
**nota**
Para que você use a política de exclusão, suas AWS contas devem ser gerenciadas centralmente pelo. AWS Organizations Se você ainda não criou uma organização para suas AWS contas, consulte [Criação e gerenciamento de uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) no *Guia do AWS Organizations usuário*.
A exclusão tem os seguintes efeitos:
+ O Security Lake excluirá os dados que foram coletados e armazenados antes da rejeição (se houver).
+ Depois de rejeitar, o Security Lake não coletará mais nem armazenará esses dados.
# Validação de conformidade do Amazon Security Lake
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [Documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Práticas recomendadas de segurança no Security Lake
Veja as práticas recomendadas a seguir para o Amazon Security Lake.
## Conceder o mínimo de permissões possível aos usuários do Security Lake
Siga o princípio do menor privilégio concedendo o conjunto mínimo de permissões de política de acesso para seus usuários, grupos de usuários e funções AWS Identity and Access Management (IAM). Por exemplo, você pode permitir que um usuário do IAM visualize uma lista de fontes de log no Security Lake, mas não crie fontes ou assinantes. Para obter mais informações, consulte [Exemplos de políticas baseadas em identidade para Security Lake](security_iam_id-based-policy-examples.md).
Você também pode usar AWS CloudTrail para rastrear o uso da API no Security Lake. CloudTrail fornece um registro das ações de API realizadas por um usuário, grupo ou função no Security Lake. Para obter mais informações, consulte [Registrando chamadas de API do Security Lake usando CloudTrail](securitylake-cloudtrail.md).
## Visualizar a página Resumo
A página **Resumo** do console do Security Lake fornece uma visão geral dos problemas dos últimos 14 dias que estão afetando o serviço Security Lake e os buckets do Amazon S3 nos quais seus dados são armazenados. Você pode investigar mais detalhadamente esses problemas para ajudar a mitigar possíveis impactos relacionados à segurança.
## Integre com o Security Hub CSPM
Integre o Security Lake e receba AWS Security Hub CSPM as descobertas do CSPM do Security Hub no Security Lake. O Security Hub CSPM gera descobertas de várias integrações diferentes Serviços da AWS e de terceiros. Receber as descobertas do CSPM do Security Hub ajuda você a ter uma visão geral de sua postura de conformidade e se você está cumprindo as melhores práticas AWS de segurança.
Para obter mais informações, consulte [Integração com AWS Security Hub CSPM](securityhub-integration.md).
## Excluir AWS Lambda
Ao excluir uma AWS Lambda função, recomendamos não desativá-la primeiro. Desabilitar uma função Lambda antes da exclusão pode interferir nos recursos de consulta de dados e potencialmente impactar outras funcionalidades. É melhor excluir a função Lambda diretamente sem desativá-la. Para obter mais informações sobre como excluir a função Lambda, [AWS Lambda consulte](https://docs.aws.amazon.com//lambda/latest/dg/example_lambda_DeleteFunction_section.html) o guia do desenvolvedor.
## Monitorar eventos do Security Lake
Você pode monitorar o Security Lake usando CloudWatch métricas da Amazon. CloudWatch coleta dados brutos do Security Lake a cada minuto e os processa em métricas. Você pode definir alarmes que acionam notificações quando as métricas correspondem aos limites especificados.
Para obter mais informações, consulte [CloudWatch métricas para o Amazon Security Lake](cloudwatch-metrics.md).
# Resiliência no Amazon Security Lake
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. As zonas de disponibilidade oferecem a você uma forma eficiente para criar e operar aplicações e bancos de dados. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
A disponibilidade do Security Lake está vinculada à disponibilidade da região. A distribuição em várias zonas de disponibilidade ajuda o serviço a tolerar falhas em qualquer zona de disponibilidade.
A disponibilidade do plano de dados do Security Lake não está vinculada à disponibilidade de nenhuma região. No entanto, a disponibilidade do ambiente de gerenciamento do Security Lake está intimamente ligada à disponibilidade da região Leste dos EUA (Norte da Virgínia).
Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
Além da infraestrutura AWS global, o Security Lake, no qual os dados são apoiados pelo Amazon Simple Storage Service (Amazon S3), oferece vários recursos para ajudar a suportar suas necessidades de resiliência e backup de dados.
**Configuração do ciclo de vida**
Uma configuração de ciclo de vida é um conjunto de regras que definem as ações aplicadas pelo Amazon S3 a um grupo de objetos. Com regras de configuração de ciclo de vida, é possível solicitar que o Amazon S3 faça a transição de objetos para classes de armazenamento menos caras, arquive-os ou exclua-os. Para obter mais informações, consulte [Gerenciar ciclo de vida de armazenamento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) no *Manual do usuário do Amazon S3*.
**Versionamento**
Versionamento é um meio de manter diversas variantes de um objeto no mesmo bucket. O versionamento pode ser usado para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar de ações não intencionais de usuários e de falhas da aplicação. Para obter mais informações, consulte [Usar o versionamento em buckets do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) no *Guia do usuário do Amazon S3*.
**Classes de armazenamento**
O Amazon S3 oferece uma variedade de classes de armazenamento para escolher, de acordo com os requisitos da workload. As classes de armazenamento S3 Standard – IA e S3 One Zone – IA foram desenvolvidas para dados que você acessa cerca de uma vez por mês e precisam de acesso de milissegundos. A classe de armazenamento S3 Glacier Instant Retrieval foi projetada para dados de arquivo de longa duração com acesso de milissegundos que você acessa cerca de uma vez por trimestre. Para dados de arquivo que não necessitam de acesso imediato, como backups, use as classes de armazenamento S3 Glacier Flexieval ou S3 Glacier Deep Archive. Para obter mais informações, consulte [Uso de classes de armazenamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) no *Guia do usuário do Amazon S3*.
# Segurança da infraestrutura no Amazon Security Lake
Como um serviço gerenciado, o Amazon Security Lake é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar o Security Lake pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
# Configuração e análise de vulnerabilidade no Security Lake
A configuração e os controles de TI são uma responsabilidade compartilhada entre você AWS e você, nosso cliente. Para obter mais informações, consulte o [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Amazon Security Lake e endpoints de interface VPC ()AWS PrivateLink
Você pode estabelecer uma conexão privada entre sua VPC e o Amazon Security Lake criando uma interface *VPC* endpoint. Os endpoints de interface são alimentados por [AWS PrivateLink](https://aws.amazon.com/privatelink)uma tecnologia que permite acessar o Security Lake de forma privada APIs sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão AWS Direct Connect. As instâncias em sua VPC não precisam de endereços IP públicos para se comunicar com o Security Lake. APIs O tráfego entre sua VPC e o Security Lake não sai da rede Amazon.
Cada endpoint de interface é representado por uma ou mais [Interfaces de Rede Elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nas sub-redes.
Para mais informações, consulte [Endpoints da VPC de interface(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) no *Guia AWS PrivateLink *.
## Considerações sobre os endpoints VPC do Security Lake
*Antes de configurar uma interface VPC endpoint para o Security Lake, certifique-se de revisar as [propriedades e limitações do endpoint da interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) no Guia.AWS PrivateLink *
O Security Lake oferece suporte para fazer chamadas para todas as suas ações de API a partir da sua VPC.
O Security Lake oferece suporte a endpoints FIPS VPC somente nas seguintes regiões em que o FIPS existe:
+ Leste dos EUA (Norte da Virgínia)
+ Leste dos EUA (Ohio)
+ Oeste dos EUA (N. da Califórnia)
+ Oeste dos EUA (Oregon)
## Criação de uma interface VPC endpoint para Security Lake
Você pode criar um VPC endpoint para o serviço Security Lake usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) no *Guia do usuário do AWS PrivateLink *.
Crie um VPC endpoint para o Security Lake usando o seguinte nome de serviço:
+ com.amazonaws. *region*. lago de segurança
+ com.amazonaws. *region*.securitylake-fips (endpoint FIPS)
Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API ao Security Lake usando seu nome DNS padrão para a região, por exemplo,. `securitylake.us-east-1.amazonaws.com`
Para mais informações, consulte [Acessar um serviço por meio de um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) no *Guia do AWS PrivateLink *.
## Criação de uma política de VPC endpoint para o Security Lake
Você pode anexar uma política de endpoint ao seu VPC endpoint que controla o acesso ao Security Lake. Essa política especifica as seguintes informações:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para mais informações, consulte [Controlar o acesso a serviços com endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia AWS PrivateLink *.
**Exemplo: política de VPC endpoint para ações do Security Lake**
Veja a seguir um exemplo de uma política de endpoint para o Security Lake. Quando anexada a um endpoint, essa política concede acesso às ações listadas do Security Lake para todos os diretores em todos os recursos.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"securitylake:ListDataLakes",
"securitylake:ListLogSources",
"securitylake:ListSubscribers"
],
"Resource":"*"
}
]
}
```
## Sub-redes compartilhadas
Você não pode criar, descrever, modificar ou excluir endpoints da VPC em sub-redes que são compartilhadas com você. No entanto, é possível usar os endpoints da VPC em sub-redes que são compartilhadas com você. Para obter informações sobre o compartilhamento da VPC, consulte [Compartilhar sua VPC com outras contas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) no *Guia do usuário da Amazon VPC*.
# Monitorar o Amazon Security Lake
O Security Lake se integra com AWS CloudTrail, que é um serviço que fornece um registro das ações que foram realizadas no Security Lake por um usuário, uma função ou outra AWS service (Serviço da AWS). Isso inclui ações do console do Security Lake e chamadas programáticas às operações de API do Security Lake. Usando as informações coletadas por CloudTrail, você pode determinar quais solicitações foram feitas ao Security Lake. Para cada solicitação é possível identificar quando ela foi realizada, o endereço IP do qual foi feita, quem fez a solicitação e detalhes adicionais. Para obter mais informações, consulte [Registrando chamadas de API do Security Lake usando CloudTrail](securitylake-cloudtrail.md).
O Security Lake e o Amazon CloudWatch são integrados, para que você possa coletar, visualizar e analisar métricas dos registros que o Security Lake coleta. CloudWatch as métricas do seu data lake do Security Lake são coletadas e enviadas automaticamente CloudWatch em intervalos de um minuto. Você também pode definir um alarme para enviar uma notificação se um limite especificado para uma métrica do Security Lake for atingido. Para obter uma lista de todas as métricas para as quais o Security Lake envia CloudWatch, consulte[Métricas e dimensões do Security Lake](cloudwatch-metrics.md#available-securitylake-metrics).
# CloudWatch métricas para o Amazon Security Lake
Você pode monitorar o Security Lake usando a Amazon CloudWatch, que coleta dados brutos a cada minuto e os processa em métricas legíveis, quase em tempo real. Essas estatísticas são mantidas por 15 meses, permitindo o acesso a informações históricas e proporcionando uma melhor perspectiva sobre os dados do data lake. Você também pode definir alarmes que observam determinados limites e enviam notificações ou realizam ações quando esses limites são atingidos.
**Topics**
+ [Métricas e dimensões do Security Lake](#available-securitylake-metrics)
+ [Visualizando CloudWatch métricas do Security Lake](#view-securitylake-metrics)
+ [Configurando CloudWatch alarmes para métricas do Security Lake](#securitylake-alarm-metrics)
## Métricas e dimensões do Security Lake
O namespace `AWS/SecurityLake` inclui as métricas a seguir.
| Métrica | Description |
| --- | --- |
| `ProcessedSize` | O volume de dados com suporte nativo Serviços da AWS que está atualmente armazenado em seu data lake. Unidades: bytes |
As dimensões a seguir estão disponíveis para as métricas do Security Lake.
| Dimensão | Description |
| --- | --- |
| `Account` | Métrica `ProcessedSize` para uma Conta da AWS específica. Essa dimensão está disponível somente quando você visualiza o `Per-Account Source Version Metrics` ativado CloudWatch. |
| `Region` | Métrica `ProcessedSize` para uma Região da AWS específica. |
| `Source` | `ProcessedSize`métrica para uma fonte de AWS log específica. |
| `SourceVersion` | `ProcessedSize`métrica para uma versão específica de uma fonte de AWS log. |
Você pode visualizar métricas para contas específicas Contas da AWS (`Per-Account Source Version Metrics`) ou para todas as contas em uma organização (`Per-Source Version Metrics`).
## Visualizando CloudWatch métricas do Security Lake
Você pode monitorar as métricas do Security Lake usando o CloudWatch console, a própria interface CloudWatch de linha de comando (CLI) ou programaticamente usando a API. CloudWatch Escolha seu método preferido e siga as etapas para acessar as métricas do Security Lake.
------
#### [ CloudWatch console ]
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Métricas, Todas as métricas**.
1. Na guia **Procurar**, escolha **Security Lake**.
1. Escolha **Métricas da versão por origem da conta** ou **Métricas da versão por origem**.
1. Selecione uma métrica para visualizá-la em detalhes. Você também pode optar por fazer o seguinte:
+ Para classificar a métrica, use o cabeçalho da coluna.
+ Para criar um gráfico de uma métrica, selecione o nome da métrica e escolha uma opção de criação de um gráfico.
+ Para filtrar por métrica, selecione o nome da métrica e, em seguida, escolha **Adicionar à pesquisa**.
------
#### [ CloudWatch API ]
Para acessar as métricas do Security Lake usando a CloudWatch API, use a [https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)ação.
------
#### [ AWS CLI ]
Para acessar as métricas do Security Lake usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html)comando.
------
Para obter mais informações sobre o monitoramento usando métricas, consulte [Usar CloudWatch métricas da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) no *Guia CloudWatch do usuário da Amazon*.
## Configurando CloudWatch alarmes para métricas do Security Lake
CloudWatch também permite definir alarmes quando um limite é atingido para uma métrica. Por exemplo, você pode definir um alarme para a **ProcessedSize**métrica, para ser notificado quando o volume de dados de uma fonte específica exceder um limite específico.
Para obter instruções sobre como configurar alarmes, consulte Como [usar CloudWatch alarmes da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) no Guia * CloudWatch do usuário da Amazon*.