Permissões de função vinculada ao serviço (SLR) para Security Lake - Amazon Security Lake

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões de função vinculada ao serviço (SLR) para Security Lake

O Security Lake usa a função vinculada a serviços chamada AWSServiceRoleForSecurityLake. Essa função vinculada a serviços confia no serviço securitylake.amazonaws.com para assumir a função. Para obter mais informações sobre políticas AWS gerenciadas para o Amazon Security Lake, consulte AWS Gerenciar políticas para o Amazon Security Lake.

A política de permissões para a função, que é uma política AWS gerenciada chamadaSecurityLakeServiceLinkedRole, permite que o Security Lake crie e opere o data lake de segurança. Também permite que o Security Lake execute tarefas como as seguintes nos recursos especificados:

  • Use AWS Organizations ações para recuperar informações sobre contas associadas

  • Use o Amazon Elastic Compute Cloud (Amazon EC2) para recuperar informações sobre os registros de fluxo do Amazon VPC

  • Use AWS CloudTrail ações para recuperar informações sobre a função vinculada ao serviço

  • Use AWS WAF ações para coletar AWS WAF registros, quando ativada como fonte de log no Security Lake

  • Use a LogDelivery ação para criar ou excluir uma assinatura de entrega de AWS WAF registros.

A função está configurada com a seguinte política de permissões:

{ "Version": "2012-10-17", "Statement": [{ "Sid": "OrganizationsPolicies", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization" ], "Resource": [ "*" ] }, { "Sid": "DescribeOrgAccounts", "Effect": "Allow", "Action": [ "organizations:DescribeAccount" ], "Resource": [ "arn:aws:organizations::*:account/o-*/*" ] }, { "Sid": "AllowManagementOfServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:CreateServiceLinkedChannel", "cloudtrail:DeleteServiceLinkedChannel", "cloudtrail:GetServiceLinkedChannel", "cloudtrail:UpdateServiceLinkedChannel" ], "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*" }, { "Sid": "AllowListServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:ListServiceLinkedChannels" ], "Resource": "*" }, { "Sid": "DescribeAnyVpc", "Effect": "Allow", "Action": [ "ec2:DescribeVpcs" ], "Resource": "*" }, { "Sid": "ListDelegatedAdmins", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securitylake.amazonaws.com" } } }, { "Sid": "AllowWafLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration", "wafv2:GetLoggingConfiguration", "wafv2:ListLoggingConfigurations", "wafv2:DeleteLoggingConfiguration" ], "Resource": "*", "Condition": { "StringEquals": { "wafv2:LogScope": "SecurityLake" } } }, { "Sid": "AllowPutLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration" ], "Resource": "*", "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*" } } }, { "Sid": "ListWebACLs", "Effect": "Allow", "Action": [ "wafv2:ListWebACLs" ], "Resource": "*" }, { "Sid": "LogDelivery", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "wafv2.amazonaws.com" ] } } } ] }

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Como criar uma função vinculada a serviços do Security Lake

Você não precisa criar manualmente o perfil vinculado à serviços AWSServiceRoleForSecurityLake para o Security Lake. Quando você ativa o Security Lake para você Conta da AWS, o Security Lake cria automaticamente a função vinculada ao serviço para você.

Como editar uma função vinculada a serviços do Security Lake

O Security Lake não permite que você edite a função vinculada a serviços AWSServiceRoleForSecurityLake. Após a criação da função vinculada a serviços, você não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Como excluir uma função vinculada a serviços do Security Lake

Não é possível excluir a função vinculada a serviços do Security Lake. Em vez disso, você pode excluir a função vinculada ao serviço do console do IAM, da API ou. AWS CLI Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Antes de excluir a função vinculada a serviços, é necessário confirmar que a função não possui sessões ativas e remover quaisquer recursos que estejam sendo utilizados por AWSServiceRoleForSecurityLake.

nota

Se o serviço Security Lake estiver usando a função AWSServiceRoleForSecurityLake quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente fazer a operação novamente.

Se excluir a função vinculada a serviços AWSServiceRoleForSecurityLake e precisar criá-la novamente, você poderá criá-la novamente ativando o Security Lake em sua conta. Quando você ativa o Security Lake novamente, o Security Lake cria automaticamente uma função vinculada a serviços para você mais uma vez.

Compatível com Regiões da AWS a função vinculada ao serviço Security Lake

O Security Lake suporta o uso da função AWSServiceRoleForSecurityLake vinculada ao serviço em todos os locais em Regiões da AWS que o Security Lake está disponível. Para ver uma lista das Regiões em que o Security Lake está disponível atualmente, consulte Regiões e endpoints do Security Lake.