本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

AWS Security Lake 的 受管政策

AWS受管政策是由AWSAWS受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住，AWS受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有AWS客戶使用。我們建議您定義特定於使用案例的客戶管理政策，以便進一步減少許可。

您無法變更AWS受管政策中定義的許可。如果AWS更新AWS受管政策中定義的許可，則更新會影響政策連接的所有委託人身分 （使用者、群組和角色）。當新的AWS 服務啟動或新的 API 操作可供現有 服務使用時，AWS最有可能更新AWS受管政策。

如需詳細資訊，請參閱 IAM 使用者指南中的 AWS受管政策。

AWS受管政策：AmazonSecurityLakeMetastoreManager

Amazon Security Lake 使用AWS Lambda函數來管理資料湖中的中繼資料。透過使用此函數，Security Lake 可以將包含您的資料和資料檔案的 Amazon Simple Storage Service (Amazon S3) 分割區索引至AWS Glue Data Catalog 資料表。此受管政策包含 Lambda 函數將 S3 分割區和資料檔案索引到AWS Glue資料表的所有許可。

許可詳細資訊

此政策包含以下許可：

若要檢閱此政策的許可，請參閱《 AWS受管政策參考指南》中的 AmazonSecurityLakeMetastoreManager。

AWS受管政策：AmazonSecurityLakePermissionsBoundary

Amazon Security Lake 會為第三方自訂來源建立 IAM 角色，以將資料寫入資料湖，並為第三方自訂訂閱者建立 IAM 角色以取用資料湖中的資料，並在建立這些角色時使用此政策來定義其許可界限。您不需要採取動作即可使用此政策。如果資料湖使用客戶受管AWS KMS金鑰加密，kms:Decrypt則會新增kms:GenerateDataKey許可。

若要檢閱此政策的許可，請參閱《 AWS受管政策參考指南》中的 AmazonSecurityLakePermissionsBoundary。

AWS受管政策：AmazonSecurityLakeAdministrator

您可以將AmazonSecurityLakeAdministrator政策連接至委託人，然後再為其帳戶啟用 Amazon Security Lake。此政策會授予管理許可，允許委託人完整存取所有 Security Lake 動作。然後，委託人可以加入 Security Lake，並在 Security Lake 中設定來源和訂閱者。

此政策包含 Security Lake 管理員可以透過 Security Lake 在其他AWS服務上執行的動作。

此AmazonSecurityLakeAdministrator政策不支援建立 Security Lake 所需的公用程式角色，以管理 Amazon S3 跨區域複寫、在 中註冊新資料分割區AWS Glue、對新增至自訂來源的資料執行 Glue 爬蟲程式，或通知 HTTPS 端點訂閱者新資料。您可以事先建立這些角色，如中所述Amazon Security Lake 入門。

除了 AmazonSecurityLakeAdministrator受管政策之外，Security Lake 需要加入和組態函數的lakeformation:PutDataLakeSettings許可。 PutDataLakeSettings 允許將 IAM 主體設定為帳戶中所有區域 Lake Formation 資源的管理員。此角色必須連接 iam:CreateRole permission以及 AmazonSecurityLakeAdministrator政策。

Lake Formation 管理員可以完整存取 Lake Formation 主控台，並控制初始資料組態和存取許可。Security Lake 會將啟用 Security Lake 和AmazonSecurityLakeMetaStoreManager角色 （或其他指定角色） 的主體指派為 Lake Formation 管理員，以便他們可以建立資料表、更新資料表結構描述、註冊新的分割區，以及設定資料表的許可。您必須在 Security Lake 管理員使用者或角色的政策中包含下列許可：

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPutLakeFormationSettings",
      "Effect": "Allow",
      "Action": "lakeformation:PutDatalakeSettings",
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowGlueActions",
      "Effect": "Allow",
      "Action": ["glue:PutResourcePolicy", "glue:DeleteResourcePolicy"],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*"
      ],
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    }
  ]
}

許可詳細資訊

此政策包含以下許可。

若要檢閱此政策的許可，請參閱《 AWS受管政策參考指南》中的 AmazonSecurityLakeAdministrator。

AWS受管政策：SecurityLakeServiceLinkedRole

Security Lake 使用名為 的服務連結角色AWSServiceRoleForSecurityLake來建立和操作安全資料湖。

您無法將 SecurityLakeServiceLinkedRole受管政策連接至 IAM 實體。此政策會連接到服務連結角色，允許 Security Lake 代表您執行動作。如需詳細資訊，請參閱 Security Lake 的服務連結角色許可。

AWS受管政策：SecurityLakeResourceManagementServiceRolePolicy

Security Lake 使用名為 的服務連結角色AWSServiceRoleForSecurityLakeResourceManagement來執行持續的監控和效能改善，進而降低延遲和成本。

您無法將 SecurityLakeResourceManagementServiceRolePolicy受管政策連接至 IAM 實體。此政策會連接到服務連結角色，允許 Security Lake 代表您執行動作。如需詳細資訊，請參閱資源管理的服務連結角色許可。

AWS受管政策：AWS GlueServiceRole

AWS GlueServiceRole 受管政策會叫用AWS Glue爬蟲程式，並允許AWS Glue爬取自訂來源資料並識別分割區中繼資料。在 Data Catalog 中建立和更新資料表時，需要此中繼資料。

如需詳細資訊，請參閱從 Security Lake 中的自訂來源收集資料。

AWS受管政策的 Security Lake 更新

檢視自此服務開始追蹤這些變更以來，Security Lake AWS受管政策更新的詳細資訊。如需此頁面變更的自動提醒，請訂閱 Security Lake 文件歷史記錄頁面上的 RSS 摘要。