本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Security Lake 的 受管政策
<a name="security-iam-awsmanpol"></a>





 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可，則更新會影響政策連接的所有委託人身分 （使用者、群組和角色）。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。









## AWS 受管政策：AmazonSecurityLakeMetastoreManager
<a name="security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager"></a>

Amazon Security Lake 使用 AWS Lambda 函數來管理資料湖中的中繼資料。透過使用此函數，Security Lake 可以將包含您的資料和資料檔案的 Amazon Simple Storage Service (Amazon S3) 分割區索引至 AWS Glue Data Catalog 資料表。此受管政策包含 Lambda 函數將 S3 分割區和資料檔案索引到 AWS Glue 資料表的所有許可。

**許可詳細資訊**

此政策包含以下許可：
+ `logs` – 允許主體將 Lambda 函數的輸出記錄到 Amazon CloudWatch Logs。
+ `glue` – 允許主體執行 AWS Glue Data Catalog 資料表的特定寫入動作。這也允許 AWS Glue 爬蟲程式識別資料中的分割區。
+ `sqs` – 允許主體對 Amazon SQS 佇列執行特定的讀取和寫入動作，這些佇列會在資料湖中新增或更新物件時傳送事件通知。
+ `s3` – 允許主體對包含資料的 Amazon S3 儲存貯體執行特定的讀取和寫入動作。

若要檢閱此政策的許可，請參閱《 *AWS 受管政策參考指南*》中的 [AmazonSecurityLakeMetastoreManager](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeMetastoreManager.html)。

## AWS 受管政策：AmazonSecurityLakePermissionsBoundary
<a name="security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary"></a>

Amazon Security Lake 會為第三方自訂來源建立 IAM 角色，以將資料寫入資料湖，並為第三方自訂訂閱者建立 IAM 角色以取用資料湖中的資料，並在建立這些角色時使用此政策來定義其許可界限。您不需要採取動作即可使用此政策。如果資料湖使用客戶受管 AWS KMS 金鑰加密，`kms:Decrypt`則會新增`kms:GenerateDataKey`許可。

若要檢閱此政策的許可，請參閱《 *AWS 受管政策參考指南*》中的 [AmazonSecurityLakePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakePermissionsBoundary.html)。

## AWS 受管政策：AmazonSecurityLakeAdministrator
<a name="security-iam-awsmanpol-AmazonSecurityLakeAdministrator"></a>

您可以將`AmazonSecurityLakeAdministrator`政策連接至委託人，然後再為其帳戶啟用 Amazon Security Lake。此政策會授予管理許可，允許主體完整存取所有 Security Lake 動作。然後，委託人可以加入 Security Lake，並在 Security Lake 中設定來源和訂閱者。

此政策包含 Security Lake 管理員可以透過 Security Lake 在其他 AWS 服務上執行的動作。

此`AmazonSecurityLakeAdministrator`政策不支援建立 Security Lake 所需的公用程式角色，以管理 Amazon S3 跨區域複寫、在 中註冊新資料分割區 AWS Glue、對新增至自訂來源的資料執行 Glue 爬蟲程式，或通知 HTTPS 端點訂閱者新資料。您可以事先建立這些角色，如中所述[Amazon Security Lake 入門](getting-started.md)。

除了 `AmazonSecurityLakeAdministrator`受管政策之外，Security Lake 需要加入和組態函數的`lakeformation:PutDataLakeSettings`許可。 `PutDataLakeSettings` 允許將 IAM 主體設定為帳戶中所有區域 Lake Formation 資源的管理員。此角色必須連接 `iam:CreateRole permission`和 `AmazonSecurityLakeAdministrator`政策。

Lake Formation 管理員可以完整存取 Lake Formation 主控台，並控制初始資料組態和存取許可。Security Lake 會將啟用 Security Lake 和`AmazonSecurityLakeMetaStoreManager`角色 （或其他指定角色） 的主體指派為 Lake Formation 管理員，以便他們可以建立資料表、更新資料表結構描述、註冊新的分割區，以及設定資料表的許可。您必須在 Security Lake 管理員使用者或角色的政策中包含下列許可：

**注意**  
為了提供足夠的許可來授予 Lake Formation 型訂閱者存取權，Security Lake 建議新增下列`glue:PutResourcePolicy`許可。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPutLakeFormationSettings",
      "Effect": "Allow",
      "Action": "lakeformation:PutDatalakeSettings",
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowGlueActions",
      "Effect": "Allow",
      "Action": ["glue:PutResourcePolicy", "glue:DeleteResourcePolicy"],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*"
      ],
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    }
  ]
}
```

------



**許可詳細資訊**

此政策包含以下許可。




+ `securitylake` – 允許主體完整存取所有 Security Lake 動作。
+ `organizations` – 允許主體從 AWS Organizations 擷取有關組織中帳戶的資訊。如果帳戶屬於組織，則這些許可允許 Security Lake 主控台顯示帳戶名稱和帳戶號碼。
+ `iam` – 允許主體為 Security Lake、 AWS Lake Formation和 建立服務連結角色 Amazon EventBridge，作為啟用這些服務的必要步驟。也允許建立和編輯訂閱者和自訂來源角色的政策，這些角色的許可僅限於`AmazonSecurityLakePermissionsBoundary`政策允許的許可。
+ `ram` ：允許主體設定訂閱者對 Security Lake 來源的 Lake Formation查詢存取。
+ `s3`– 允許主體建立和管理 Security Lake 儲存貯體，並讀取這些儲存貯體的內容。
+ `lambda` – 允許主體管理 Lambda 用於在 AWS 來源交付和跨區域複寫之後更新 AWS Glue 資料表分割區的 。
+ `glue` – 允許主體建立和管理 Security Lake 資料庫和資料表。
+ `lakeformation` – 允許主體管理 Security Lake 資料表的 Lake Formation 許可。
+ `events` – 允許主體管理用來通知訂閱者 Security Lake 來源中新資料的規則。
+ `sqs` – 允許主體建立和管理用於通知訂閱者 Security Lake 來源中新資料的 Amazon SQS 佇列。
+ `kms` – 允許主體授予 Security Lake 使用客戶受管金鑰寫入資料的存取權。
+ `secretsmanager` – 允許主體管理用於透過 HTTPS 端點通知訂閱者 Security Lake 來源中新資料的秘密。



若要檢閱此政策的許可，請參閱《 *AWS 受管政策參考指南*》中的 [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html)。

## AWS 受管政策：SecurityLakeServiceLinkedRole
<a name="security-iam-awsmanpol-SecurityLakeServiceLinkedRole"></a>

Security Lake 使用名為 的服務連結角色`AWSServiceRoleForSecurityLake`來建立和操作安全資料湖。

您無法將 `SecurityLakeServiceLinkedRole`受管政策連接至 IAM 實體。此政策會連接到服務連結角色，允許 Security Lake 代表您執行動作。如需詳細資訊，請參閱 [Security Lake 的服務連結角色許可](https://docs.aws.amazon.com//security-lake/latest/userguide/slr-permissions.html)。

## AWS 受管政策：SecurityLakeResourceManagementServiceRolePolicy
<a name="security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement"></a>

Security Lake 使用名為 的服務連結角色`AWSServiceRoleForSecurityLakeResourceManagement`來執行持續的監控和效能改善，進而降低延遲和成本。提供管理 Security Lake 所建立資源的存取權。授予 Security Lake 刪除 SecurityLake\$1Glue\$1Partition\$1Updater\$1Lambda 的能力。對於已執行 iceberg 遷移並移至 v2 來源的客戶，此 Lambda 已棄用。此 Lambda 使用 Python 3.9 執行期，將於 12 月棄用。與其更新這些客戶的此 Lambda 執行時間，最好刪除它們。我們有一個復原程序，將判斷客戶是否仍需要 lambda，如果不需要，則將其刪除。需要此 SLR 更新，才能允許我們刪除該 lambda。

您無法將 `SecurityLakeResourceManagementServiceRolePolicy`受管政策連接至 IAM 實體。此政策會連接到服務連結角色，允許 Security Lake 代表您執行動作。如需詳細資訊，請參閱[資源管理的服務連結角色許可](https://docs.aws.amazon.com//security-lake/latest/userguide/AWSServiceRoleForSecurityLakeResourceManagement.html)。

**許可詳細資訊**

此政策包含以下許可。
+ `events` – 允許主體列出和管理 Security Lake 事件處理的 EventBridge 規則。
+ `lambda` – 允許主體管理用於 Security Lake 中繼資料處理的 Lambda 函數和組態，包括刪除已棄用分割區更新程式函數的功能。
+ `glue` – 允許主體在 AWS Glue Data Catalog for Security Lake 中繼資料管理中建立分割區、管理資料表和存取資料庫。
+ `s3` – 允許主體管理 Security Lake 資料湖操作的 Amazon S3 儲存貯體組態、生命週期政策和中繼資料物件。
+ `logs` – 允許主體存取 CloudWatch Logs 串流，並查詢 Security Lake Lambda 函數的日誌資料。
+ `sqs` – 允許主體管理 Security Lake 資料處理工作流程的 Amazon SQS 佇列和訊息。
+ `lakeformation` – 允許主體擷取 Security Lake 資源管理的資料湖設定和許可。

若要檢視政策的詳細資訊，包括最新版本的 JSON 政策文件，請參閱《 *AWS 受管政策參考指南*》中的 [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html)。

## AWS 受管政策： AWS GlueServiceRole
<a name="security-iam-awsmanpol-AWSGlueServiceRole"></a>

`AWS GlueServiceRole` 受管政策會叫用 AWS Glue 爬蟲程式，並允許 AWS Glue 編目自訂來源資料並識別分割區中繼資料。在 Data Catalog 中建立和更新資料表時，需要此中繼資料。

如需詳細資訊，請參閱[從 Security Lake 中的自訂來源收集資料](custom-sources.md)。





## AWS 受管政策的 Security Lake 更新
<a name="security-iam-awsmanpol-updates"></a>



檢視自此服務開始追蹤這些變更以來，Security Lake AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒，請訂閱 Security Lake 文件歷史記錄頁面上的 RSS 摘要。




| 變更 | 描述 | Date | 
| --- | --- | --- | 
|  [SecurityLakeResourceManagementServiceRolePolicy](#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement) – 已更新現有政策  |  Security Lake 已更新 受管政策`SecurityLakeResourceManagementServiceRolePolicy`，以新增已取代 SecurityLake\$1Glue\$1Partition\$1Updater\$1Lambda 函數的`lambda:DeleteFunction`許可。這可讓 Security Lake 在遷移至 v2 來源和 iceberg 格式的過程中清除已取代的 Lambda 函數。  |  2025 年 11 月 18 日  | 
|  [AWSServiceRoleForSecurityLakeResourceManagement](AWSServiceRoleForSecurityLakeResourceManagement.md) – 已更新現有政策  |  此政策已更新，以將 `StringLike`運算子取代為 `ArnLike`運算子，以評估`aws:ResourceAccount`條件區塊`lambda:FunctionArn`中 的 ARN 類型金鑰。這可提供更安全的強制執行。  |  2025 年 9 月 25 日  | 
|  [Amazon Security Lake 的服務連結角色](AWSServiceRoleForSecurityLakeResourceManagement.md) – 新的服務連結角色  |  我們新增了新的服務連結角色 `AWSServiceRoleForSecurityLakeResourceManagement`。此服務連結角色可為 Security Lake 提供許可，以執行持續的監控和效能改善，進而降低延遲和成本。  |  2024 年 11 月 14 日  | 
|  [Amazon Security Lake 的服務連結角色](using-service-linked-roles.md) – 更新現有服務連結角色許可  |  我們已將 AWS WAF 動作新增至政策的 AWS 受管`SecurityLakeServiceLinkedRole`政策。其他動作允許 Security Lake 在 Security Lake 中啟用為 AWS WAF 日誌來源時收集日誌。  |  2024 年 5 月 22 日  | 
| [AmazonSecurityLakePermissionsBoundary](#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary) – 更新現有政策 |  Security Lake 已將 SID 動作新增至政策。  |  2024 年 5 月 13 日  | 
|  [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) – 更新現有政策  |  Security Lake 已更新政策，新增中繼資料清除動作，可讓您刪除資料湖中的中繼資料。  |  2024 年 3 月 27 日  | 
|  [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) – 更新現有政策  |  Security Lake 已更新政策以允許新`AmazonSecurityLakeMetastoreManagerV2`角色`iam:PassRole`，並讓 Security Lake 部署或更新資料湖元件。  |  2024 年 2 月 23 日  | 
|  [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) – 新政策  |  Security Lake 新增了新的受管政策，授予 Security Lake 管理資料湖中中繼資料的許可。  |  2024 年 1 月 23 日  | 
|  [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) – 新政策  |  Security Lake 新增了新的受管政策，授予委託人對所有 Security Lake 動作的完整存取權。  |  2023 年 5 月 30 日  | 
|  Security Lake 開始追蹤變更  |  Security Lake 開始追蹤其 AWS 受管政策的變更。  | 2022 年 11 月 29 日 |