本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Lake 的服務連結角色 (SLR) 許可
Security Lake 使用名為 的服務連結角色AWSServiceRoleForSecurityLake。此服務連結角色信任securitylake.amazonaws.com服務擔任該角色。如需 Amazon Security Lake 受 AWS 管政策的詳細資訊,請參閱 AWS Amazon Security Lake 的管理政策。
角色的許可政策是名為 的 AWS 受管政策SecurityLakeServiceLinkedRole,可讓 Security Lake 建立和操作安全資料湖。它還允許 Security Lake 對指定的資源執行如下任務:
-
使用 AWS Organizations 動作來擷取關聯帳戶的相關資訊
-
使用 Amazon Elastic Compute Cloud (Amazon EC2) 擷取 Amazon VPC 流程日誌的相關資訊
-
使用 AWS CloudTrail 動作來擷取服務連結角色的相關資訊
-
在 Security Lake 中啟用 AWS WAF 日誌來源時,使用 AWS WAF 動作來收集日誌
-
使用
LogDelivery動作來建立或刪除 AWS WAF 日誌交付訂閱。
若要檢閱此政策的許可,請參閱《 AWS 受管政策參考指南》中的 SecurityLakeServiceLinkedRole。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 IAM 使用者指南中的服務連結角色許可。
建立 Security Lake 服務連結角色
您不需要手動建立 Security Lake AWSServiceRoleForSecurityLake的服務連結角色。當您為 啟用 Security Lake 時 AWS 帳戶,Security Lake 會自動為您建立服務連結角色。
編輯 Security Lake 服務連結角色
Security Lake 不允許您編輯AWSServiceRoleForSecurityLake服務連結角色。建立服務連結角色後,您無法變更角色的名稱,因為各種實體可能會參考角色。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色。
刪除 Security Lake 服務連結角色
您無法從 Security Lake 刪除服務連結角色。反之,您可以從 IAM 主控台、API 或 刪除服務連結角色 AWS CLI。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色。
您必須先確認角色沒有作用中的工作階段,並移除AWSServiceRoleForSecurityLake正在使用的任何資源,才能刪除服務連結角色。
注意
如果 Security Lake 在您嘗試刪除資源時正在使用AWSServiceRoleForSecurityLake角色,刪除可能會失敗。如果發生這種情況,請等待幾分鐘,然後再次嘗試操作。
如果您刪除AWSServiceRoleForSecurityLake服務連結角色並需要再次建立,您可以透過為您的帳戶啟用 Security Lake 來再次建立該角色。當您再次啟用 Security Lake 時,Security Lake 會自動再次為您建立服務連結角色。
AWS 區域 支援 Security Lake 服務連結角色
Security Lake 支援在所有可使用 Security Lake AWS 區域 的 中使用AWSServiceRoleForSecurityLake服務連結角色。如需目前可使用 Security Lake 的區域清單,請參閱 Security Lake 區域和端點。
