Security Lake 的服務連結角色 (SLR) 許可 - Amazon Security Lake
建立 Security Lake 服務連結角色編輯 Security Lake 服務連結角色刪除 Security Lake 服務連結角色AWS 區域 支援 Security Lake 服務連結角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Security Lake 的服務連結角色 (SLR) 許可

Security Lake 使用名為 的服務連結角色AWSServiceRoleForSecurityLake。此服務連結角色信任securitylake.amazonaws.com服務擔任該角色。如需 Amazon Security Lake 受 AWS 管政策的詳細資訊,請參閱 AWS Amazon Security Lake 的管理政策

角色的許可政策是名為 的 AWS 受管政策SecurityLakeServiceLinkedRole,可讓 Security Lake 建立和操作安全資料湖。它還允許 Security Lake 對指定的資源執行如下任務:

  • 使用 AWS Organizations 動作來擷取關聯帳戶的相關資訊

  • 使用 Amazon Elastic Compute Cloud (Amazon EC2) 擷取 Amazon VPC 流程日誌的相關資訊

  • 使用 AWS CloudTrail 動作來擷取服務連結角色的相關資訊

  • 在 Security Lake 中啟用 AWS WAF 日誌來源時,使用 AWS WAF 動作來收集日誌

  • 使用 LogDelivery動作來建立或刪除 AWS WAF 日誌交付訂閱。

角色已設定下列許可政策:

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "OrganizationsPolicies",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "organizations:DescribeOrganization"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "DescribeOrgAccounts",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount"
            ],
            "Resource": [
                "arn:aws:organizations::*:account/o-*/*"
            ]
        },
        {
            "Sid": "AllowManagementOfServiceLinkedChannel",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateServiceLinkedChannel",
                "cloudtrail:DeleteServiceLinkedChannel",
                "cloudtrail:GetServiceLinkedChannel",
                "cloudtrail:UpdateServiceLinkedChannel"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*"
        },
        {
            "Sid": "AllowListServiceLinkedChannel",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:ListServiceLinkedChannels"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DescribeAnyVpc",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListDelegatedAdmins",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "securitylake.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowWafLoggingConfiguration",
            "Effect": "Allow",
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:GetLoggingConfiguration",
                "wafv2:ListLoggingConfigurations",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "wafv2:LogScope": "SecurityLake"
                }
            }
        },
        {
            "Sid": "AllowPutLoggingConfiguration",
            "Effect": "Allow",
            "Action": [
                "wafv2:PutLoggingConfiguration"
            ],
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*"
                }
            }
        },
        {
            "Sid": "ListWebACLs",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs"
            ],
            "Resource": "*"
        },
        {
            "Sid": "LogDelivery",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "wafv2.amazonaws.com"
                    ]
                }
            }
        }
        
    ]
}

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 IAM 使用者指南中的服務連結角色許可

建立 Security Lake 服務連結角色

您不需要手動建立 Security Lake AWSServiceRoleForSecurityLake的服務連結角色。當您為 啟用 Security Lake 時 AWS 帳戶,Security Lake 會自動為您建立服務連結角色。

編輯 Security Lake 服務連結角色

Security Lake 不允許您編輯AWSServiceRoleForSecurityLake服務連結角色。建立服務連結角色之後,您無法變更角色的名稱,因為各種實體可能會參考角色。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱「IAM 使用者指南」編輯服務連結角色

刪除 Security Lake 服務連結角色

您無法從 Security Lake 刪除服務連結角色。反之,您可以從 IAM 主控台、API 或 刪除服務連結角色 AWS CLI。如需詳細資訊,請參閱「IAM 使用者指南」中的刪除服務連結角色

您必須先確認角色沒有作用中的工作階段,並移除AWSServiceRoleForSecurityLake正在使用的任何資源,才能刪除服務連結角色。

注意

如果 Security Lake 在您嘗試刪除資源時正在使用AWSServiceRoleForSecurityLake角色,刪除可能會失敗。如果發生這種情況,請等待幾分鐘,然後再次嘗試操作。

如果您刪除AWSServiceRoleForSecurityLake服務連結角色並需要再次建立,您可以透過為您的帳戶啟用 Security Lake 來再次建立該角色。當您再次啟用 Security Lake 時,Security Lake 會自動再次為您建立服務連結角色。

AWS 區域 支援 Security Lake 服務連結角色

Security Lake 支援在可使用 AWS 區域 Security Lake 的所有 中使用AWSServiceRoleForSecurityLake服務連結角色。如需目前可使用 Security Lake 的區域清單,請參閱 Security Lake 區域和端點