本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Security Lake 的服務連結角色 (SLR) 許可
<a name="slr-permissions"></a>

Security Lake 使用名為 的服務連結角色`AWSServiceRoleForSecurityLake`。此服務連結角色信任`securitylake.amazonaws.com`服務擔任該角色。如需 Amazon Security Lake 受 AWS 管政策的詳細資訊，請參閱 [AWS Amazon Security Lake 的管理政策](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html)。

角色的許可政策是名為 的 AWS 受管政策`SecurityLakeServiceLinkedRole`，可讓 Security Lake 建立和操作安全資料湖。它還允許 Security Lake 對指定的資源執行如下任務：
+ 使用 AWS Organizations 動作來擷取關聯帳戶的相關資訊
+ 使用 Amazon Elastic Compute Cloud (Amazon EC2) 擷取 Amazon VPC 流程日誌的相關資訊
+ 使用 AWS CloudTrail 動作來擷取服務連結角色的相關資訊
+ 在 Security Lake 中啟用 AWS WAF 日誌來源時，使用 AWS WAF 動作來收集日誌
+ 使用 `LogDelivery`動作來建立或刪除 AWS WAF 日誌交付訂閱。

若要檢閱此政策的許可，請參閱《 *AWS 受管政策參考指南*》中的 [SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html)。

您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 建立 Security Lake 服務連結角色
<a name="create-slr"></a>

您不需要手動建立 Security Lake `AWSServiceRoleForSecurityLake`的服務連結角色。當您為 啟用 Security Lake 時 AWS 帳戶，Security Lake 會自動為您建立服務連結角色。

## 編輯 Security Lake 服務連結角色
<a name="edit-slr"></a>

Security Lake 不允許您編輯`AWSServiceRoleForSecurityLake`服務連結角色。建立服務連結角色之後，您無法變更角色的名稱，因為各種實體可能會參考角色。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除 Security Lake 服務連結角色
<a name="delete-slr"></a>

您無法從 Security Lake 刪除服務連結角色。反之，您可以從 IAM 主控台、API 或 刪除服務連結角色 AWS CLI。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

您必須先確認角色沒有作用中的工作階段，並移除`AWSServiceRoleForSecurityLake`正在使用的任何資源，才能刪除服務連結角色。

**注意**  
如果 Security Lake 在您嘗試刪除資源時使用`AWSServiceRoleForSecurityLake`角色，刪除可能會失敗。如果發生這種情況，請等待幾分鐘，然後再次嘗試操作。

如果您刪除`AWSServiceRoleForSecurityLake`服務連結角色並需要再次建立，您可以透過為您的帳戶啟用 Security Lake 來再次建立該角色。當您再次啟用 Security Lake 時，Security Lake 會自動再次為您建立服務連結角色。

## AWS 區域 支援 Security Lake 服務連結角色
<a name="slr-regions"></a>

Security Lake 支援在可使用 AWS 區域 Security Lake 的所有 中使用`AWSServiceRoleForSecurityLake`服務連結角色。如需目前可使用 Security Lake 的區域清單，請參閱 [Security Lake 區域和端點](supported-regions.md)。