AWS políticas gestionadas para Security Lake - Amazon Security Lake

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para Security Lake

Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando haya nuevas API operaciones disponibles para los servicios existentes.

Para obtener más información, consulte las políticas AWS administradas en la Guía del IAM usuario.

AWS política gestionada: AmazonSecurityLakeMetastoreManager

Amazon Security Lake utiliza una AWS Lambda función para gestionar los metadatos de su lago de datos. Mediante el uso de esta función, Security Lake puede indexar las particiones del Amazon Simple Storage Service (Amazon S3) que contienen sus datos y archivos de datos en las tablas AWS Glue del catálogo de datos. Esta política gestionada contiene todos los permisos para que la función Lambda indexe las particiones y los archivos de datos de S3 en las AWS Glue tablas.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • logs— Permite a los directores registrar el resultado de la función Lambda en Amazon CloudWatch Logs.

  • glue— Permite a los directores realizar acciones de escritura específicas para las tablas del catálogo de AWS Glue datos. Esto también permite a AWS Glue los rastreadores identificar las particiones de los datos.

  • sqs— Permite a los directores realizar acciones específicas de lectura y escritura para las SQS colas de Amazon que envían notificaciones de eventos cuando se añaden o actualizan objetos en su lago de datos.

  • s3— Permite a los directores realizar acciones específicas de lectura y escritura para el bucket de Amazon S3 que contiene sus datos.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowWriteLambdaLogs", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/lambda/AmazonSecurityLake*", "arn:aws:logs:*:*:/aws/lambda/AmazonSecurityLake*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowGlueManage", "Effect": "Allow", "Action": [ "glue:CreatePartition", "glue:BatchCreatePartition", "glue:GetTable", "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*", "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*", "arn:aws:glue:*:*:catalog" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowToReadFromSqs", "Effect": "Allow", "Action": [ "sqs:ReceiveMessage", "sqs:DeleteMessage", "sqs:GetQueueAttributes" ], "Resource": [ "arn:aws:sqs:*:*:AmazonSecurityLake*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowMetaDataReadWrite", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::aws-security-data-lake*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowMetaDataCleanup", "Effect": "Allow", "Action": [ "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::aws-security-data-lake*/metadata/*.avro", "arn:aws:s3:::aws-security-data-lake*/metadata/*.metadata.json" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }

AWS política gestionada: AmazonSecurityLakePermissionsBoundary

Amazon Security Lake crea IAM funciones para que fuentes personalizadas de terceros escriban datos en el lago de datos y para que los suscriptores personalizados de terceros consuman datos del lago de datos, y utiliza esta política al crear estas funciones para definir el límite de sus permisos. No es necesario que tome ninguna medida para utilizar esta política. Si el lago de datos está cifrado con una AWS KMS clave gestionada por el cliente kms:Decrypt y se añaden kms:GenerateDataKey permisos.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowActionsForSecurityLake", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket", "s3:ListBucketVersions", "s3:PutObject", "s3:GetBucketLocation", "kms:Decrypt", "kms:GenerateDataKey", "sqs:ReceiveMessage", "sqs:ChangeMessageVisibility", "sqs:DeleteMessage", "sqs:GetQueueUrl", "sqs:SendMessage", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" }, { "Sid": "DenyActionsForSecurityLake", "Effect": "Deny", "NotAction": [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket", "s3:ListBucketVersions", "s3:PutObject", "s3:GetBucketLocation", "kms:Decrypt", "kms:GenerateDataKey", "sqs:ReceiveMessage", "sqs:ChangeMessageVisibility", "sqs:DeleteMessage", "sqs:GetQueueUrl", "sqs:SendMessage", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" }, { "Sid": "DenyActionsNotOnSecurityLakeBucket", "Effect": "Deny", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket", "s3:ListBucketVersions", "s3:PutObject", "s3:GetBucketLocation" ], "NotResource": [ "arn:aws:s3:::aws-security-data-lake*" ] }, { "Sid": "DenyActionsNotOnSecurityLakeSQS", "Effect": "Deny", "Action": [ "sqs:ReceiveMessage", "sqs:ChangeMessageVisibility", "sqs:DeleteMessage", "sqs:GetQueueUrl", "sqs:SendMessage", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "NotResource": "arn:aws:sqs:*:*:AmazonSecurityLake*" }, { "Sid": "DenyActionsNotOnSecurityLakeKMSS3SQS", "Effect": "Deny", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringNotLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "sqs.*.amazonaws.com" ] } } }, { "Sid": "DenyActionsNotOnSecurityLakeKMSForS3", "Effect": "Deny", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:s3:arn": "false" }, "StringNotLikeIfExists": { "kms:EncryptionContext:aws:s3:arn": [ "arn:aws:s3:::aws-security-data-lake*" ] } } }, { "Sid": "DenyActionsNotOnSecurityLakeKMSForS3SQS", "Effect": "Deny", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:sqs:arn": "false" }, "StringNotLikeIfExists": { "kms:EncryptionContext:aws:sqs:arn": [ "arn:aws:sqs:*:*:AmazonSecurityLake*" ] } } } ] }

AWS política gestionada: AmazonSecurityLakeAdministrator

Puedes adjuntar la AmazonSecurityLakeAdministrator política a un mandante antes de que habilite Amazon Security Lake en su cuenta. Esta política otorga permisos administrativos que brindan a una entidad principal acceso completo a todas las acciones de Security Lake. Luego, el principal puede incorporarse a Security Lake y, posteriormente, configurar las fuentes y los suscriptores en Security Lake.

Esta política incluye las acciones que los administradores de Security Lake pueden realizar en otros AWS servicios a través de Security Lake.

La AmazonSecurityLakeAdministrator política no admite la creación de las funciones de utilidad requeridas por Security Lake para gestionar la replicación entre regiones de Amazon S3, el registro de nuevas particiones de datos AWS Glue, la ejecución de un rastreador de Glue con los datos añadidos a fuentes personalizadas o la notificación de nuevos datos a los suscriptores de HTTPS terminales. Puede crear estos roles con antelación, tal y como se describe en. Introducción a Amazon Security Lake

Además de la política AmazonSecurityLakeAdministrator gestionada, Security Lake requiere lakeformation:PutDataLakeSettings permisos para las funciones de incorporación y configuración. PutDataLakeSettingspermite establecer un IAM director como administrador de todos los recursos regionales de Lake Formation de la cuenta. Esta función debe iam:CreateRole permission ir acompañada de una AmazonSecurityLakeAdministrator política.

Los administradores de Lake Formation tienen acceso total a la consola de Lake Formation y controlan la configuración inicial de los datos y los permisos de acceso. Security Lake asigna el principal que habilita a Security Lake y el AmazonSecurityLakeMetaStoreManager rol (u otro rol específico) como administradores de Lake Formation para que puedan crear tablas, actualizar el esquema de las tablas, registrar nuevas particiones y configurar los permisos en las tablas. Debe incluir los siguientes permisos en la política para el rol o usuario administrador de Security Lake:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutLakeFormationSettings", "Effect": "Allow", "Action": "lakeformation:PutDatalakeSettings", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } } ] }

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • securitylake— Permite a los directores el acceso total a todas las acciones de Security Lake.

  • organizations— Permite a los directores recuperar información de AWS Organizations sobre las cuentas de una organización. Si una cuenta pertenece a una organización, estos permisos permiten que la consola de Security Lake muestre los nombres y números de cuenta.

  • iam— Permite a los directores crear funciones vinculadas a servicios para Security Lake y AWS Lake Formation Amazon EventBridge, como paso obligatorio a la hora de habilitar esos servicios. También permite crear y editar políticas para funciones de suscriptor y de fuente personalizadas, y los permisos de esas funciones se limitan a lo permitido por la política. AmazonSecurityLakePermissionsBoundary

  • ram— Permite a los directores configurar el acceso Lake Formation basado en consultas de los suscriptores a las fuentes de Security Lake.

  • s3— Permite a los directores crear y administrar depósitos de Security Lake y leer el contenido de esos depósitos.

  • lambda— Permite a los directores gestionar las particiones de la AWS Glue tabla Lambda utilizadas para actualizar tras la entrega en AWS origen y la replicación entre regiones.

  • glue— Permite a los directores crear y administrar la base de datos y las tablas de Security Lake.

  • lakeformation— Permite a los directores administrar los Lake Formation permisos de las tablas de Security Lake.

  • events— Permite a los directores administrar las reglas utilizadas para notificar a los suscriptores los nuevos datos en las fuentes de Security Lake.

  • sqs— Permite a los directores crear y administrar Amazon SQS colas que se utilizan para notificar a los suscriptores los nuevos datos en las fuentes de Security Lake.

  • kms— Permite a los directores conceder acceso a Security Lake para escribir datos mediante una clave administrada por el cliente.

  • secretsmanager— Permite a los directores gestionar los secretos que se utilizan para notificar a los suscriptores los nuevos datos en las fuentes de Security Lake a través de puntos finales. HTTPS

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowActionsWithAnyResource", "Effect": "Allow", "Action": [ "securitylake:*", "organizations:DescribeOrganization", "organizations:ListDelegatedServicesForAccount", "organizations:ListAccounts", "iam:ListRoles", "ram:GetResourceShareAssociations" ], "Resource": "*" }, { "Sid": "AllowActionsWithAnyResourceViaSecurityLake", "Effect": "Allow", "Action": [ "glue:CreateCrawler", "glue:StopCrawlerSchedule", "lambda:CreateEventSourceMapping", "lakeformation:GrantPermissions", "lakeformation:ListPermissions", "lakeformation:RegisterResource", "lakeformation:RevokePermissions", "lakeformation:GetDatalakeSettings", "events:ListConnections", "events:ListApiDestinations", "iam:GetRole", "iam:ListAttachedRolePolicies", "kms:DescribeKey" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowManagingSecurityLakeS3Buckets", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy", "s3:PutBucketPublicAccessBlock", "s3:PutBucketNotification", "s3:PutBucketTagging", "s3:PutEncryptionConfiguration", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration", "s3:PutLifecycleConfiguration", "s3:ListBucket", "s3:PutObject", "s3:GetBucketNotification" ], "Resource": "arn:aws:s3:::aws-security-data-lake*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowLambdaCreateFunction", "Effect": "Allow", "Action": [ "lambda:CreateFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:SecurityLake_Glue_Partition_Updater_Lambda*", "arn:aws:lambda:*:*:function:AmazonSecurityLake*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowLambdaAddPermission", "Effect": "Allow", "Action": [ "lambda:AddPermission" ], "Resource": [ "arn:aws:lambda:*:*:function:SecurityLake_Glue_Partition_Updater_Lambda*", "arn:aws:lambda:*:*:function:AmazonSecurityLake*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" }, "StringEquals": { "lambda:Principal": "securitylake.amazonaws.com" } } }, { "Sid": "AllowGlueActions", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase", "glue:CreateTable", "glue:GetTable" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*", "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowEventBridgeActions", "Effect": "Allow", "Action": [ "events:PutTargets", "events:PutRule", "events:DescribeRule", "events:CreateApiDestination", "events:CreateConnection", "events:UpdateConnection", "events:UpdateApiDestination", "events:DeleteConnection", "events:DeleteApiDestination", "events:ListTargetsByRule", "events:RemoveTargets", "events:DeleteRule" ], "Resource": [ "arn:aws:events:*:*:rule/AmazonSecurityLake*", "arn:aws:events:*:*:rule/SecurityLake*", "arn:aws:events:*:*:api-destination/AmazonSecurityLake*", "arn:aws:events:*:*:connection/AmazonSecurityLake*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowSQSActions", "Effect": "Allow", "Action": [ "sqs:CreateQueue", "sqs:SetQueueAttributes", "sqs:GetQueueURL", "sqs:AddPermission", "sqs:GetQueueAttributes", "sqs:DeleteQueue" ], "Resource": [ "arn:aws:sqs:*:*:SecurityLake*", "arn:aws:sqs:*:*:AmazonSecurityLake*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowKmsCmkGrantForSecurityLake", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::aws-security-data-lake*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "GenerateDataKey", "RetireGrant", "Decrypt" ] } } }, { "Sid": "AllowEnablingQueryBasedSubscribers", "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "ram:ResourceArn": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*", "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*" ] }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowConfiguringQueryBasedSubscribers", "Effect": "Allow", "Action": [ "ram:UpdateResourceShare", "ram:GetResourceShares", "ram:DisassociateResourceShare", "ram:DeleteResourceShare" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": "LakeFormation*" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowConfiguringCredentialsForSubscriberNotification", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!connection/AmazonSecurityLake-*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowPassRoleForUpdatingGluePartitionsSecLakeArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSecurityLakeMetaStoreManager", "arn:aws:iam::*:role/service-role/AmazonSecurityLakeMetaStoreManagerV2" ], "Condition": { "StringEquals": { "iam:PassedToService": "lambda.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": "arn:aws:securitylake:*:*:data-lake/default" } } }, { "Sid": "AllowPassRoleForUpdatingGluePartitionsLambdaArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSecurityLakeMetaStoreManager", "arn:aws:iam::*:role/service-role/AmazonSecurityLakeMetaStoreManagerV2" ], "Condition": { "StringEquals": { "iam:PassedToService": "lambda.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": [ "arn:aws:lambda:*:*:function:SecurityLake_Glue_Partition_Updater_Lambda*", "arn:aws:lambda:*:*:function:AmazonSecurityLake*" ] }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowPassRoleForCrossRegionReplicationSecLakeArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonSecurityLakeS3ReplicationRole", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": "arn:aws:securitylake:*:*:data-lake/default" } } }, { "Sid": "AllowPassRoleForCrossRegionReplicationS3Arn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonSecurityLakeS3ReplicationRole", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": "arn:aws:s3:::aws-security-data-lake*" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowPassRoleForCustomSourceCrawlerSecLakeArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonSecurityLakeCustomDataGlueCrawler*", "Condition": { "StringEquals": { "iam:PassedToService": "glue.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": "arn:aws:securitylake:*:*:data-lake/default" } } }, { "Sid": "AllowPassRoleForCustomSourceCrawlerGlueArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonSecurityLakeCustomDataGlueCrawler*", "Condition": { "StringEquals": { "iam:PassedToService": "glue.amazonaws.com" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowPassRoleForSubscriberNotificationSecLakeArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonSecurityLakeSubscriberEventBridge", "Condition": { "StringEquals": { "iam:PassedToService": "events.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": "arn:aws:securitylake:*:*:subscriber/*" } } }, { "Sid": "AllowPassRoleForSubscriberNotificationEventsArn", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonSecurityLakeSubscriberEventBridge", "Condition": { "StringEquals": { "iam:PassedToService": "events.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": "arn:aws:events:*:*:rule/AmazonSecurityLake*" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowOnboardingToSecurityLakeDependencies", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": [ "arn:aws:iam::*:role/aws-service-role/securitylake.amazonaws.com/AWSServiceRoleForSecurityLake", "arn:aws:iam::*:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::*:role/aws-service-role/apidestinations.events.amazonaws.com/AWSServiceRoleForAmazonEventBridgeApiDestinations" ], "Condition": { "StringLike": { "iam:AWSServiceName": [ "securitylake.amazonaws.com", "lakeformation.amazonaws.com", "apidestinations.events.amazonaws.com" ] } } }, { "Sid": "AllowRolePolicyActionsforSubscibersandSources", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::*:role/AmazonSecurityLake*", "Condition": { "StringEquals": { "iam:PermissionsBoundary": "arn:aws:iam::aws:policy/AmazonSecurityLakePermissionsBoundary" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowRegisterS3LocationInLakeFormation", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:GetRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "AllowIAMActionsByResource", "Effect": "Allow", "Action": [ "iam:ListRolePolicies", "iam:DeleteRole" ], "Resource": "arn:aws:iam::*:role/AmazonSecurityLake*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "securitylake.amazonaws.com" } } }, { "Sid": "S3ReadAccessToSecurityLakes", "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::aws-security-data-lake-*" }, { "Sid": "S3ReadAccessToSecurityLakeMetastoreObject", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::security-lake-meta-store-manager-*" }, { "Sid": "S3ResourcelessReadOnly", "Effect": "Allow", "Action": [ "s3:GetAccountPublicAccessBlock", "s3:ListAccessPoints", "s3:ListAllMyBuckets" ], "Resource": "*" } ] }

AWS política gestionada: SecurityLakeServiceLinkedRole

Security Lake usa el rol vinculado al servicio denominado AWSServiceRoleForSecurityLake para crear y operar el lago de datos de seguridad.

No puede adjuntar la política SecurityLakeServiceLinkedRole gestionada a sus entidades. IAM Esta política está asociada a una función vinculada al servicio que permite a Security Lake realizar acciones en su nombre. Para obtener más información, consulte Permisos de roles vinculados a servicios para Security Lake.

AWS política gestionada: SecurityLakeResourceManagementServiceRolePolicy

Security Lake utiliza la función vinculada al servicio denominada AWSServiceRoleForSecurityLakeResourceManagement para realizar una supervisión continua y mejorar el rendimiento, lo que puede reducir la latencia y los costes.

No puede adjuntar la política SecurityLakeResourceManagementServiceRolePolicy gestionada a sus entidades. IAM Esta política está asociada a una función vinculada al servicio que permite a Security Lake realizar acciones en su nombre. Para obtener más información, consulte Permisos de roles vinculados al servicio para la administración de recursos.

AWS política gestionada: AWS GlueServiceRole

La política AWS GlueServiceRole gestionada invoca el AWS Glue rastreador y permite AWS Glue rastrear los datos fuente personalizados e identificar los metadatos de las particiones. Estos metadatos son necesarios para crear y actualizar tablas en el catálogo de datos.

Para obtener más información, consulte Recopilación de datos de fuentes personalizadas en Security Lake.

Security Lake actualiza las políticas AWS administradas

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas de Security Lake desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed de la página del historial de documentos de Security Lake.

Cambio Descripción Fecha

Función vinculada a servicios para Amazon Security Lake: nueva función vinculada a servicios

Hemos añadido un nuevo rol vinculado al servicio. AWSServiceRoleForSecurityLakeResourceManagement Esta función vinculada al servicio proporciona permisos a Security Lake para llevar a cabo una supervisión continua y mejorar el rendimiento, lo que puede reducir la latencia y los costes.

14 de noviembre de 2024

Función vinculada a servicios para Amazon Security Lake: actualización de los permisos de funciones vinculadas a servicios existentes

Hemos añadido AWS WAF acciones a la política AWS gestionada de la política. SecurityLakeServiceLinkedRole Las acciones adicionales permiten a Security Lake recopilar AWS WAF registros cuando está habilitada como fuente de registros en Security Lake.

22 de mayo de 2024

AmazonSecurityLakePermissionsBoundary: actualización de una política actual

Security Lake agregó SID acciones a la política.

13 de mayo de 2024

AmazonSecurityLakeMetastoreManager: actualización de una política actual

Security Lake actualizó la política para añadir una acción de limpieza de metadatos que le permite eliminar los metadatos de su lago de datos.

27 de marzo de 2024

AmazonSecurityLakeAdministrator: actualización de una política actual

Security Lake actualizó la política para permitir iam:PassRole el nuevo AmazonSecurityLakeMetastoreManagerV2 rol y permitir a Security Lake implementar o actualizar los componentes del lago de datos.

23 de febrero de 2024

AmazonSecurityLakeMetastoreManager: política nueva

Security Lake agregó una nueva política administrada que otorga permisos a Security Lake para administrar los metadatos de su lago de datos.

23 de enero de 2024

AmazonSecurityLakeAdministrator: política nueva

Security Lake agregó una nueva política administrada que otorga al principal acceso total a todas las acciones de Security Lake.

30 de mayo de 2023

Security Lake comenzó a rastrear los cambios

Security Lake comenzó a rastrear los cambios en sus políticas AWS administradas.

29 de noviembre de 2022