AWSpolitiques gérées par pour Amazon Security Lake - Amazon Security Lake
AmazonSecurityLakePermissionsBoundarySecurityLakeServiceLinkedRoleAWSGlueServiceRoleMises à jour des politiques

Amazon Security Lake est en version préliminaire. Votre utilisation de la version préliminaire d'Amazon Security Lake est soumise à la section 2 des conditions deAWS service (« versions bêta et versions préliminaires »).

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSpolitiques gérées par pour Amazon Security Lake

Pour ajouter des autorisations à des utilisateurs, des groupes et des rôles, il est plus facile d'utiliser des politiques gérées par AWS que d'écrire des politiques vous-même. Il faut du temps et de l'expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques gérées par AWS. Ces politiques couvrent des cas d'utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur les politiques gérées par AWS, consultez Politiques gérées par AWSdans le Guide de l'utilisateur IAM.

Les Services AWS assurent la maintenance et la mise à jour des politiques gérées par AWS. Vous ne pouvez pas modifier les autorisations définies dans les politiques gérées par AWS. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctions. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonction est lancée ou quand de nouvelles opérations sont disponibles. Les services ne supprimant pas les autorisations d'une politique gérée par AWS, les mises à jour de politique n'interrompent vos autorisations existantes.

En outre, AWS prend en charge des politiques gérées pour des activités professionnelles couvrant plusieurs services. Par exemple, la politique ViewOnlyAccess gérée par AWS donne accès en lecture seule à de nombreux Services AWS et ressources. Quand un service lance une nouvelle fonction, AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l'utilisateur IAM.

AWSpolitique gérée : AmazonSecurityLakePermissionsBoundary

Amazon Security Lake crée des rôles IAM pour les sources personnalisées tierces afin d'écrire des données dans le lac de données et pour les abonnés personnalisés tiers afin de consommer les données du lac de données. Il utilise cette politique lors de la création de ces rôles afin de définir les limites de leurs autorisations. Aucune action de votre part n'est requise pour utiliser cette politique. Si le lac de données est crypté à l'aide d'uneAWS KMS clé gérée par le clientkms:Decrypt et quekms:GenerateDataKey des autorisations sont ajoutées.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:ListBucket",
        "s3:ListBucketVersions",
        "s3:PutObject",
        "s3:GetBucketLocation",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "sqs:ReceiveMessage",
        "sqs:ChangeMessageVisibility",
        "sqs:DeleteMessage",
        "sqs:GetQueueUrl",
        "sqs:SendMessage",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "NotAction": [
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:ListBucket",
        "s3:ListBucketVersions",
        "s3:PutObject",
        "s3:GetBucketLocation",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "sqs:ReceiveMessage",
        "sqs:ChangeMessageVisibility",
        "sqs:DeleteMessage",
        "sqs:GetQueueUrl",
        "sqs:SendMessage",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:ListBucket",
        "s3:ListBucketVersions",
        "s3:PutObject",
        "s3:GetBucketLocation"
      ],
      "NotResource": [
        "arn:aws:s3:::aws-security-data-lake*"
      ]
    },
    {
      "Effect": "Deny",
      "Action": [
        "sqs:ReceiveMessage",
        "sqs:ChangeMessageVisibility",
        "sqs:DeleteMessage",
        "sqs:GetQueueUrl",
        "sqs:SendMessage",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues"
      ],
      "NotResource": "arn:aws:sqs:*:*:AmazonSecurityLake*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotLike": {
          "kms:ViaService": [
            "s3.*.amazonaws.com",
            "sqs.*.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "kms:EncryptionContext:aws:s3:arn": "false"
        },
        "StringNotLikeIfExists": {
          "kms:EncryptionContext:aws:s3:arn": [
            "arn:aws:s3:::aws-security-data-lake*"
          ]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "kms:EncryptionContext:aws:sqs:arn": "false"
        },
        "StringNotLikeIfExists": {
          "kms:EncryptionContext:aws:sqs:arn": [
            "arn:aws:sqs:*:*:AmazonSecurityLake*"
          ]
        }
      }
    }
  ]
}

AWSpolitique gérée : SecurityLakeServiceLinkedRole

Vous ne pouvez pas attacher la politiqueSecurityLakeServiceLinkedRole gérée à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Security Lake d'effectuer des actions en votre nom. Pour plus d'informations, veuillez consulter Rôle lié à un service pour Amazon Security Lake.

Politique gérée par AWS : AWSGlueServiceRole

La politiqueAWSGlueServiceRole gérée invoque leAWS Glue robot d'exploration et permetAWS Glue d'analyser des données sources personnalisées et d'identifier les métadonnées de partition. Ces métadonnées sont nécessaires pour créer et mettre à jour des tables dans le catalogue de données.

Pour plus d'informations, veuillez consulter Collecte de données à partir de sources personnalisées.

Mises à jour des politiquesAWS gérées par Security Lake

Consultez les détails des mises à jour des politiquesAWS gérées par pour Security Lake depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du document Security Lake.

Modification Description Date

Security Lake a commencé à suivre les modifications

Security Lake a commencé à suivre les modifications pour ses politiquesAWS gérées.

 29 novembre 2022