Amazon Security Lake est en version préliminaire. Votre utilisation de la version préliminaire d'Amazon Security Lake est soumise à la section 2 des conditions deAWS service
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWSpolitiques gérées par pour Amazon Security Lake
Pour ajouter des autorisations à des utilisateurs, des groupes et des rôles, il est plus facile d'utiliser des politiques gérées par AWS que d'écrire des politiques vous-même. Il faut du temps et de l'expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques gérées par AWS. Ces politiques couvrent des cas d'utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur les politiques gérées par AWS, consultez Politiques gérées par AWSdans le Guide de l'utilisateur IAM.
Les Services AWS assurent la maintenance et la mise à jour des politiques gérées par AWS. Vous ne pouvez pas modifier les autorisations définies dans les politiques gérées par AWS. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctions. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonction est lancée ou quand de nouvelles opérations sont disponibles. Les services ne supprimant pas les autorisations d'une politique gérée par AWS, les mises à jour de politique n'interrompent vos autorisations existantes.
En outre, AWS prend en charge des politiques gérées pour des activités professionnelles couvrant plusieurs services. Par exemple, la politique ViewOnlyAccess
gérée par AWS donne accès en lecture seule à de nombreux Services AWS et ressources. Quand un service lance une nouvelle fonction, AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l'utilisateur IAM.
AWSpolitique gérée : AmazonSecurityLakePermissionsBoundary
Amazon Security Lake crée des rôles IAM pour les sources personnalisées tierces afin d'écrire des données dans le lac de données et pour les abonnés personnalisés tiers afin de consommer les données du lac de données. Il utilise cette politique lors de la création de ces rôles afin de définir les limites de leurs autorisations. Aucune action de votre part n'est requise pour utiliser cette politique. Si le lac de données est crypté à l'aide d'uneAWS KMS clé gérée par le clientkms:Decrypt
et quekms:GenerateDataKey
des autorisations sont ajoutées.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket", "s3:ListBucketVersions", "s3:PutObject", "s3:GetBucketLocation", "kms:Decrypt", "kms:GenerateDataKey", "sqs:ReceiveMessage", "sqs:ChangeMessageVisibility", "sqs:DeleteMessage", "sqs:GetQueueUrl", "sqs:SendMessage", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" }, { "Effect": "Deny", "NotAction": [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket", "s3:ListBucketVersions", "s3:PutObject", "s3:GetBucketLocation", "kms:Decrypt", "kms:GenerateDataKey", "sqs:ReceiveMessage", "sqs:ChangeMessageVisibility", "sqs:DeleteMessage", "sqs:GetQueueUrl", "sqs:SendMessage", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:ListBucket", "s3:ListBucketVersions", "s3:PutObject", "s3:GetBucketLocation" ], "NotResource": [ "arn:aws:s3:::aws-security-data-lake*" ] }, { "Effect": "Deny", "Action": [ "sqs:ReceiveMessage", "sqs:ChangeMessageVisibility", "sqs:DeleteMessage", "sqs:GetQueueUrl", "sqs:SendMessage", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "NotResource": "arn:aws:sqs:*:*:AmazonSecurityLake*" }, { "Effect": "Deny", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringNotLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "sqs.*.amazonaws.com" ] } } }, { "Effect": "Deny", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:s3:arn": "false" }, "StringNotLikeIfExists": { "kms:EncryptionContext:aws:s3:arn": [ "arn:aws:s3:::aws-security-data-lake*" ] } } }, { "Effect": "Deny", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:sqs:arn": "false" }, "StringNotLikeIfExists": { "kms:EncryptionContext:aws:sqs:arn": [ "arn:aws:sqs:*:*:AmazonSecurityLake*" ] } } } ] }
AWSpolitique gérée : SecurityLakeServiceLinkedRole
Vous ne pouvez pas attacher la politiqueSecurityLakeServiceLinkedRole
gérée à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Security Lake d'effectuer des actions en votre nom. Pour plus d'informations, veuillez consulter Rôle lié à un service pour Amazon Security Lake.
Politique gérée par AWS : AWSGlueServiceRole
La politiqueAWSGlueServiceRole
gérée invoque leAWS Glue robot d'exploration et permetAWS Glue d'analyser des données sources personnalisées et d'identifier les métadonnées de partition. Ces métadonnées sont nécessaires pour créer et mettre à jour des tables dans le catalogue de données.
Pour plus d'informations, veuillez consulter Collecte de données à partir de sources personnalisées.
Mises à jour des politiquesAWS gérées par Security Lake
Consultez les détails des mises à jour des politiquesAWS gérées par pour Security Lake depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du document Security Lake.
Modification | Description | Date |
---|---|---|
Security Lake a commencé à suivre les modifications |
Security Lake a commencé à suivre les modifications pour ses politiquesAWS gérées. |
29 novembre 2022 |