Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôle lié à un service pour Amazon Security Lake
Security Lake utilise un rôle lié à un service AWS Identity and Access Management (IAM) nommé. AWSServiceRoleForSecurityLake Ce rôle lié à un service est un rôle IAM directement lié à Security Lake. Il est prédéfini par Security Lake et inclut toutes les autorisations dont Security Lake a besoin pour appeler d'autres Services AWS
personnes en votre nom et exploiter le service Security Data Lake. Security Lake utilise ce rôle lié au service partout Régions AWS où Security Lake est disponible.
Le rôle lié au service élimine le besoin d'ajouter manuellement les autorisations nécessaires lors de la configuration de Security Lake. Security Lake définit les autorisations de ce rôle lié au service et, sauf indication contraire, seul Security Lake peut assumer le rôle. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM. Vous ne pouvez supprimer un rôle lié à un service qu'après avoir supprimé les ressources associées. Vos ressources sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l'autorisation d'accéder aux ressources.
Pour plus d'informations sur les autres services prenant en charge les rôles liés à un service, consultez les AWS services opérationnels avec IAM et recherchez les services présentant la mention Yes (Oui) dans la colonne Service-linked roles (Rôles liés à un service). Cliquez sur Oui avec un lien pour consulter la documentation relative aux rôles liés à un service pour ce service.
Rubriques
Autorisations de rôle liées à un service pour Security Lake
Security Lake utilise le rôle lié au service nommé. AWSServiceRoleForSecurityLake Ce rôle lié au service fait confiance au securitylake.amazonaws.com service pour assumer le rôle. Pour plus d'informations sur les politiques AWS gérées pour Amazon Security Lake, consultez la section AWS Gérer les politiques pour Amazon Security Lake.
La politique d'autorisations pour le rôle, qui est une stratégie AWS gérée nomméeSecurityLakeServiceLinkedRole, permet à Security Lake de créer et d'exploiter le lac de données de sécurité. Cela permet également à Security Lake d'effectuer des tâches telles que les suivantes sur les ressources spécifiées :
-
Utiliser AWS Organizations des actions pour récupérer des informations sur les comptes associés
-
Utilisez Amazon Elastic Compute Cloud (Amazon EC2) pour récupérer des informations sur Amazon VPC Flow Logs
-
Utiliser AWS CloudTrail des actions pour récupérer des informations sur le rôle lié au service
-
Utiliser AWS WAF des actions pour collecter AWS WAF des journaux, lorsqu'il est activé en tant que source de journaux dans Security Lake
-
Utilisez l'
LogDeliveryaction pour créer ou supprimer un abonnement de livraison de AWS WAF journaux.
Le rôle est configuré selon la politique d'autorisation suivante :
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OrganizationsPolicies", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization" ], "Resource": [ "*" ] }, { "Sid": "DescribeOrgAccounts", "Effect": "Allow", "Action": [ "organizations:DescribeAccount" ], "Resource": [ "arn:aws:organizations::*:account/o-*/*" ] }, { "Sid": "AllowManagementOfServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:CreateServiceLinkedChannel", "cloudtrail:DeleteServiceLinkedChannel", "cloudtrail:GetServiceLinkedChannel", "cloudtrail:UpdateServiceLinkedChannel" ], "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*" }, { "Sid": "AllowListServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:ListServiceLinkedChannels" ], "Resource": "*" }, { "Sid": "DescribeAnyVpc", "Effect": "Allow", "Action": [ "ec2:DescribeVpcs" ], "Resource": "*" }, { "Sid": "ListDelegatedAdmins", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securitylake.amazonaws.com" } } }, { "Sid": "AllowWafLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration", "wafv2:GetLoggingConfiguration", "wafv2:ListLoggingConfigurations", "wafv2:DeleteLoggingConfiguration" ], "Resource": "*", "Condition": { "StringEquals": { "wafv2:LogScope": "SecurityLake" } } }, { "Sid": "AllowPutLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration" ], "Resource": "*", "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*" } } }, { "Sid": "ListWebACLs", "Effect": "Allow", "Action": [ "wafv2:ListWebACLs" ], "Resource": "*" }, { "Sid": "LogDelivery", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "wafv2.amazonaws.com" ] } } } ] }
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.
Création du rôle lié au service Security Lake
Il n'est pas nécessaire de créer manuellement le rôle AWSServiceRoleForSecurityLake lié à un service pour Security Lake. Lorsque vous activez Security Lake pour votre Compte AWS, Security Lake crée automatiquement le rôle lié au service pour vous.
Modification du rôle lié au service Security Lake
Security Lake ne vous permet pas de modifier le rôle AWSServiceRoleForSecurityLake lié au service. Une fois qu'un rôle lié à un service est créé, vous ne pouvez pas modifier le nom du rôle car différentes entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le guide de l’utilisateur IAM.
Suppression du rôle lié au service Security Lake
Vous ne pouvez pas supprimer le rôle lié au service dans Security Lake. Vous pouvez plutôt supprimer le rôle lié au service de la console IAM, de l'API ou. AWS CLI Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
Avant de pouvoir supprimer le rôle lié à un service, vous devez d'abord confirmer qu'aucune session n'est active pour le rôle et supprimer toutes les ressources qui AWSServiceRoleForSecurityLake l'utilisent.
Note
Si Security Lake utilise le AWSServiceRoleForSecurityLake rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Dans ce cas, attendez quelques minutes, puis recommencez l'opération.
Si vous supprimez le rôle AWSServiceRoleForSecurityLake lié au service et que vous devez le créer à nouveau, vous pouvez le créer à nouveau en activant Security Lake pour votre compte. Lorsque vous réactivez Security Lake, Security Lake crée automatiquement le rôle lié au service pour vous.
Pris en charge Régions AWS pour le rôle lié au service Security Lake
Security Lake prend en charge l'utilisation du rôle AWSServiceRoleForSecurityLake lié au service partout Régions AWS où Security Lake est disponible. Pour obtenir la liste des régions dans lesquelles Security Lake est actuellement disponible, consultezAmazon Security Security Security Security Security Security Security Security Security Security Security Security Security Security.
