Autorisations de rôle liées à un service pour Security Lake Création du rôle lié au service Security Lake Modification du rôle lié au service Security Lake Suppression du rôle lié au service Security Lake Supporté Régions AWS pour le rôle lié au service Security Lake

Rôle lié à un service pour Amazon Security Lake

Security Lake utilise un rôle lié à un service AWS Identity and Access Management (IAM) nommé. AWSServiceRoleForSecurityLake Ce rôle lié à un service est un rôle IAM directement lié à Security Lake. Il est prédéfini par Security Lake et inclut toutes les autorisations dont Security Lake a besoin pour appeler d'autres personnes en votre Services AWS nom et exploiter le service de lac de données de sécurité. Security Lake utilise ce rôle lié à un service dans tous les domaines Régions AWS où Security Lake est disponible.

Le rôle lié à un service élimine la nécessité d'ajouter manuellement les autorisations nécessaires lors de la configuration de Security Lake. Security Lake définit les autorisations de ce rôle lié à un service et, sauf définition contraire, seul Security Lake peut assumer ce rôle. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez Autorisations de rôles liés à un service dans le Guide de l'utilisateur IAM. Vous ne pouvez supprimer un rôle lié à un service qu'après avoir supprimé les ressources qui y sont associées. Vos ressources sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l'autorisation d'accéder aux ressources.

Pour plus d'informations sur les autres services prenant en charge les rôles liés à un service, consultez les AWS services opérationnels avec IAM et recherchez les services présentant la mention Yes (Oui) dans la colonne Service-linked roles (Rôles liés à un service). Choisissez un Oui avec un lien pour consulter la documentation des rôles liés à un service pour ce service.

Rubriques

Autorisations de rôle liées à un service pour Security Lake
Création du rôle lié au service Security Lake
Modification du rôle lié au service Security Lake
Suppression du rôle lié au service Security Lake
Supporté Régions AWS pour le rôle lié au service Security Lake

Autorisations de rôle liées à un service pour Security Lake

Security Lake utilise le rôle lié au service nommé. AWSServiceRoleForSecurityLake Ce rôle lié à un service fait confiance au securitylake.amazonaws.com service pour assumer le rôle.

La politique d'autorisations pour le rôle, qui est une politique AWS gérée nomméeSecurityLakeServiceLinkedRole, permet à Security Lake de créer et d'exploiter le lac de données de sécurité. Cela permet également à Security Lake d'effectuer des tâches telles que les suivantes sur les ressources spécifiées :

Utiliser AWS Organizations des actions pour récupérer des informations sur les comptes associés
Utilisez Amazon Elastic Compute Cloud (Amazon EC2) pour récupérer des informations sur Amazon VPC Flow Logs
Utiliser AWS CloudTrail des actions pour récupérer des informations sur le rôle lié à un service

Le rôle est configuré selon la politique d'autorisations suivante :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OrganizationsPolicies",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "organizations:DescribeOrganization"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "DescribeOrgAccounts",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount"
            ],
            "Resource": [
                "arn:aws:organizations::*:account/o-*/*"
            ]
        },
        {
            "Sid": "AllowManagementOfServiceLinkedChannel",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateServiceLinkedChannel",
                "cloudtrail:DeleteServiceLinkedChannel",
                "cloudtrail:GetServiceLinkedChannel",
                "cloudtrail:UpdateServiceLinkedChannel"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*"
        },
        {
            "Sid": "AllowListServiceLinkedChannel",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:ListServiceLinkedChannels"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DescribeAnyVpc",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListDelegatedAdmins",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "securitylake.amazonaws.com"
                }
            }
        }
    ]
}

Création du rôle lié au service Security Lake

Il n'est pas nécessaire de créer manuellement le rôle AWSServiceRoleForSecurityLake lié à un service pour Security Lake. Lorsque vous activez Security Lake pour votreCompte AWS, Security Lake crée automatiquement le rôle lié au service pour vous.

Modification du rôle lié au service Security Lake

Security Lake ne vous permet pas de modifier le rôle AWSServiceRoleForSecurityLake lié à un service. Une fois qu'un rôle lié à un service est créé, vous ne pouvez pas en modifier le nom car différentes entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l'aide d'IAM. Pour en savoir plus, consultez Modification d'un rôle lié à un service dans le guide de l'utilisateur IAM.

Suppression du rôle lié au service Security Lake

Vous ne pouvez pas supprimer le rôle lié à un service dans Security Lake. Vous pouvez plutôt supprimer le rôle lié à un service depuis la console IAM, l'API ou. AWS CLI Pour plus d'informations, consultez Suppression d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Avant de supprimer le rôle lié à un service, vous devez d'abord confirmer que le rôle ne comporte aucune session active et supprimer toutes les ressources utiliséesAWSServiceRoleForSecurityLake.

Note

Si Security Lake utilise le AWSServiceRoleForSecurityLake rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Dans ce cas, attendez quelques minutes, puis recommencez l'opération.

Si vous supprimez le rôle AWSServiceRoleForSecurityLake lié à un service et que vous devez le créer à nouveau, vous pouvez le créer à nouveau en activant Security Lake pour votre compte. Lorsque vous réactivez Security Lake, Security Lake crée automatiquement à nouveau le rôle lié au service pour vous.

Supporté Régions AWS pour le rôle lié au service Security Lake

Security Lake prend en charge l'utilisation du AWSServiceRoleForSecurityLake rôle lié à un service partout Régions AWS où Security Lake est disponible. Pour obtenir la liste des régions dans lesquelles Security Lake est actuellement disponible, consultezAmazon Security Security Security Security Security Security Security Security Security Security Security Security Security Security.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS politiques gérées

Protection des données