Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran terkait layanan untuk Amazon Security Lake
Security Lake menggunakan peran terkait layanan AWS Identity and Access Management (IAM) bernama. AWSServiceRoleForSecurityLake Peran terkait layanan ini adalah peran IAM yang terhubung langsung ke Security Lake. Ini telah ditentukan oleh Security Lake, dan mencakup semua izin yang diperlukan Security Lake untuk memanggil orang lain Layanan AWS
atas nama Anda dan mengoperasikan layanan danau data keamanan. Security Lake menggunakan peran terkait layanan ini di semua Wilayah AWS tempat Danau Keamanan tersedia.
Peran terkait layanan menghilangkan kebutuhan untuk menambahkan izin yang diperlukan secara manual saat menyiapkan Security Lake. Security Lake mendefinisikan izin peran terkait layanan ini, dan kecuali ditentukan lain, hanya Security Lake yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin peran tertaut layanan dalam Panduan Pengguna IAM. Anda dapat menghapus peran terkait layanan hanya setelah menghapus sumber daya terkait. Ini melindungi sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat layanan AWS yang bisa digunakan dengan IAM dan carilah layanan yang memiliki opsi Ya di kolom Peran terkait layanan. Pilih Ya dengan tautan untuk meninjau dokumentasi peran terkait layanan untuk layanan tersebut.
Topik
Izin peran terkait layanan untuk Security Lake
Security Lake menggunakan peran terkait layanan bernama. AWSServiceRoleForSecurityLake Peran terkait layanan ini mempercayai securitylake.amazonaws.com layanan untuk mengambil peran tersebut. Untuk informasi selengkapnya tentang, kebijakan AWS terkelola untuk Amazon Security Lake, lihat AWS mengelola kebijakan untuk Amazon Security Lake.
Kebijakan izin untuk peran tersebut, yang merupakan kebijakan AWS terkelola bernamaSecurityLakeServiceLinkedRole, memungkinkan Security Lake membuat dan mengoperasikan data lake keamanan. Ini juga memungkinkan Security Lake untuk melakukan tugas-tugas seperti berikut pada sumber daya yang ditentukan:
-
Gunakan AWS Organizations tindakan untuk mengambil informasi tentang akun terkait
-
Gunakan Amazon Elastic Compute Cloud (Amazon EC2) untuk mengambil informasi tentang Amazon VPC Flow Logs
-
Menggunakan AWS CloudTrail tindakan untuk mengambil informasi tentang peran terkait layanan
-
Gunakan AWS WAF tindakan untuk mengumpulkan AWS WAF log, saat diaktifkan sebagai sumber log di Security Lake
-
Gunakan
LogDeliverytindakan untuk membuat atau menghapus langganan pengiriman AWS WAF log.
Peran dikonfigurasi dengan kebijakan izin berikut:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OrganizationsPolicies", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization" ], "Resource": [ "*" ] }, { "Sid": "DescribeOrgAccounts", "Effect": "Allow", "Action": [ "organizations:DescribeAccount" ], "Resource": [ "arn:aws:organizations::*:account/o-*/*" ] }, { "Sid": "AllowManagementOfServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:CreateServiceLinkedChannel", "cloudtrail:DeleteServiceLinkedChannel", "cloudtrail:GetServiceLinkedChannel", "cloudtrail:UpdateServiceLinkedChannel" ], "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*" }, { "Sid": "AllowListServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:ListServiceLinkedChannels" ], "Resource": "*" }, { "Sid": "DescribeAnyVpc", "Effect": "Allow", "Action": [ "ec2:DescribeVpcs" ], "Resource": "*" }, { "Sid": "ListDelegatedAdmins", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securitylake.amazonaws.com" } } }, { "Sid": "AllowWafLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration", "wafv2:GetLoggingConfiguration", "wafv2:ListLoggingConfigurations", "wafv2:DeleteLoggingConfiguration" ], "Resource": "*", "Condition": { "StringEquals": { "wafv2:LogScope": "SecurityLake" } } }, { "Sid": "AllowPutLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration" ], "Resource": "*", "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*" } } }, { "Sid": "ListWebACLs", "Effect": "Allow", "Action": [ "wafv2:ListWebACLs" ], "Resource": "*" }, { "Sid": "LogDelivery", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "wafv2.amazonaws.com" ] } } } ] }
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin peran tertaut layanan dalam Panduan Pengguna IAM.
Membuat peran terkait layanan Security Lake
Anda tidak perlu membuat peran AWSServiceRoleForSecurityLake terkait layanan untuk Security Lake secara manual. Saat Anda mengaktifkan Security Lake untuk Anda Akun AWS, Security Lake secara otomatis membuat peran terkait layanan untuk Anda.
Mengedit peran terkait layanan Security Lake
Security Lake tidak mengizinkan Anda mengedit peran AWSServiceRoleForSecurityLake terkait layanan. Setelah peran terkait layanan dibuat, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit peran tertaut layanan dalam Panduan Pengguna IAM.
Menghapus peran terkait layanan Security Lake
Anda tidak dapat menghapus peran terkait layanan dari Security Lake. Sebagai gantinya, Anda dapat menghapus peran terkait layanan dari konsol IAM, API, atau. AWS CLI Untuk informasi selengkapnya, lihat Menghapus peran tertaut layanan dalam Panduan Pengguna IAM.
Sebelum dapat menghapus peran terkait layanan, Anda harus terlebih dahulu mengonfirmasi bahwa peran tersebut tidak memiliki sesi aktif dan menghapus sumber daya apa pun yang AWSServiceRoleForSecurityLake digunakan.
catatan
Jika Security Lake menggunakan AWSServiceRoleForSecurityLake peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika itu terjadi, tunggu beberapa menit dan kemudian coba operasi lagi.
Jika Anda menghapus peran AWSServiceRoleForSecurityLake terkait layanan dan perlu membuatnya lagi, Anda dapat membuatnya lagi dengan mengaktifkan Security Lake untuk akun Anda. Saat Anda mengaktifkan Security Lake lagi, Security Lake secara otomatis membuat peran terkait layanan lagi untuk Anda.
Didukung Wilayah AWS untuk peran terkait layanan Security Lake
Security Lake mendukung penggunaan peran AWSServiceRoleForSecurityLake terkait layanan di semua Wilayah AWS tempat Security Lake tersedia. Untuk daftar Wilayah di mana Danau Keamanan saat ini tersedia, lihatWilayah dan titik akhir Amazon Security Lake.
