Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Security Lake
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te e te. AWS Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità applicabili ad Amazon Security Lake, consulta [AWS Services in Scope by Compliance Program AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa quando si utilizza Security Lake. I seguenti argomenti mostrano come configurare Security Lake per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse di Security Lake.
**Topics**
+ [Gestione delle identità e degli accessi per Security Lake](security-iam.md)
+ [Protezione dei dati in Amazon Security Lake](data-protection.md)
+ [Convalida della conformità per Amazon Security Lake](compliance-validation.md)
+ [Le migliori pratiche di sicurezza per Security Lake](best-practices-overview.md)
+ [Resilienza in Amazon Security Lake](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in Amazon Security Lake](infrastructure-security.md)
+ [Analisi della configurazione e delle vulnerabilità in Security Lake](configuration-vulnerability-analysis.md)
+ [Amazon Security Lake e endpoint VPC di interfaccia ()AWS PrivateLink](security-vpc-endpoints.md)
+ [Monitoraggio di Amazon Security Lake](monitoring-overview.md)
# Gestione delle identità e degli accessi per Security Lake
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse di Security Lake. IAM è un Servizio AWS software che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Security Lake con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Security Lake](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per Security Lake](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per Security Lake](using-service-linked-roles.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Security Lake](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Security Lake con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Security Lake](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Security Lake con IAM
Prima di utilizzare IAM per gestire l'accesso a Security Lake, scopri quali funzionalità IAM sono disponibili per l'uso con Security Lake.
**Funzionalità IAM che puoi utilizzare con Amazon Security Lake**
| Funzionalità IAM | Supporto per Security Lake |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | Sì |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una visione di alto livello di come Security Lake e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per Security Lake
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Security Lake supporta politiche basate sull'identità. Per ulteriori informazioni, consulta [Esempi di policy basate sull'identità per Security Lake](security_iam_id-based-policy-examples.md).
## Politiche basate sulle risorse all'interno di Security Lake
**Supporta le policy basate sulle risorse**: sì
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
Il servizio Security Lake crea policy basate sulle risorse per i bucket Amazon S3 che archiviano i tuoi dati. Non alleghi queste politiche basate sulle risorse ai tuoi bucket S3. Security Lake crea automaticamente queste politiche per tuo conto.
Una risorsa di esempio è un bucket S3 con un Amazon Resource Name (ARN) di. `arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}` In questo esempio, `region` è specifico in Regione AWS cui hai abilitato Security Lake ed `bucket-identifier` è una stringa alfanumerica unica a livello regionale che Security Lake assegna al bucket. Security Lake crea il bucket S3 per archiviare i dati di quella regione. La politica delle risorse definisce quali principali possono eseguire azioni sul bucket. Ecco un esempio di policy basata sulle risorse (bucket policy) che Security Lake allega al bucket:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}/*",
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "PutSecurityLakeObject",
"Effect": "Allow",
"Principal": {
"Service": "securitylake.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}/*",
"arn:aws:s3:::aws-security-data-lake-{region}-{bucket-identifier}"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{DA-AccountID}",
"s3:x-amz-acl": "bucket-owner-full-control"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:securitylake:us-east-1:111122223333:*"
}
}
}
]
}
```
------
*Per ulteriori informazioni sulle politiche basate sulle risorse, consulta le politiche basate sull'[identità e le politiche basate sulle risorse nella Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html).*
## Azioni politiche per Security Lake
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per un elenco delle azioni di Security Lake, consulta [Azioni definite da Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) nel *Service Authorization Reference*.
Le azioni politiche in Security Lake utilizzano il seguente prefisso prima dell'azione:
```
securitylake
```
Ad esempio, per concedere a un utente l'autorizzazione ad accedere alle informazioni su un sottoscrittore specifico, includi l'`securitylake:GetSubscriber`azione nella politica assegnata a quell'utente. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Security Lake definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"securitylake:action1",
"securitylake:action2"
]
```
Per visualizzare esempi di politiche basate sull'identità di Security Lake, vedere. [Esempi di policy basate sull'identità per Security Lake](security_iam_id-based-policy-examples.md)
## Risorse politiche per Security Lake
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Security Lake definisce i seguenti tipi di risorse: sottoscrittore e configurazione del data lake per un Account AWS particolare utente. Regione AWSÈ possibile specificare questi tipi di risorse nelle politiche utilizzando ARNs.
Per un elenco dei tipi di risorse di Security Lake e la sintassi ARN per ciascuno di essi, consulta [Tipi di risorse definiti da Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-resources-for-iam-policies) nel *Service* Authorization Reference. Per sapere quali azioni è possibile specificare per ogni tipo di risorsa, consulta [Azioni definite da Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) nel *Service Authorization Reference*.
Per visualizzare esempi di politiche basate sull'identità di Security Lake, consulta. [Esempi di policy basate sull'identità per Security Lake](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle policy per Security Lake
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per un elenco delle chiavi di condizione di Security Lake, consulta [Chiavi di condizione per Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) nel *Service Authorization Reference*. Per esempi di politiche che utilizzano chiavi di condizione, consulta[Esempi di policy basate sull'identità per Security Lake](security_iam_id-based-policy-examples.md).
## Accedete agli elenchi di controllo (ACLs) in Security Lake
**Supporti ACLs:** No
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Security Lake non supporta ACLs, il che significa che non è possibile collegare un ACL a una risorsa Security Lake.
## Controllo degli accessi basato sugli attributi (ABAC) con Security Lake
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. È possibile allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
È possibile allegare tag alle risorse di Security Lake, agli abbonati e alla configurazione del data lake per un singolo individuo. Account AWS Regioni AWSÈ inoltre possibile controllare l'accesso a questi tipi di risorse fornendo informazioni sui tag nell'elemento di una policy. `Condition` Per informazioni sull'etichettatura delle risorse di Security Lake, consulta[Etichettatura delle risorse di Security Lake](tagging-resources.md). Per un esempio di politica basata sull'identità che controlla l'accesso a una risorsa in base ai tag di quella risorsa, vedi. [Esempi di policy basate sull'identità per Security Lake](security_iam_id-based-policy-examples.md)
## Utilizzo di credenziali temporanee con Security Lake
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
Security Lake supporta l'uso di credenziali temporanee.
## Sessioni di accesso diretto per Security Lake
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Alcune azioni di Security Lake richiedono autorizzazioni per azioni aggiuntive e dipendenti in altre. Servizi AWS Per un elenco di queste azioni, consulta [Azioni definite da Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html#amazonsecuritylake-actions-as-permissions) nel *Service Authorization Reference*.
## Ruoli di servizio per Security Lake
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
Security Lake non assume né utilizza ruoli di servizio. Tuttavia, i servizi correlati come Amazon EventBridge e Amazon S3 assumono ruoli di servizio quando si utilizza Security Lake. AWS Lambda Per eseguire azioni per tuo conto, Security Lake utilizza un ruolo collegato al servizio.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio può creare problemi operativi con l'utilizzo di Security Lake. Modifica i ruoli di servizio solo quando Security Lake fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Security Lake
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Security Lake utilizza un ruolo collegato al servizio IAM denominato. `AWSServiceRoleForAmazonSecurityLake` Il ruolo collegato al servizio Security Lake concede le autorizzazioni per gestire un servizio Security Data Lake per conto dei clienti. Questo ruolo collegato ai servizi è un ruolo IAM collegato direttamente a Security Lake. È predefinito da Security Lake e include tutte le autorizzazioni richieste da Security Lake per chiamare altri Servizi AWS utenti per tuo conto. Security Lake utilizza questo ruolo collegato ai servizi in tutti i paesi in Regioni AWS cui Security Lake è disponibile.
Per i dettagli sulla creazione o la gestione del ruolo collegato ai servizi di Security Lake, consulta. [Utilizzo di ruoli collegati ai servizi per Security Lake](using-service-linked-roles.md)
# Esempi di policy basate sull'identità per Security Lake
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare le risorse di Security Lake. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da Security Lake, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Security Lake](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsecuritylake.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Security Lake](#security_iam_id-based-policy-examples-console)
+ [Esempio: consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Esempio: consentire all'account di gestione dell'organizzazione di designare e rimuovere un amministratore delegato](#security_iam_id-based-policy-examples-orgs)
+ [Esempio: consenti agli utenti di recensire gli abbonati in base ai tag](#security_iam_id-based-policy-examples-review-subscribers-tags)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di Security Lake nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Security Lake
Per accedere alla console Amazon Security Lake, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse di Security Lake presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano utilizzare la console Security Lake, crea policy IAM che forniscano loro l'accesso alla console. Per ulteriori informazioni, consulta [Identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella *Guida per l'utente IAM*.
Se crei una policy che consente agli utenti o ai ruoli di utilizzare la console Security Lake, assicurati che la policy includa le azioni appropriate per le risorse a cui tali utenti o ruoli devono accedere sulla console. Altrimenti, non saranno in grado di navigare o visualizzare i dettagli su tali risorse sulla console.
Ad esempio, per aggiungere una fonte personalizzata utilizzando la console, a un utente deve essere consentito di eseguire le seguenti azioni:
+ `glue:CreateCrawler`
+ `glue:CreateDatabase`
+ `glue:CreateTable`
+ `glue:StartCrawlerSchedule`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `iam:DeleteRolePolicy`
+ `iam:PassRole`
+ `lakeformation:RegisterResource`
+ `lakeformation:GrantPermissions`
+ `s3:ListBucket`
+ `s3:PutObject`
## Esempio: consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Esempio: consentire all'account di gestione dell'organizzazione di designare e rimuovere un amministratore delegato
Questo esempio mostra come è possibile creare una politica che consenta a un utente di un account di AWS Organizations gestione di designare e rimuovere l'amministratore delegato di Security Lake per la propria organizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"securitylake:RegisterDataLakeDelegatedAdministrator",
"securitylake:DeregisterDataLakeDelegatedAdministrator"
],
"Resource": "arn:aws:securitylake:*:*:*"
}
]
}
```
------
## Esempio: consenti agli utenti di recensire gli abbonati in base ai tag
Nelle politiche basate sull'identità, è possibile utilizzare le condizioni per controllare l'accesso alle risorse di Security Lake in base ai tag. Questo esempio mostra come è possibile creare una policy che consenta a un utente di esaminare gli abbonati utilizzando la console di Security Lake o l'API di Security Lake. Tuttavia, l'autorizzazione viene concessa solo se il valore del `Owner` tag per un abbonato è il nome utente dell'utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewSubscriberDetailsIfOwner",
"Effect": "Allow",
"Action": "securitylake:GetSubscriber",
"Resource": "arn:aws:securitylake:*:*:subscriber/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
},
{
"Sid": "ListSubscribersIfOwner",
"Effect": "Allow",
"Action": "securitylake:ListSubscribers",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
In questo esempio, se un utente con il nome utente `richard-roe` tenta di esaminare i dettagli dei singoli abbonati, un abbonato deve essere taggato o. `Owner=richard-roe` `owner=richard-roe` In caso contrario, a questo utente viene negato l'accesso. La chiave di tag di condizione `Owner` corrisponde sia a `Owner` che a `owner` perché i nomi delle chiavi di condizione non distinguono tra maiuscole e minuscole. Per ulteriori informazioni sull'utilizzo delle chiavi di condizione, consulta [IAM JSON Policy elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *IAM* User Guide. Per informazioni sull'etichettatura delle risorse di Security Lake, consulta. [Etichettatura delle risorse di Security Lake](tagging-resources.md)
# AWS politiche gestite per Security Lake
Una policy AWS gestita è una policy autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AmazonSecurityLakeMetastoreManager
Amazon Security Lake utilizza una AWS Lambda funzione per gestire i metadati nel tuo data lake. Tramite l'uso di questa funzione, Security Lake può indicizzare le partizioni Amazon Simple Storage Service (Amazon S3) che contengono i dati e i file di dati nelle AWS Glue tabelle del Data Catalog. Questa policy gestita contiene tutte le autorizzazioni per la funzione Lambda per indicizzare le partizioni e i file di dati S3 nelle tabelle. AWS Glue
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `logs`— Consente ai responsabili di registrare l'output della funzione Lambda in Amazon CloudWatch Logs.
+ `glue`— Consente ai principali di eseguire azioni di scrittura specifiche per le tabelle di Data Catalog. AWS Glue Ciò consente inoltre ai AWS Glue crawler di identificare le partizioni nei dati.
+ `sqs`— Consente ai principali di eseguire azioni di lettura e scrittura specifiche per le code Amazon SQS che inviano notifiche di eventi quando gli oggetti vengono aggiunti o aggiornati nel tuo data lake.
+ `s3`— Consente ai responsabili di eseguire azioni di lettura e scrittura specifiche per il bucket Amazon S3 che contiene i tuoi dati.
Per esaminare le autorizzazioni relative a questa politica, consulta la *AWS Managed* Policy [AmazonSecurityLakeMetastoreManager](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeMetastoreManager.html)Reference Guide.
## AWS politica gestita: AmazonSecurityLakePermissionsBoundary
Amazon Security Lake crea ruoli IAM per fonti personalizzate di terze parti per scrivere dati nel data lake e per consentire agli abbonati personalizzati di terze parti di utilizzare i dati dal data lake e utilizza questa politica durante la creazione di questi ruoli per definire i limiti delle loro autorizzazioni. Non è necessario agire per utilizzare questa policy. Se il data lake è crittografato con una AWS KMS chiave gestita dal cliente `kms:Decrypt` e vengono aggiunte `kms:GenerateDataKey` le autorizzazioni.
Per esaminare le autorizzazioni relative a questa politica, consulta [AmazonSecurityLakePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakePermissionsBoundary.html)la *AWS Managed Policy Reference Guide.*
## AWS politica gestita: AmazonSecurityLakeAdministrator
Puoi collegare la `AmazonSecurityLakeAdministrator` policy a un principale prima che abiliti Amazon Security Lake per il proprio account. Questa politica concede autorizzazioni amministrative che consentono l'accesso completo e principale a tutte le azioni di Security Lake. Il responsabile può quindi effettuare l'onboarding su Security Lake e successivamente configurare sorgenti e abbonati in Security Lake.
Questa politica include le azioni che gli amministratori di Security Lake possono eseguire su altri AWS servizi tramite Security Lake.
La `AmazonSecurityLakeAdministrator` policy non supporta la creazione di ruoli di utilità richiesti da Security Lake per gestire la replica interregionale di Amazon S3, la registrazione di nuove partizioni di dati, l' AWS Glue esecuzione di un crawler Glue sui dati aggiunti a fonti personalizzate o la notifica di nuovi dati agli abbonati agli endpoint HTTPS. Puoi creare questi ruoli in anticipo, come descritto in. [Guida introduttiva ad Amazon Security Lake](getting-started.md)
Oltre alla policy `AmazonSecurityLakeAdministrator` gestita, Security Lake richiede `lakeformation:PutDataLakeSettings` le autorizzazioni per le funzioni di onboarding e configurazione. `PutDataLakeSettings`consente di impostare un responsabile IAM come amministratore per tutte le risorse regionali di Lake Formation nell'account. Questo `iam:CreateRole permission` ruolo deve essere accompagnato da una `AmazonSecurityLakeAdministrator` politica.
Gli amministratori di Lake Formation hanno pieno accesso alla console di Lake Formation e controllano la configurazione iniziale dei dati e le autorizzazioni di accesso. Security Lake assegna il principale che abilita Security Lake e il `AmazonSecurityLakeMetaStoreManager` ruolo (o altro ruolo specificato) come amministratori di Lake Formation in modo che possano creare tabelle, aggiornare lo schema delle tabelle, registrare nuove partizioni e configurare le autorizzazioni sulle tabelle. È necessario includere le seguenti autorizzazioni nella politica per l'utente o il ruolo di amministratore di Security Lake:
**Nota**
Per fornire autorizzazioni sufficienti a concedere l'accesso agli abbonati con sede a Lake Formation, Security Lake consiglia di aggiungere le seguenti `glue:PutResourcePolicy` autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutLakeFormationSettings",
"Effect": "Allow",
"Action": "lakeformation:PutDatalakeSettings",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "securitylake.amazonaws.com"
}
}
},
{
"Sid": "AllowGlueActions",
"Effect": "Allow",
"Action": ["glue:PutResourcePolicy", "glue:DeleteResourcePolicy"],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
"arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "securitylake.amazonaws.com"
}
}
}
]
}
```
------
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `securitylake`— Consente ai responsabili l'accesso completo a tutte le azioni di Security Lake.
+ `organizations`— Consente ai responsabili di recuperare informazioni da AWS Organizations sugli account di un'organizzazione. Se un account appartiene a un'organizzazione, queste autorizzazioni consentono alla console di Security Lake di visualizzare nomi e numeri di account.
+ `iam`— Consente ai responsabili di creare ruoli collegati ai servizi per Security Lake e AWS Lake Formation, come passaggio obbligatorio Amazon EventBridge, di abilitare tali servizi. Consente inoltre la creazione e la modifica di politiche per i ruoli di sottoscrittore e di origine personalizzati, con le autorizzazioni di tali ruoli limitate a quanto consentito dalla politica. `AmazonSecurityLakePermissionsBoundary`
+ `ram`— Consente ai responsabili di configurare l'accesso Lake Formation basato sulle query degli abbonati alle sorgenti di Security Lake.
+ `s3`— Consente ai responsabili di creare e gestire i bucket Security Lake e di leggerne il contenuto.
+ `lambda`— Consente ai principali di gestire le partizioni di tabella Lambda utilizzate per aggiornare le partizioni di AWS Glue tabella dopo la distribuzione del AWS codice sorgente e la replica tra regioni.
+ `glue`— Consente ai responsabili di creare e gestire il database e le tabelle di Security Lake.
+ `lakeformation`— Consente ai responsabili di gestire le Lake Formation autorizzazioni per le tabelle di Security Lake.
+ `events`— Consente ai responsabili di gestire le regole utilizzate per notificare agli abbonati nuovi dati nelle fonti Security Lake.
+ `sqs`— Consente ai responsabili di creare e gestire le Amazon SQS code utilizzate per notificare agli abbonati nuovi dati nelle fonti Security Lake.
+ `kms`— Consente ai responsabili di concedere l'accesso a Security Lake per scrivere dati utilizzando una chiave gestita dal cliente.
+ `secretsmanager`— Consente ai responsabili di gestire i segreti utilizzati per notificare agli abbonati nuovi dati nelle fonti Security Lake tramite endpoint HTTPS.
*Per esaminare le autorizzazioni relative a questa politica, consulta la Managed Policy Reference [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html)Guide.AWS *
## AWS politica gestita: SecurityLakeServiceLinkedRole
Security Lake utilizza il ruolo collegato al servizio denominato `AWSServiceRoleForSecurityLake` per creare e gestire il security data lake.
Non puoi allegare la policy `SecurityLakeServiceLinkedRole` gestita alle tue entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente a Security Lake di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta Autorizzazioni dei [ruoli collegati ai servizi per Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/slr-permissions.html).
## AWS politica gestita: SecurityLakeResourceManagementServiceRolePolicy
Security Lake utilizza il ruolo collegato ai servizi denominato `AWSServiceRoleForSecurityLakeResourceManagement` per eseguire il monitoraggio continuo e il miglioramento delle prestazioni, in grado di ridurre latenza e costi. Fornisce l'accesso per gestire le risorse create da Security Lake. Concede a Security Lake la possibilità di eliminare SecurityLake \$1Glue\$1Partition\$1Updater\$1Lambda. Questa lambda è stata dichiarata obsoleta per i clienti che hanno eseguito la migrazione iceberg e sono passati a sorgenti v2. Questo lambda utilizzava il runtime Python 3.9 che sarà obsoleto a dicembre. Piuttosto che aggiornare il runtime di questa lambda per quei clienti, sarebbe meglio eliminarli. Abbiamo un processo di ripristino che determinerà se il cliente ha ancora bisogno o meno della lambda e la eliminerà in caso contrario. Questo aggiornamento SLR è necessario per consentirci di eliminare quella lambda.
Non puoi allegare la policy `SecurityLakeResourceManagementServiceRolePolicy` gestita alle tue entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente a Security Lake di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta Autorizzazioni dei [ruoli collegati ai servizi per](https://docs.aws.amazon.com//security-lake/latest/userguide/AWSServiceRoleForSecurityLakeResourceManagement.html) la gestione delle risorse.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `events`— Consente ai responsabili di elencare e gestire le EventBridge regole per l'elaborazione degli eventi di Security Lake.
+ `lambda`— Consente ai responsabili di gestire le funzioni e le configurazioni Lambda per l'elaborazione dei metadati di Security Lake, inclusa la possibilità di eliminare le funzioni obsolete di aggiornamento delle partizioni.
+ `glue`— Consente ai responsabili di creare partizioni, gestire tabelle e accedere ai database nel Data Catalog for Security Lake per la gestione dei metadati. AWS Glue
+ `s3`— Consente ai responsabili di gestire le configurazioni dei bucket Amazon S3, le politiche del ciclo di vita e gli oggetti di metadati per le operazioni dei data lake di Security Lake.
+ `logs`— Consente ai responsabili di accedere ai flussi di CloudWatch log e di interrogare i dati dei log per le funzioni di Security Lake Lambda.
+ `sqs`— Consente ai responsabili di gestire le code e i messaggi di Amazon SQS per i flussi di lavoro di elaborazione dati di Security Lake.
+ `lakeformation`— Consente ai responsabili di recuperare le impostazioni e le autorizzazioni del data lake per la gestione delle risorse di Security Lake.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html) nella *Guida di riferimento alle policy gestite da AWS *.
## AWS politica gestita: AWS GlueServiceRole
La policy `AWS GlueServiceRole` gestita richiama il AWS Glue crawler e consente di eseguire la scansione dei dati di origine personalizzati e AWS Glue identificare i metadati delle partizioni. Questi metadati sono necessari per creare e aggiornare tabelle nel Data Catalog.
Per ulteriori informazioni, consulta [Raccolta di dati da fonti personalizzate in Security Lake](custom-sources.md).
## Security Lake aggiorna le policy AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Security Lake da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di Security Lake.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [SecurityLakeResourceManagementServiceRolePolicy](#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement)— Politica esistente aggiornata | Security Lake ha aggiornato la politica gestita `SecurityLakeResourceManagementServiceRolePolicy` per aggiungere l'`lambda:DeleteFunction`autorizzazione per le funzioni obsolete \$1Glue\$1Partition\$1Updater\$1Lambda. SecurityLake Ciò consente a Security Lake di eliminare le funzioni Lambda obsolete nell'ambito della migrazione alle sorgenti v2 e al formato iceberg. | 18 novembre 2025 |
| [AWSServiceRoleForSecurityLakeResourceManagement](AWSServiceRoleForSecurityLakeResourceManagement.md)— Politica esistente aggiornata | Questa politica è stata aggiornata per sostituire l'`StringLike`operatore con l'`ArnLike`operatore per valutare le chiavi di tipo ARN per il blocco `lambda:FunctionArn` in the `aws:ResourceAccount` condition. Ciò garantisce un'applicazione più sicura. | 25 settembre 2025 |
| [Ruolo collegato ai servizi per Amazon Security Lake: nuovo ruolo collegato](AWSServiceRoleForSecurityLakeResourceManagement.md) ai servizi | Abbiamo aggiunto un nuovo ruolo collegato al servizio. `AWSServiceRoleForSecurityLakeResourceManagement` Questo ruolo collegato al servizio fornisce le autorizzazioni a Security Lake per eseguire il monitoraggio continuo e il miglioramento delle prestazioni, che possono ridurre latenza e costi. | 14 novembre 2024 |
| [Ruolo collegato ai servizi per Amazon Security Lake](using-service-linked-roles.md): aggiornamento delle autorizzazioni esistenti per i ruoli collegati ai servizi | Abbiamo aggiunto AWS WAF azioni alla policy AWS gestita per la policy. `SecurityLakeServiceLinkedRole` Le azioni aggiuntive consentono a Security Lake di raccogliere AWS WAF i log, quando è abilitata come fonte di log in Security Lake. | 22 maggio 2024 |
| [AmazonSecurityLakePermissionsBoundary](#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary): aggiornamento di una policy esistente | Security Lake ha aggiunto azioni SID alla policy. | 13 maggio 2024 |
| [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager): aggiornamento di una policy esistente | Security Lake ha aggiornato la policy aggiungendo un'azione di pulizia dei metadati che consente di eliminare i metadati nel data lake. | 27 marzo 2024 |
| [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator): aggiornamento di una policy esistente | Security Lake ha aggiornato la policy per consentire `iam:PassRole` il nuovo `AmazonSecurityLakeMetastoreManagerV2` ruolo e consente a Security Lake di implementare o aggiornare i componenti del data lake. | 23 febbraio 2024 |
| [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager): nuova policy | Security Lake ha aggiunto una nuova politica gestita che concede le autorizzazioni a Security Lake per gestire i metadati nel data lake. | 23 gennaio 2024 |
| [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator): nuova policy | Security Lake ha aggiunto una nuova politica gestita che garantisce un accesso principale completo a tutte le azioni di Security Lake. | 30 maggio 2023 |
| Security Lake ha iniziato a tracciare le modifiche | Security Lake ha iniziato a tenere traccia delle modifiche alle sue politiche AWS gestite. | 29 novembre 2022 |
# Utilizzo di ruoli collegati ai servizi per Security Lake
Security Lake utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un ruolo IAM collegato direttamente a Security Lake. È predefinito da Security Lake e include tutte le autorizzazioni necessarie a Security Lake per chiamare altre persone per tuo Servizi AWS conto e gestire il servizio Security Data Lake. Security Lake utilizza questo ruolo collegato al servizio in tutti i paesi in Regioni AWS cui Security Lake è disponibile.
Il ruolo collegato al servizio elimina la necessità di aggiungere manualmente le autorizzazioni necessarie durante la configurazione di Security Lake. Security Lake definisce le autorizzazioni di questo ruolo collegato al servizio e, se non diversamente definito, solo Security Lake può assumere il ruolo. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*. È possibile eliminare un ruolo collegato al servizio solo dopo aver eliminato le relative risorse. Questa procedura protegge le risorse poiché impedisce la rimozione involontaria dell’autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli un **Sì** con un link per consultare la documentazione relativa ai ruoli collegati ai servizi per quel servizio.
**Topics**
+ [Autorizzazioni SLR (Service-Linked Role) per Security Lake](slr-permissions.md)
+ [Autorizzazioni SLR (Service-Linked Role) per la gestione delle risorse](AWSServiceRoleForSecurityLakeResourceManagement.md)
# Autorizzazioni SLR (Service-Linked Role) per Security Lake
Security Lake utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForSecurityLake` Questo ruolo collegato al servizio si fida che il `securitylake.amazonaws.com` servizio assuma il ruolo. Per ulteriori informazioni sulle politiche AWS gestite per Amazon Security Lake, consulta [AWS gestire le politiche per Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html).
La politica di autorizzazione per il ruolo, che è una politica AWS gestita denominata`SecurityLakeServiceLinkedRole`, consente a Security Lake di creare e gestire il data lake di sicurezza. Consente inoltre a Security Lake di eseguire attività come le seguenti sulle risorse specificate:
+ Utilizza AWS Organizations le azioni per recuperare informazioni sugli account associati
+ Usa Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute EC2) per recuperare informazioni su Amazon VPC Flow Logs
+ Utilizza AWS CloudTrail le azioni per recuperare informazioni sul ruolo collegato al servizio
+ Usa AWS WAF le azioni per raccogliere AWS WAF i log, quando è abilitata come fonte di log in Security Lake
+ Utilizza l'`LogDelivery`azione per creare o eliminare un abbonamento per la consegna dei AWS WAF log.
Per esaminare le autorizzazioni relative a questa politica, consulta [SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html)la *AWS Managed Policy Reference Guide*.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione del ruolo collegato al servizio Security Lake
Non è necessario creare manualmente il ruolo `AWSServiceRoleForSecurityLake` collegato al servizio per Security Lake. Quando abiliti Security Lake per te Account AWS, Security Lake crea automaticamente il ruolo collegato al servizio per te.
## Modifica del ruolo collegato al servizio di Security Lake
Security Lake non consente di modificare il ruolo collegato al `AWSServiceRoleForSecurityLake` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione del ruolo collegato al servizio di Security Lake
Non è possibile eliminare il ruolo collegato al servizio da Security Lake. Puoi invece eliminare il ruolo collegato al servizio dalla console IAM, dall'API o. AWS CLI Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
Prima di poter eliminare il ruolo collegato al servizio, devi prima confermare che il ruolo non abbia sessioni attive e rimuovere tutte le risorse in uso. `AWSServiceRoleForSecurityLake`
**Nota**
Se Security Lake utilizza il `AWSServiceRoleForSecurityLake` ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In tal caso, attendi qualche minuto e poi riprova a eseguire l'operazione.
Se elimini il ruolo `AWSServiceRoleForSecurityLake` collegato al servizio e devi crearlo di nuovo, puoi crearlo di nuovo abilitando Security Lake per il tuo account. Quando abiliti nuovamente Security Lake, Security Lake crea nuovamente automaticamente il ruolo collegato al servizio per te.
## Supportato Regioni AWS per il ruolo collegato al servizio Security Lake
Security Lake supporta l'utilizzo del ruolo `AWSServiceRoleForSecurityLake` collegato al servizio in tutti i paesi in Regioni AWS cui Security Lake è disponibile. Per un elenco delle regioni in cui Security Lake è attualmente disponibile, consulta. [Regioni ed endpoint di Security Lake](supported-regions.md)
# Autorizzazioni SLR (Service-Linked Role) per la gestione delle risorse
Security Lake utilizza il ruolo collegato ai servizi denominato `AWSServiceRoleForSecurityLakeResourceManagement` per eseguire il monitoraggio continuo e il miglioramento delle prestazioni, che possono ridurre latenza e costi. Questo ruolo collegato al servizio si fida che il servizio assuma il `resource-management.securitylake.amazonaws.com` ruolo. L'attivazione `AWSServiceRoleForSecurityLakeResourceManagement` consentirà inoltre l'accesso a Lake Formation e registrerà automaticamente i bucket S3 gestiti da Security Lake con Lake Formation in tutte le regioni per una maggiore sicurezza.
La politica di autorizzazione per il ruolo, denominata policy AWS gestita`SecurityLakeResourceManagementServiceRolePolicy`, consente l'accesso alle risorse di gestione create da Security Lake, inclusa la gestione dei metadati nel data lake. Per ulteriori informazioni sulle politiche AWS gestite per Amazon Security Lake, consulta [le politiche AWS gestite per Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement.html).
Questo ruolo collegato al servizio consente a Security Lake di monitorare lo stato delle risorse distribuite da Security Lake (S3 Bucket, tabelle, AWS Glue Amazon SQS Queue, Metastore Manager (MSM) Lambda Function e regole) sul tuo account. EventBridge Alcuni esempi di operazioni che Security Lake può eseguire con questo ruolo collegato ai servizi sono:
+ Compattazione dei file manifest di Apache Iceberg, che migliora le prestazioni delle query e riduce i tempi e i costi di elaborazione Lambda MSM.
+ Monitora lo stato di Amazon SQS per rilevare problemi di ingestione.
+ Ottimizza la replica dei dati tra regioni per escludere i file di metadati.
**Nota**
Se non installi il ruolo `AWSServiceRoleForSecurityLakeResourceManagement` collegato al servizio, Security Lake continuerà a funzionare, ma si consiglia vivamente di accettare questo ruolo collegato al servizio in modo che Security Lake possa monitorare e ottimizzare le risorse del tuo account.
**Dettagli delle autorizzazioni**
Il ruolo è configurato con la seguente politica di autorizzazioni:
+ `events`— Consente ai responsabili di gestire EventBridge le regole richieste per le fonti di registro e gli abbonati ai log.
+ `lambda`— Consente ai principali di gestire la lambda utilizzata per aggiornare le partizioni di AWS Glue tabella dopo la distribuzione del AWS codice sorgente e la replica tra regioni.
+ `glue`— Consente ai principali di eseguire azioni di scrittura specifiche per le tabelle del Data Catalog. AWS Glue Ciò consente inoltre AWS Glue ai crawler di identificare le partizioni nei dati e a Security Lake di gestire i metadati di Apache Iceberg per le tabelle Apache Iceberg.
+ `s3`— Consente ai principali di eseguire azioni di lettura e scrittura specifiche sui bucket Security Lake contenenti dati di registro e metadati della tabella Glue.
+ `logs`— Consente ai principali di accedere in lettura per registrare l'output della funzione CloudWatch Lambda in Logs.
+ `sqs`— Consente ai principali di eseguire azioni di lettura e scrittura specifiche per le code Amazon SQS che ricevono notifiche di eventi quando gli oggetti vengono aggiunti o aggiornati nel tuo data lake.
+ `lakeformation`— Consente ai presidi di leggere le impostazioni di Lake Formation per monitorare eventuali errori di configurazione.
Per esaminare le autorizzazioni relative a questa politica, consulta la *AWS Managed* Policy [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html)Reference Guide.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione del ruolo collegato al servizio Security Lake
È possibile creare il ruolo `AWSServiceRoleForSecurityLakeResourceManagement` collegato al servizio per Security Lake utilizzando la console Security Lake o il. AWS CLI
Per creare il ruolo collegato al servizio, devi concedere le seguenti autorizzazioni al tuo utente IAM o al tuo ruolo IAM. Il ruolo IAM deve essere un amministratore di Lake Formation in tutte le regioni abilitate a Security Lake.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLakeFormationActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"lakeformation:GrantPermissions",
"lakeformation:ListPermissions",
"lakeformation:ListResources",
"lakeformation:RegisterResource",
"lakeformation:RevokePermissions"
],
"Resource": "*"
},
{
"Sid": "AllowIamActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": [
"arn:*:iam::*:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement",
"arn:*:iam::*:role/*AWSServiceRoleForLakeFormationDataAccess",
"arn:*:iam::aws:policy/service-role/AWSGlueServiceRole",
"arn:*:iam::aws:policy/service-role/AmazonSecurityLakeMetastoreManager",
"arn:*:iam::aws:policy/aws-service-role/SecurityLakeResourceManagementServiceRolePolicy"
],
"Condition": {
"StringLikeIfExists": {
"iam:AWSServiceName": [
"securitylake.amazonaws.com",
"resource-management.securitylake.amazonaws.com",
"lakeformation.amazonaws.com"
]
}
}
},
{
"Sid": "AllowGlueActionsViaConsole",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetTables"
],
"Resource": [
"arn:*:glue:*:*:catalog",
"arn:*:glue:*:*:database/amazon_security_lake_glue_db*",
"arn:*:glue:*:*:table/amazon_security_lake_glue_db*/*"
]
}
]
}
```
------
------
#### [ Console ]
1. Apri la console Security Lake all'indirizzo [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).
1. Accetta il nuovo ruolo collegato al servizio facendo clic su **Abilita ruolo collegato al servizio** nella barra delle informazioni nella pagina di riepilogo.
Dopo aver abilitato il ruolo collegato al servizio, non sarà necessario ripetere questo processo per utilizzi futuri di Security Lake.
------
#### [ CLI ]
Per creare il ruolo `AWSServiceRoleForSecurityLakeResourceManagement` collegato al servizio in modo programmatico, utilizzate il seguente comando CLI.
```
$ aws iam create-service-linked-role
--aws-service-name resource-management.securitylake.amazonaws.com
```
Quando crei il ruolo `AWSServiceRoleForSecurityLakeResourceManagement` collegato al servizio utilizzando AWS CLI, devi anche concedergli le autorizzazioni a livello di tabella di Lake Formation (ALTER, DESCRIBE) a tutte le tabelle del database Security Lake Glue per gestire i metadati delle tabelle e accedere ai dati. Se le tabelle Glue in qualsiasi regione fanno riferimento ai bucket S3 della precedente attivazione di Security Lake, è necessario concedere temporaneamente le autorizzazioni DATA\$1LOCATION\$1ACCESS al ruolo collegato al servizio per consentire a Security Lake di porre rimedio a questa situazione.
Devi anche concedere a Lake Formation le autorizzazioni per il ruolo `AWSServiceRoleForSecurityLakeResourceManagement` collegato al servizio per il tuo account.
L'esempio seguente mostra come concedere le autorizzazioni di Lake Formation al ruolo collegato al servizio nella regione designata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws lakeformation grant-permissions --region {region} --principal DataLakePrincipalIdentifier={AWSServiceRoleForSecurityLakeResourceManagement ARN} \
--permissions ALTER DESCRIBE --resource '{ "Table": { "DatabaseName": "amazon_security_lake_glue_db_{region}", "TableWildcard": {} } }'
```
L'esempio seguente mostra l'aspetto del Role ARN. È necessario modificare l'ARN del ruolo in modo che corrisponda alla propria regione.
`"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"`
Puoi anche utilizzare la chiamata [CreateServiceLinkedRole](https://docs.aws.amazon.com//IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API. Nella richiesta, specifica `AWSServiceName` come`resource-management.securitylake.amazonaws.com`.
------
Dopo aver abilitato il `AWSServiceRoleForSecurityLakeResourceManagement` ruolo, se utilizzi la chiave gestita AWS KMS dal cliente (CMK) per la crittografia, devi consentire al ruolo collegato al servizio di scrivere oggetti crittografati nei bucket S3 nelle regioni in cui esiste CMK. AWS Nella AWS KMS console, aggiungi la seguente politica alla chiave KMS nelle regioni in cui esiste CMK. AWS Per i dettagli su come modificare la politica chiave del KMS, consulta [le politiche chiave AWS KMS nella Guida](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) per gli AWS Key Management Service sviluppatori.
```
{
"Sid": "Allow SLR",
"Effect": "Allow",
"Principal": {
"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::[regional-datalake-s3-bucket-name]"
},
"StringLike": {
"kms:ViaService": "s3.[region].amazonaws.com"
}
}
},
```
## Modifica del ruolo collegato al servizio Security Lake
Security Lake non consente di modificare il ruolo collegato al `AWSServiceRoleForSecurityLakeResourceManagement` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione del ruolo collegato al servizio di Security Lake
Non è possibile eliminare il ruolo collegato al servizio da Security Lake. Puoi invece eliminare il ruolo collegato al servizio dalla console IAM, dall'API o. AWS CLI Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
Prima di poter eliminare il ruolo collegato al servizio, devi prima confermare che il ruolo non abbia sessioni attive e rimuovere tutte le risorse in uso. `AWSServiceRoleForSecurityLakeResourceManagement`
**Nota**
Se Security Lake utilizza il `AWSServiceRoleForSecurityLakeResourceManagement` ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In tal caso, attendi qualche minuto e poi riprova a eseguire l'operazione.
Se elimini il ruolo `AWSServiceRoleForSecurityLakeResourceManagement` collegato al servizio e devi crearlo di nuovo, puoi crearlo di nuovo abilitando Security Lake per il tuo account. Quando abiliti nuovamente Security Lake, Security Lake crea nuovamente automaticamente il ruolo collegato al servizio per te.
## Supportato Regioni AWS per il ruolo collegato al servizio Security Lake
Security Lake supporta l'utilizzo del ruolo `AWSServiceRoleForSecurityLakeResourceManagement` collegato al servizio in tutti i paesi in Regioni AWS cui Security Lake è disponibile. Per un elenco delle regioni in cui Security Lake è attualmente disponibile, consulta. [Regioni ed endpoint di Security Lake](supported-regions.md)
# Protezione dei dati in Amazon Security Lake
Il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Security Lake. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Security Lake o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
## Crittografia dei dati a riposo
Amazon Security Lake archivia in modo sicuro i dati archiviati utilizzando soluzioni di AWS crittografia. I dati non elaborati dei log di sicurezza e degli eventi vengono archiviati in bucket Amazon [Simple Storage Service (Amazon S3) multi-tenant specifici](https://docs.aws.amazon.com/AmazonS3/latest/userguide/common-bucket-patterns.html#multi-tenant-buckets) dell'origine in un account gestito da Security Lake. Ogni fonte di log ha il proprio bucket multi-tenant. Security Lake crittografa questi dati grezzi utilizzando una [chiave di AWS proprietà di](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) (). AWS Key Management Service AWS KMS AWS le chiavi di proprietà sono una raccolta di AWS KMS chiavi che un AWS servizio, in questo caso Security Lake, possiede e gestisce per l'uso in più account. AWS
Security Lake esegue processi di estrazione, trasformazione e caricamento (ETL) su dati di log ed eventi non elaborati.
Una volta completati i processi ETL, Security Lake crea bucket S3 single-tenant nel tuo account (un bucket per ogni bucket in Regione AWS cui hai abilitato Security Lake). I dati vengono archiviati nei bucket S3 multi-tenant solo temporaneamente fino a quando Security Lake non è in grado di consegnarli in modo affidabile ai bucket S3 single-tenant. I bucket single-tenant includono una policy basata sulle risorse che autorizza Security Lake a scrivere dati di log ed eventi nei bucket. [Per crittografare i dati nel bucket S3, puoi scegliere una chiave di crittografia gestita da [S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) o una chiave gestita dal cliente (da).](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS KMS Entrambe le opzioni utilizzano la crittografia simmetrica.
### Utilizzo di una chiave KMS per la crittografia dei dati
Per impostazione predefinita, i dati forniti da Security Lake al tuo bucket S3 sono crittografati mediante crittografia lato server di Amazon con chiavi di crittografia [gestite da Amazon S3 (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)). Per fornire un livello di sicurezza da gestire direttamente, puoi invece utilizzare la [crittografia lato server con chiavi (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)) per i dati di Security Lake. AWS KMS
SSE-KMS non è supportato nella console Security Lake. Per utilizzare SSE-KMS con l'API o la CLI di Security Lake, devi prima [creare una chiave KMS o utilizzare una chiave esistente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html). Alla chiave si allega una policy che determina quali utenti possono utilizzare la chiave per crittografare e decrittografare i dati di Security Lake.
Se utilizzi una chiave gestita dal cliente per crittografare i dati scritti nel tuo bucket S3, non puoi scegliere una chiave multiregionale. Per le chiavi gestite dal cliente, Security Lake crea una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per tuo conto inviando una richiesta a. `CreateGrant` AWS KMS Le concessioni AWS KMS vengono utilizzate per consentire a Security Lake di accedere a una chiave KMS in un account cliente.
Security Lake richiede la concessione per utilizzare la chiave gestita dal cliente per le seguenti operazioni interne:
+ Invia `GenerateDataKey` richieste per AWS KMS generare chiavi dati crittografate dalla chiave gestita dal cliente.
+ Invia `RetireGrant` richieste a AWS KMS. Quando effettui aggiornamenti al tuo data lake, questa operazione consente il ritiro della sovvenzione aggiunta alla chiave AWS KMS per l'elaborazione ETL.
Security Lake non necessita di autorizzazioni. `Decrypt` Quando gli utenti autorizzati della chiave leggono i dati di Security Lake, S3 gestisce la decrittografia e gli utenti autorizzati sono in grado di leggere i dati in forma non crittografata. Tuttavia, un abbonato necessita delle `Decrypt` autorizzazioni per utilizzare i dati di origine. Per ulteriori informazioni sulle autorizzazioni degli abbonati, consulta. [Gestione dell'accesso ai dati per gli abbonati a Security Lake](subscriber-data-access.md)
Se si desidera utilizzare una chiave KMS esistente per crittografare i dati di Security Lake, è necessario modificare la politica delle chiavi per la chiave KMS. La policy chiave deve consentire al ruolo IAM associato alla posizione del data lake Lake Formation di utilizzare la chiave KMS per decrittografare i dati. Per istruzioni su come modificare la policy chiave per una chiave KMS, consulta [Changing a key policy nella Developer](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying.html) Guide. AWS Key Management Service
La tua chiave KMS può accettare richieste di concessione, consentendo a Security Lake di accedere alla chiave, quando crei una politica chiave o utilizzi una politica chiave esistente con le autorizzazioni appropriate. Per istruzioni sulla creazione di una politica chiave, consulta [Creazione di una politica chiave nella Guida](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) per gli *AWS Key Management Service sviluppatori*.
Allega la seguente politica chiave alla tua chiave KMS:
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "*"
}
```
### Autorizzazioni IAM richieste quando si utilizza una chiave gestita dal cliente
Consulta la sezione [Guida introduttiva: prerequisiti](get-started-programmatic.md#prerequisites) per una panoramica dei ruoli IAM che devi creare per utilizzare Security Lake.
Quando aggiungi una fonte personalizzata o un abbonato, Security Lake crea ruoli IAM nel tuo account. Questi ruoli sono destinati a essere condivisi con altre identità IAM. Consentono a una fonte personalizzata di scrivere dati nel data lake e a un abbonato di utilizzare i dati dal data lake. Una policy AWS gestita denominata `AmazonSecurityLakePermissionsBoundary` definisce i limiti di autorizzazione per questi ruoli.
### Crittografia delle code Amazon SQS
Quando crei il tuo data lake, Security Lake crea due code Amazon Simple Queue Service (Amazon SQS) non crittografate nell'account amministratore delegato di Security Lake. È necessario crittografare queste code per proteggere i dati. La crittografia lato server (SSE) predefinita fornita da Amazon Simple Queue Service non è sufficiente. È necessario creare una chiave gestita dal cliente in AWS Key Management Service (AWS KMS) per crittografare le code e concedere al servizio Amazon S3 le autorizzazioni principali per lavorare con le code crittografate. Per istruzioni su come concedere queste autorizzazioni, consulta [Perché le notifiche degli eventi di Amazon S3 non vengono recapitate a una coda Amazon SQS che utilizza la crittografia lato](https://repost.aws/knowledge-center/sqs-s3-event-notification-sse) server? nel AWS Knowledge Center.
Poiché Security Lake supporta AWS Lambda i processi di estrazione, trasferimento e caricamento (ETL) sui tuoi dati, devi anche concedere le autorizzazioni Lambda per gestire i messaggi nelle code di Amazon SQS. *Per informazioni, consulta [Autorizzazioni per i ruoli di esecuzione nella Guida](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#events-sqs-permissions) per gli sviluppatori.AWS Lambda *
## Crittografia dei dati in transito
Security Lake crittografa tutti i dati in transito tra AWS i servizi. Security Lake protegge i dati in transito, mentre viaggiano da e verso il servizio, crittografando automaticamente tutti i dati tra reti utilizzando il protocollo di crittografia Transport Layer Security (TLS) 1.2. Le richieste HTTPS dirette inviate a Security Lake APIs vengono firmate utilizzando l'[algoritmo AWS Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html) per stabilire una connessione sicura.
# Rifiuto esplicito all'utilizzo dei dati volto al miglioramento del servizio
Puoi scegliere di rinunciare all'utilizzo dei tuoi dati per sviluppare e migliorare Security Lake e altri servizi di AWS sicurezza utilizzando la politica di AWS Organizations opt-out. Puoi scegliere di rinunciare anche se Security Lake attualmente non raccoglie tali dati. Per ulteriori informazioni in merito, consulta le [Policy di rifiuto dei servizi di IA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) nella *Guida per l'utente di AWS Organizations *.
Attualmente, Security Lake non raccoglie i dati di sicurezza che elabora per conto dell'utente, né i dati di sicurezza caricati sul data lake di sicurezza creato da questo servizio. Per sviluppare e migliorare il servizio Security Lake e le funzionalità di altri servizi di AWS sicurezza, Security Lake potrebbe raccogliere tali dati in futuro, compresi i dati caricati da fonti di dati di terze parti. Aggiorneremo questa pagina quando Security Lake intende raccogliere tali dati e ne descriveremo il funzionamento. Avrai comunque la possibilità di annullare l'iscrizione in qualsiasi momento.
**Nota**
Per poter utilizzare la politica di opt-out, i tuoi AWS account devono essere gestiti centralmente da AWS Organizations. Se non hai ancora creato un'organizzazione per i tuoi AWS account, consulta [Creazione e gestione di un'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) nella *Guida per l'AWS Organizations utente*.
Il rifiuto esplicito ha gli effetti seguenti:
+ Security Lake eliminerà i dati raccolti e archiviati prima della revoca del consenso (se presente).
+ Dopo l'annullamento, Security Lake non raccoglierà o memorizzerà più questi dati.
# Convalida della conformità per Amazon Security Lake
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Le migliori pratiche di sicurezza per Security Lake
Consulta le seguenti best practice per lavorare con Amazon Security Lake.
## Concedi agli utenti di Security Lake le autorizzazioni minime possibili
Segui il principio del privilegio minimo concedendo il set minimo di autorizzazioni relative alla policy di accesso per gli utenti AWS Identity and Access Management (IAM), i gruppi di utenti e i ruoli. Ad esempio, potresti consentire a un utente IAM di visualizzare un elenco di fonti di registro in Security Lake ma non di creare fonti o abbonati. Per ulteriori informazioni, consulta [Esempi di policy basate sull'identità per Security Lake](security_iam_id-based-policy-examples.md)
Puoi anche utilizzarlo AWS CloudTrail per tenere traccia dell'utilizzo delle API in Security Lake. CloudTrail fornisce un registro delle azioni API eseguite da un utente, gruppo o ruolo in Security Lake. Per ulteriori informazioni, consulta [Registrazione delle chiamate API di Security Lake tramite CloudTrail](securitylake-cloudtrail.md).
## Visualizza la pagina di riepilogo
La pagina di **riepilogo** della console Security Lake fornisce una panoramica dei problemi degli ultimi 14 giorni che hanno avuto un impatto sul servizio Security Lake e sui bucket Amazon S3 in cui sono archiviati i dati. Puoi approfondire questi problemi per mitigare il possibile impatto relativo alla sicurezza.
## Integrazione con Security Hub CSPM
Integra Security Lake e ricevi AWS Security Hub CSPM i risultati CSPM di Security Hub in Security Lake. Security Hub CSPM genera risultati da molte integrazioni diverse Servizi AWS e di terze parti. Ricevere i risultati del Security Hub CSPM ti aiuta a ottenere una panoramica del tuo atteggiamento di conformità e a verificare se stai rispettando le migliori pratiche AWS di sicurezza.
Per ulteriori informazioni, consulta [Integrazione con AWS Security Hub CSPM](securityhub-integration.md).
## Eliminare AWS Lambda
Quando si elimina una AWS Lambda funzione, si consiglia di non disabilitarla prima. La disabilitazione di una funzione Lambda prima dell'eliminazione potrebbe interferire con le funzionalità di interrogazione dei dati e potenzialmente influire su altre funzionalità. È meglio eliminare direttamente la funzione Lambda senza disabilitarla. Per ulteriori informazioni sull'eliminazione della funzione Lambda, [AWS Lambda consulta](https://docs.aws.amazon.com//lambda/latest/dg/example_lambda_DeleteFunction_section.html) la guida per sviluppatori.
## Monitora gli eventi di Security Lake
Puoi monitorare Security Lake utilizzando i CloudWatch parametri di Amazon. CloudWatch raccoglie dati grezzi da Security Lake ogni minuto e li elabora in metriche. È possibile impostare allarmi che attivano notifiche quando le metriche soddisfano le soglie specificate.
Per ulteriori informazioni, consulta [CloudWatch metriche per Amazon Security Lake](cloudwatch-metrics.md).
# Resilienza in Amazon Security Lake
L'infrastruttura AWS globale è costruita attorno a Regioni AWS zone di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Queste zone di disponibilità offrono un modo efficace per progettare e gestire le applicazioni e i database. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
La disponibilità di Security Lake è legata alla disponibilità regionale. La distribuzione su più zone di disponibilità aiuta il servizio a tollerare i guasti in ogni singola zona di disponibilità.
La disponibilità del piano dati di Security Lake non è legata alla disponibilità di alcuna regione. Tuttavia, la disponibilità del piano di controllo di Security Lake è strettamente legata alla disponibilità della regione Stati Uniti orientali (Virginia settentrionale).
Per ulteriori informazioni sulle zone Regioni AWS di disponibilità, vedere [AWS Global Infrastructure](https://aws.amazon.com/about-aws/global-infrastructure/).
Oltre all'infrastruttura AWS globale, Security Lake, in cui i dati sono supportati da Amazon Simple Storage Service (Amazon S3), offre diverse funzionalità per supportare le esigenze di resilienza e backup dei dati.
**Configurazione del ciclo di vita**
Una configurazione del ciclo di vita è un insieme di regole che definiscono le operazioni applicate da Amazon S3 a un gruppo di oggetti. Tramite le regole di configurazione del ciclo di vita, è possibile indicare ad Amazon S3 di trasferire gli oggetti in classi di storage meno costose, archiviarli o eliminarli. Per ulteriori informazioni, consulta [Gestione del ciclo di vita dello storage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) nella *Guida per l'utente di Amazon S3*.
**Funzione Versioni multiple**
La funzione Controllo delle versioni è un modo per conservare più versioni di un oggetto nello stesso bucket. La funzione Controllo delle versioni può essere impiegata per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente di ripristinare sia le azioni involontarie degli utenti che i guasti delle applicazioni. Per ulteriori informazioni, consulta [Using versioning in bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) nella *Amazon* S3 User Guide.
**Classi di archiviazione**
Amazon S3 offre una gamma di classi di archiviazione tra cui scegliere in base ai requisiti del carico di lavoro. Le classi di archiviazione S3 Standard-IA e S3 One Zone-IA sono progettate per i dati a cui si accede almeno una volta al mese e richiedono l'accesso in millisecondi. La classe di archiviazione S3 Glacier Instant Retrieval è progettata per i dati di archiviazione di lunga durata a cui si accede in millisecondi circa una volta al trimestre. Per i dati di archiviazione che non richiedono accesso immediato, come i backup, è possibile utilizzare le classi di archiviazione S3 Glacier Flexier Retrieval o S3 Glacier Deep Archive. Per ulteriori informazioni, consulta [Using Amazon S3 Storage Classes](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) nella *Amazon S3* User Guide.
# Sicurezza dell'infrastruttura in Amazon Security Lake
In quanto servizio gestito, Amazon Security Lake è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzate chiamate API AWS pubblicate per accedere a Security Lake attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# Analisi della configurazione e delle vulnerabilità in Security Lake
La configurazione e i controlli IT sono una responsabilità condivisa tra voi AWS e voi, i nostri clienti. Per ulteriori informazioni, consulta il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Amazon Security Lake e endpoint VPC di interfaccia ()AWS PrivateLink
Puoi stabilire una connessione privata tra il tuo VPC e Amazon Security Lake creando un endpoint *VPC* di interfaccia. Gli endpoint di interfaccia sono alimentati da [AWS PrivateLink](https://aws.amazon.com/privatelink), una tecnologia che consente di accedere privatamente a Security Lake APIs senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione AWS Direct Connect. Le istanze del tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Security Lake. APIs Il traffico tra il tuo VPC e Security Lake non esce dalla rete Amazon.
Ogni endpoint dell'interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nelle sottoreti.
*Per ulteriori informazioni, consulta [Interface VPC endpoints (AWS PrivateLink) nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink *
## Considerazioni sugli endpoint VPC di Security Lake
*Prima di configurare un endpoint VPC di interfaccia per Security Lake, assicurati di esaminare le [proprietà e le limitazioni degli endpoint dell'interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) nella Guida.AWS PrivateLink *
Security Lake supporta l'esecuzione di chiamate a tutte le sue azioni API dal tuo VPC.
Security Lake supporta gli endpoint VPC FIPS solo nelle seguenti regioni in cui esiste FIPS:
+ Stati Uniti orientali (Virginia settentrionale)
+ Stati Uniti orientali (Ohio)
+ Stati Uniti occidentali (California settentrionale)
+ Stati Uniti occidentali (Oregon)
## Creazione di un endpoint VPC di interfaccia per Security Lake
Puoi creare un endpoint VPC per il servizio Security Lake utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) nella *Guida per l'utente di AWS PrivateLink *.
Crea un endpoint VPC per Security Lake utilizzando il seguente nome di servizio:
+ com.amazonaws. *region*. lago di sicurezza
+ com.amazonaws.it. *region*.securitylake-fips (endpoint FIPS)
Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API a Security Lake utilizzando il nome DNS predefinito per la regione, ad esempio,. `securitylake.us-east-1.amazonaws.com`
*Per ulteriori informazioni, consulta [Accedere a un servizio tramite un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) nella Guida.AWS PrivateLink *
## Creazione di una policy per gli endpoint VPC per Security Lake
Puoi allegare una policy per gli endpoint al tuo endpoint VPC che controlla l'accesso a Security Lake. La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
*Per ulteriori informazioni, consulta [Controllare l'accesso ai servizi con endpoint VPC nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).AWS PrivateLink *
**Esempio: policy degli endpoint VPC per le azioni di Security Lake**
Di seguito è riportato un esempio di policy sugli endpoint per Security Lake. Se collegata a un endpoint, questa policy concede l'accesso alle azioni di Security Lake elencate per tutti i principali su tutte le risorse.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"securitylake:ListDataLakes",
"securitylake:ListLogSources",
"securitylake:ListSubscribers"
],
"Resource":"*"
}
]
}
```
## Sottoreti condivise
Non puoi creare, descrivere, modificare o eliminare gli endpoint VPC nelle sottoreti condivise con te. Tuttavia, puoi utilizzare gli endpoint VPC in sottoreti condivise con te. Per informazioni sulla condivisione VPC, consulta la pagina [Condivisione del VPC con altri account](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) nella *Guida per l'utente di Amazon VPC*.
# Monitoraggio di Amazon Security Lake
Security Lake si integra con AWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese in Security Lake da un utente, un ruolo o un altro Servizio AWS. Ciò include le azioni dalla console di Security Lake e le chiamate programmatiche alle operazioni dell'API di Security Lake. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare quali richieste sono state fatte a Security Lake. Per ogni richiesta, è possibile identificare quando è stata effettuata, l'indirizzo IP da cui è stata effettuata, chi l'ha effettuata e ulteriori dettagli. Per ulteriori informazioni, consulta [Registrazione delle chiamate API di Security Lake tramite CloudTrail](securitylake-cloudtrail.md).
Security Lake e Amazon CloudWatch sono integrati, quindi puoi raccogliere, visualizzare e analizzare le metriche per i log raccolti da Security Lake. CloudWatch le metriche per il data lake Security Lake vengono raccolte automaticamente e inserite a intervalli di un minuto. CloudWatch Puoi anche impostare un allarme per inviarti una notifica se viene raggiunta una soglia specificata per una metrica di Security Lake. Per un elenco di tutte le metriche inviate da Security Lake CloudWatch, consulta. [Metriche e dimensioni di Security Lake](cloudwatch-metrics.md#available-securitylake-metrics)
# CloudWatch metriche per Amazon Security Lake
Puoi monitorare Security Lake utilizzando Amazon CloudWatch, che raccoglie dati grezzi ogni minuto e li elabora in metriche leggibili quasi in tempo reale. Queste statistiche vengono conservate per 15 mesi, in modo da poter accedere alle informazioni storiche e avere una prospettiva migliore sui dati del data lake. È anche possibile impostare allarmi che controllano determinate soglie e inviare notifiche o intraprendere azioni quando queste soglie vengono raggiunte.
**Topics**
+ [Metriche e dimensioni di Security Lake](#available-securitylake-metrics)
+ [Visualizzazione delle CloudWatch metriche per Security Lake](#view-securitylake-metrics)
+ [Impostazione degli CloudWatch allarmi per le metriche di Security Lake](#securitylake-alarm-metrics)
## Metriche e dimensioni di Security Lake
Lo spazio dei nomi `AWS/SecurityLake` include le metriche descritte di seguito.
| Metrica | Description |
| --- | --- |
| `ProcessedSize` | Il volume di dati con supporto nativo attualmente archiviato nel Servizi AWS tuo data lake. Unità: byte |
Le seguenti dimensioni sono disponibili per le metriche di Security Lake.
| Dimensione | Description |
| --- | --- |
| `Account` | `ProcessedSize`metrica per uno specifico. Account AWS Questa dimensione è disponibile solo quando la si visualizza `Per-Account Source Version Metrics` su CloudWatch. |
| `Region` | `ProcessedSize`metrica per uno specifico Regione AWS. |
| `Source` | `ProcessedSize`metrica per una fonte di AWS log specifica. |
| `SourceVersion` | `ProcessedSize`metrica per una versione specifica di un'origine di AWS registro. |
È possibile visualizzare le metriche per specifici Account AWS (`Per-Account Source Version Metrics`) o per tutti gli account di un'organizzazione (`Per-Source Version Metrics`).
## Visualizzazione delle CloudWatch metriche per Security Lake
È possibile monitorare le metriche per Security Lake utilizzando la CloudWatch console, l'interfaccia a riga CloudWatch di comando (CLI) propria o utilizzando l'API a livello di codice. CloudWatch Scegli il tuo metodo preferito e segui i passaggi per accedere alle metriche di Security Lake.
------
#### [ CloudWatch console ]
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel riquadro di navigazione, scegli **Metriche, Tutte le metriche**.
1. Nella scheda **Sfoglia**, scegli **Security** Lake.
1. Scegli **Metriche della versione di origine per account o Metriche della versione** di origine**.**
1. Seleziona una metrica per visualizzarla in dettaglio. Puoi anche scegliere di fare quanto segue:
+ Per ordinare i parametri, utilizza l'intestazione della colonna.
+ Per rappresentare graficamente una metrica, selezionate il nome della metrica e scegliete un'opzione grafica.
+ **Per filtrare in base alla metrica, seleziona il nome della metrica, quindi scegli Aggiungi alla ricerca.**
------
#### [ CloudWatch API ]
Per accedere alle metriche di Security Lake utilizzando l' CloudWatch API, utilizza l'azione. [https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)
------
#### [ AWS CLI ]
Per accedere alle metriche di Security Lake utilizzando AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html)comando.
------
Per ulteriori informazioni sul monitoraggio tramite i parametri, consulta [Use Amazon CloudWatch metrics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) nella *Amazon CloudWatch User* Guide.
## Impostazione degli CloudWatch allarmi per le metriche di Security Lake
CloudWatch consente inoltre di impostare allarmi quando viene raggiunta una soglia per una metrica. Ad esempio, puoi impostare un allarme per la **ProcessedSize**metrica, in modo da ricevere una notifica quando il volume di dati proveniente da una fonte specifica supera una soglia specifica.
Per istruzioni sull'impostazione degli allarmi, consulta [Using Amazon CloudWatch alarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) nella *Amazon CloudWatch User Guide*.