Autorizzazioni di ruolo collegate al servizio per Security Lake Creazione del ruolo collegato al servizio di Security Lake Modifica del ruolo collegato al servizio di Security Lake Eliminazione del ruolo collegato al servizio di Security Lake Supportato Regioni AWS per il ruolo collegato ai servizi di Security Lake

Ruolo collegato ai servizi per Amazon Security Lake

Security Lake utilizza un ruolo collegato al servizio AWS Identity and Access Management (IAM) denominato. AWSServiceRoleForSecurityLake Questo ruolo collegato ai servizi è un ruolo IAM collegato direttamente a Security Lake. È predefinito da Security Lake e include tutte le autorizzazioni richieste da Security Lake per chiamare altri Servizi AWS utenti per conto dell'utente e gestire il servizio Security Data Lake. Security Lake utilizza questo ruolo collegato ai servizi in tutti i Regioni AWS casi in cui Security Lake è disponibile.

Il ruolo collegato ai servizi elimina la necessità di aggiungere manualmente le autorizzazioni necessarie durante la configurazione di Security Lake. Security Lake definisce le autorizzazioni di questo ruolo collegato al servizio e, se non diversamente definito, solo Security Lake può assumere il ruolo. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM. È possibile eliminare un ruolo collegato al servizio solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano Yes (Sì) nella colonna Service-linked roles (Ruoli collegati ai servizi). Scegli Sì con un link per esaminare la documentazione del ruolo collegata al servizio per quel servizio.

Argomenti

Autorizzazioni di ruolo collegate al servizio per Security Lake
Creazione del ruolo collegato al servizio di Security Lake
Modifica del ruolo collegato al servizio di Security Lake
Eliminazione del ruolo collegato al servizio di Security Lake
Supportato Regioni AWS per il ruolo collegato ai servizi di Security Lake

Autorizzazioni di ruolo collegate al servizio per Security Lake

Security Lake utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForSecurityLake Questo ruolo collegato al servizio prevede che il securitylake.amazonaws.com servizio assuma il ruolo.

La politica di autorizzazione per il ruolo, denominata policy AWS gestitaSecurityLakeServiceLinkedRole, consente a Security Lake di creare e gestire il data lake di sicurezza. Consente inoltre a Security Lake di eseguire attività come le seguenti sulle risorse specificate:

Usa AWS Organizations le azioni per recuperare informazioni sugli account associati
Usa Amazon Elastic Compute Cloud (Amazon EC2) per recuperare informazioni sui log di flusso di Amazon VPC
Utilizza AWS CloudTrail le azioni per recuperare informazioni sul ruolo collegato al servizio

Il ruolo è configurato con la seguente politica di autorizzazioni:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OrganizationsPolicies",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "organizations:DescribeOrganization"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "DescribeOrgAccounts",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeAccount"
            ],
            "Resource": [
                "arn:aws:organizations::*:account/o-*/*"
            ]
        },
        {
            "Sid": "AllowManagementOfServiceLinkedChannel",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateServiceLinkedChannel",
                "cloudtrail:DeleteServiceLinkedChannel",
                "cloudtrail:GetServiceLinkedChannel",
                "cloudtrail:UpdateServiceLinkedChannel"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*"
        },
        {
            "Sid": "AllowListServiceLinkedChannel",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:ListServiceLinkedChannels"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DescribeAnyVpc",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListDelegatedAdmins",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "securitylake.amazonaws.com"
                }
            }
        }
    ]
}

Creazione del ruolo collegato al servizio di Security Lake

Non è necessario creare manualmente il ruolo AWSServiceRoleForSecurityLake collegato ai servizi per Security Lake. Quando abiliti Security Lake per il tuoAccount AWS, Security Lake crea automaticamente il ruolo collegato al servizio per te.

Modifica del ruolo collegato al servizio di Security Lake

Security Lake non consente di modificare il ruolo AWSServiceRoleForSecurityLake collegato al servizio. Dopo la creazione di un ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione del ruolo collegato al servizio di Security Lake

Non è possibile eliminare il ruolo collegato al servizio da Security Lake. Puoi invece eliminare il ruolo collegato al servizio dalla console IAM, dall'API o. AWS CLI Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Prima di poter eliminare il ruolo collegato al servizio, è necessario verificare che il ruolo non abbia sessioni attive e rimuovere le risorse utilizzateAWSServiceRoleForSecurityLake.

Nota

Se Security Lake utilizza il AWSServiceRoleForSecurityLake ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In tal caso, attendi qualche minuto e riprova l'operazione.

Se elimini il ruolo AWSServiceRoleForSecurityLake collegato al servizio e devi crearlo di nuovo, puoi crearlo nuovamente abilitando Security Lake per il tuo account. Quando abiliti nuovamente Security Lake, Security Lake crea automaticamente nuovamente il ruolo collegato al servizio per te.

Supportato Regioni AWS per il ruolo collegato ai servizi di Security Lake

Security Lake supporta l'utilizzo del ruolo AWSServiceRoleForSecurityLake collegato ai servizi in tutti i Regioni AWS casi in cui Security Lake è disponibile. Per un elenco delle regioni in cui Security Lake è attualmente disponibile, consultaRegioni ed endpoint Amazon Security Lake Lake Lake.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS politiche gestite

Protezione dei dati