Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruolo collegato ai servizi per Security Lake
Security Lake utilizza un ruolo collegato al servizio AWS Identity and Access Management (IAM) denominato. AWSServiceRoleForSecurityLake Questo ruolo collegato al servizio è un IAM ruolo collegato direttamente a Security Lake. È predefinito da Security Lake e include tutte le autorizzazioni necessarie a Security Lake per chiamare altre persone per conto dell'utente e gestire Servizi AWS
il servizio Security Data Lake. Security Lake utilizza questo ruolo collegato al servizio in tutti i paesi in Regioni AWS cui Security Lake è disponibile.
Il ruolo collegato al servizio elimina la necessità di aggiungere manualmente le autorizzazioni necessarie durante la configurazione di Security Lake. Security Lake definisce le autorizzazioni di questo ruolo collegato al servizio e, se non diversamente definito, solo Security Lake può assumere il ruolo. Le autorizzazioni definite includono la politica di fiducia e la politica delle autorizzazioni e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM
È necessario configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta Autorizzazioni dei ruoli collegati ai servizi nella Guida per l'utente. IAM È possibile eliminare un ruolo collegato al servizio solo dopo aver eliminato le relative risorse. Questa procedura protegge le risorse di perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.
Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta AWS i servizi che funzionano con IAM e cerca i servizi con Sì nella colonna Ruoli collegati ai servizi. Scegli Sì con un link per consultare la documentazione relativa ai ruoli collegati ai servizi per quel servizio.
Argomenti
- Autorizzazioni di ruolo collegate al servizio per Security Lake
- Creazione del ruolo collegato al servizio Security Lake
- Modifica del ruolo collegato al servizio di Security Lake
- Eliminazione del ruolo collegato al servizio Security Lake
- Supportato Regioni AWS per il ruolo collegato ai servizi di Security Lake
Autorizzazioni di ruolo collegate al servizio per Security Lake
Security Lake utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForSecurityLake Questo ruolo collegato al servizio si fida che il securitylake.amazonaws.com servizio assuma il ruolo. Per ulteriori informazioni sulle politiche AWS gestite per Amazon Security Lake, consulta AWS gestire le politiche per Amazon Security Lake.
La politica di autorizzazione per il ruolo, che è una politica AWS gestita denominataSecurityLakeServiceLinkedRole, consente a Security Lake di creare e gestire il data lake di sicurezza. Consente inoltre a Security Lake di eseguire attività come le seguenti sulle risorse specificate:
-
Utilizza AWS Organizations le azioni per recuperare informazioni sugli account associati
-
Usa Amazon Elastic Compute Cloud (AmazonEC2) per recuperare informazioni su Amazon VPC Flow Logs
-
Utilizza AWS CloudTrail le azioni per recuperare informazioni sul ruolo collegato al servizio
-
Usa AWS WAF le azioni per raccogliere AWS WAF i log, quando è abilitata come fonte di log in Security Lake
-
Utilizza l'
LogDeliveryazione per creare o eliminare un abbonamento per la consegna dei AWS WAF log.
Il ruolo è configurato con la seguente politica di autorizzazioni:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OrganizationsPolicies", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization" ], "Resource": [ "*" ] }, { "Sid": "DescribeOrgAccounts", "Effect": "Allow", "Action": [ "organizations:DescribeAccount" ], "Resource": [ "arn:aws:organizations::*:account/o-*/*" ] }, { "Sid": "AllowManagementOfServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:CreateServiceLinkedChannel", "cloudtrail:DeleteServiceLinkedChannel", "cloudtrail:GetServiceLinkedChannel", "cloudtrail:UpdateServiceLinkedChannel" ], "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*" }, { "Sid": "AllowListServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:ListServiceLinkedChannels" ], "Resource": "*" }, { "Sid": "DescribeAnyVpc", "Effect": "Allow", "Action": [ "ec2:DescribeVpcs" ], "Resource": "*" }, { "Sid": "ListDelegatedAdmins", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securitylake.amazonaws.com" } } }, { "Sid": "AllowWafLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration", "wafv2:GetLoggingConfiguration", "wafv2:ListLoggingConfigurations", "wafv2:DeleteLoggingConfiguration" ], "Resource": "*", "Condition": { "StringEquals": { "wafv2:LogScope": "SecurityLake" } } }, { "Sid": "AllowPutLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration" ], "Resource": "*", "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*" } } }, { "Sid": "ListWebACLs", "Effect": "Allow", "Action": [ "wafv2:ListWebACLs" ], "Resource": "*" }, { "Sid": "LogDelivery", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "wafv2.amazonaws.com" ] } } } ] }
È necessario configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta Autorizzazioni dei ruoli collegati ai servizi nella Guida per l'utente. IAM
Creazione del ruolo collegato al servizio Security Lake
Non è necessario creare manualmente il ruolo AWSServiceRoleForSecurityLake collegato al servizio per Security Lake. Quando abiliti Security Lake per te Account AWS, Security Lake crea automaticamente il ruolo collegato al servizio per te.
Modifica del ruolo collegato al servizio di Security Lake
Security Lake non consente di modificare il ruolo collegato al AWSServiceRoleForSecurityLake servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. Tuttavia, è possibile modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'IAMutente.
Eliminazione del ruolo collegato al servizio Security Lake
Non è possibile eliminare il ruolo collegato al servizio da Security Lake. È invece possibile eliminare il ruolo collegato al servizio dalla IAM console, oppure. API AWS CLIPer ulteriori informazioni, consulta Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM
Prima di poter eliminare il ruolo collegato al servizio, è necessario innanzitutto confermare che il ruolo non abbia sessioni attive e rimuovere tutte le risorse in uso. AWSServiceRoleForSecurityLake
Nota
Se Security Lake utilizza il AWSServiceRoleForSecurityLake ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In tal caso, attendi qualche minuto e poi riprova a eseguire l'operazione.
Se elimini il ruolo AWSServiceRoleForSecurityLake collegato al servizio e devi crearlo di nuovo, puoi crearlo di nuovo abilitando Security Lake per il tuo account. Quando abiliti nuovamente Security Lake, Security Lake crea nuovamente automaticamente il ruolo collegato al servizio per te.
Supportato Regioni AWS per il ruolo collegato ai servizi di Security Lake
Security Lake supporta l'utilizzo del ruolo AWSServiceRoleForSecurityLake collegato al servizio in tutti i paesi in Regioni AWS cui Security Lake è disponibile. Per un elenco delle regioni in cui Security Lake è attualmente disponibile, consulta. Regioni ed endpoint di Security Lake
