Amazon Security Lake のアクション、リソース、および条件キー - サービス認可リファレンス

Amazon Security Lake のアクション、リソース、および条件キー

Amazon Security Lake (サービスプレフィックス: securitylake) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

Amazon Security Lake で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
CreateAwsLogSource 信頼できる組織に属するアカウントまたはスタンドアロンアカウントに、あらゆる地域のあらゆるソースタイプを有効にする許可を付与 書き込み

data-lake*

glue:CreateDatabase

glue:CreateTable

glue:GetDatabase

glue:GetTable

iam:CreateServiceLinkedRole

kms:CreateGrant

kms:DescribeKey

CreateCustomLogSource カスタムソースを追加する許可を付与 書き込み

data-lake*

glue:CreateCrawler

glue:CreateDatabase

glue:CreateTable

glue:StartCrawlerSchedule

iam:DeleteRolePolicy

iam:GetRole

iam:PassRole

iam:PutRolePolicy

kms:CreateGrant

kms:DescribeKey

kms:GenerateDataKey

lakeformation:GrantPermissions

lakeformation:RegisterResource

s3:ListBucket

s3:PutObject

CreateDataLake 新しいセキュリティデータレイクを作成する許可を付与 書き込み

data-lake*

events:PutRule

events:PutTargets

iam:CreateServiceLinkedRole

iam:DeleteRolePolicy

iam:GetRole

iam:ListAttachedRolePolicies

iam:PassRole

iam:PutRolePolicy

kms:CreateGrant

kms:DescribeKey

lakeformation:GetDataLakeSettings

lakeformation:PutDataLakeSettings

lambda:AddPermission

lambda:CreateEventSourceMapping

lambda:CreateFunction

organizations:DescribeOrganization

organizations:ListAccounts

organizations:ListDelegatedServicesForAccount

s3:CreateBucket

s3:GetObject

s3:GetObjectVersion

s3:ListBucket

s3:PutBucketPolicy

s3:PutBucketPublicAccessBlock

s3:PutBucketVersioning

sqs:CreateQueue

sqs:GetQueueAttributes

sqs:SetQueueAttributes

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDataLakeExceptionSubscription 例外に関する即時通知を取得する許可を付与。例外通知用の SNS トピックをサブスクライブします 書き込み
CreateDataLakeOrganizationConfiguration 組織内の新しいメンバーアカウントのために Amazon Security Lake を自動的に有効にする許可を付与 書き込み

data-lake*

CreateSubscriber サブスクライバーを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateRole

iam:DeleteRolePolicy

iam:GetRole

iam:PutRolePolicy

lakeformation:GrantPermissions

lakeformation:ListPermissions

lakeformation:RegisterResource

lakeformation:RevokePermissions

ram:GetResourceShareAssociations

ram:GetResourceShares

ram:UpdateResourceShare

s3:PutObject

CreateSubscriberNotification データレイクに新しいデータがあるときにクライアントに通知するウェブフック呼び出しを作成する許可を付与 書き込み

subscriber*

events:CreateApiDestination

events:CreateConnection

events:DescribeRule

events:ListApiDestinations

events:ListConnections

events:PutRule

events:PutTargets

iam:DeleteRolePolicy

iam:GetRole

iam:PassRole

s3:GetBucketNotification

s3:PutBucketNotification

sqs:CreateQueue

sqs:DeleteQueue

sqs:GetQueueAttributes

sqs:GetQueueUrl

sqs:SetQueueAttributes

DeleteAwsLogSource 信頼できる組織に属するアカウントまたはスタンドアロンアカウントに、あらゆる地域のあらゆるソースタイプを無効にする許可を付与 書き込み

data-lake*

DeleteCustomLogSource カスタムソースを削除する許可を付与 書き込み

data-lake*

glue:StopCrawlerSchedule

DeleteDataLake すべてのセキュリティデータレイクを削除する許可を付与 書き込み

data-lake*

organizations:DescribeOrganization

organizations:ListDelegatedAdministrators

organizations:ListDelegatedServicesForAccount

DeleteDataLakeExceptionSubscription 例外通知用の SNS トピックの購読を解除する許可を付与 SNS トピックの例外通知を削除します 書き込み
DeleteDataLakeOrganizationConfiguration 新しい組織アカウントのために Amazon Security Lake アクセスの自動有効化を削除する許可を付与 書き込み

data-lake*

DeleteSubscriber 指定されたサブスクライバーを削除する許可を付与 書き込み

subscriber*

events:DeleteApiDestination

events:DeleteConnection

events:DeleteRule

events:DescribeRule

events:ListApiDestinations

events:ListTargetsByRule

events:RemoveTargets

iam:DeleteRole

iam:DeleteRolePolicy

iam:GetRole

iam:ListRolePolicies

lakeformation:ListPermissions

lakeformation:RevokePermissions

sqs:DeleteQueue

sqs:GetQueueUrl

DeleteSubscriberNotification データレイクに新しいデータがあるときにクライアントに通知するウェブフック呼び出しを削除する許可を付与 書き込み

subscriber*

events:DeleteApiDestination

events:DeleteConnection

events:DeleteRule

events:DescribeRule

events:ListApiDestinations

events:ListTargetsByRule

events:RemoveTargets

iam:DeleteRole

iam:DeleteRolePolicy

iam:GetRole

iam:ListRolePolicies

lakeformation:RevokePermissions

sqs:DeleteQueue

sqs:GetQueueUrl

DeregisterDataLakeDelegatedAdministrator 委任管理者アカウントを削除し、この組織のサービスとしての Amazon Security Lake を無効にする許可を付与 書き込み

organizations:DeregisterDelegatedAdministrator

organizations:DescribeOrganization

organizations:ListDelegatedServicesForAccount

GetDataLakeExceptionSubscription 例外通知の SNS トピックをサブスクライブしたときに提供されたプロトコルとエンドポイントをクエリする許可を付与 読み取り
GetDataLakeOrganizationConfiguration 新しい組織アカウント用に Amazon Security Lake アクセスを自動的に有効にするための組織の構成設定を取得する許可を付与する 読み取り

data-lake*

organizations:DescribeOrganization

GetDataLakeSources 現在のリージョンのセキュリティデータレイクの静的スナップショットを取得する許可を付与 スナップショットには有効なアカウントとログソースが含まれます 読み取り

data-lake*

GetSubscriber 既に作成されているサブスクライバーに関する情報を取得する許可を付与 読み取り

subscriber*

ListDataLakeExceptions 再試行できないすべてのエラーのリストを取得する許可を付与 リスト
ListDataLakes セキュリティデータレイクに関する情報を一覧表示する許可を付与 リスト
ListLogSources 有効なアカウントを表示する許可を付与。有効なリージョンで有効なソースを表示できます リスト
ListSubscribers すべてのサブスクライバーを一覧表示する許可を付与 リスト
ListTagsForResource リソースのすべてのタグを一覧表示するための許可を付与します リスト

data-lake

subscriber

RegisterDataLakeDelegatedAdministrator あるアカウントを、組織の Amazon Security Lake 管理者アカウントとして指定する許可を付与 書き込み

iam:CreateServiceLinkedRole

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

organizations:ListDelegatedAdministrators

organizations:ListDelegatedServicesForAccount

organizations:RegisterDelegatedAdministrator

TagResource リソースにタグを追加するための許可を付与します タグ付け

data-lake

subscriber

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource リソースからタグを削除するための許可を付与します タグ付け

data-lake

subscriber

aws:TagKeys

UpdateDataLake セキュリティデータレイクを更新する許可を付与 書き込み

data-lake*

events:PutRule

events:PutTargets

iam:CreateServiceLinkedRole

iam:DeleteRolePolicy

iam:GetRole

iam:ListAttachedRolePolicies

iam:PutRolePolicy

kms:CreateGrant

kms:DescribeKey

lakeformation:GetDataLakeSettings

lakeformation:PutDataLakeSettings

lambda:AddPermission

lambda:CreateEventSourceMapping

lambda:CreateFunction

organizations:DescribeOrganization

organizations:ListDelegatedServicesForAccount

s3:CreateBucket

s3:GetObject

s3:GetObjectVersion

s3:ListBucket

s3:PutBucketPolicy

s3:PutBucketPublicAccessBlock

s3:PutBucketVersioning

sqs:CreateQueue

sqs:GetQueueAttributes

sqs:SetQueueAttributes

UpdateDataLakeExceptionSubscription 例外通知用の SNS トピックのサブスクリプションを更新する許可を付与します 書き込み
UpdateSubscriber サブスクライバーを更新する許可を付与 書き込み

subscriber*

events:CreateApiDestination

events:CreateConnection

events:DescribeRule

events:ListApiDestinations

events:ListConnections

events:PutRule

events:PutTargets

iam:DeleteRolePolicy

iam:GetRole

iam:PutRolePolicy

UpdateSubscriberNotification データレイクに新しいデータがあるときにクライアントに通知するウェブフック呼び出しを更新する許可を付与 書き込み

subscriber*

events:CreateApiDestination

events:CreateConnection

events:DescribeRule

events:ListApiDestinations

events:ListConnections

events:PutRule

events:PutTargets

iam:CreateServiceLinkedRole

iam:DeleteRolePolicy

iam:GetRole

iam:PassRole

iam:PutRolePolicy

s3:CreateBucket

s3:GetBucketNotification

s3:ListBucket

s3:PutBucketNotification

s3:PutBucketPolicy

s3:PutBucketPublicAccessBlock

s3:PutBucketVersioning

s3:PutLifecycleConfiguration

sqs:CreateQueue

sqs:DeleteQueue

sqs:GetQueueAttributes

sqs:GetQueueUrl

sqs:SetQueueAttributes

Amazon Security Lake で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
data-lake arn:${Partition}:securitylake:${Region}:${Account}:data-lake/default

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

subscriber arn:${Partition}:securitylake:${Region}:${Account}:subscriber/${SubscriberId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

Amazon Security Lake の条件キー

Amazon Security Lake は、IAM ポリシーの Condition 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエストで渡されたタグによりアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} タグキーとリソースの値のペアによってアクセスをフィルタリングします 文字列
aws:TagKeys リクエストで渡されたタグキーによりアクセスをフィルタリングします ArrayOfString