기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Lake의 서비스 연결 역할
Security Lake는 라는 AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용합니다AWSServiceRoleForSecurityLake. 이 서비스 연결 역할은 Security Lake에 직접 연결된 IAM 역할입니다. Security Lake에서 사전 정의한 것으로, Security Lake가 사용자를 대신하여 다른 AWS 서비스
를 직접 호출하고 보안 데이터 레이크 서비스를 운영하는 데 필요한 모든 권한이 포함되어 있습니다. Security Lake는 Security Lake를 사용할 수 AWS 리전 있는 모든 에서 이 서비스 연결 역할을 사용합니다.
이 서비스 연결 역할을 사용하면 Security Lake를 설정할 때 필요한 권한을 수동으로 추가할 필요가 없습니다. Security Lake는 이 서비스 연결 역할의 권한을 정의하며, 달리 정의되지 않는 한 Security Lake만이 이 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책 및 권한 정책이 포함되며 해당 권한 정책은 다른 IAM엔터티에 연결할 수 없습니다.
IAM 엔터티(예: 사용자, 그룹 또는 역할)가 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성해야 합니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 권한을 참조하세요. 먼저 관련 리소스를 삭제해야만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 AWS 에서 작업하는 서비스를 IAM 참조하고 서비스 연결 역할 열에서 Yes인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 예(Yes) 링크를 선택합니다.
주제
Security Lake에 대한 서비스 연결 역할 권한
Security Lake에서는 AWSServiceRoleForSecurityLake인 서비스 연결 역할을 사용합니다. 이 서비스 연결 역할은 securitylake.amazonaws.com 서비스에 해당 역할을 맡깁니다. Amazon Security Lake에 대한 AWS 관리형 정책에 대한 자세한 내용은 AWS Amazon Security Lake에 대한 정책 관리를 참조하세요.
라는 AWS 관리형 정책인 역할에 대한 권한 정책을 SecurityLakeServiceLinkedRole통해 Security Lake는 보안 데이터 레이크를 생성하고 운영할 수 있습니다. 또한 Security Lake는 지정된 리소스에서 다음과 같은 작업을 수행할 수 있습니다.
-
AWS Organizations 작업을 사용하여 연결된 계정에 대한 정보 검색
-
Amazon Elastic Compute Cloud(AmazonEC2)를 사용하여 Amazon VPC Flow Logs에 대한 정보 검색
-
AWS CloudTrail 작업을 사용하여 서비스 연결 역할에 대한 정보 검색
-
Security Lake에서 AWS WAF 로그 소스로 활성화된 경우 AWS WAF 작업을 사용하여 로그 수집
-
LogDelivery작업을 사용하여 AWS WAF 로그 전송 구독을 생성하거나 삭제합니다.
역할은 다음의 권한 정책으로 구성됩니다.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OrganizationsPolicies", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization" ], "Resource": [ "*" ] }, { "Sid": "DescribeOrgAccounts", "Effect": "Allow", "Action": [ "organizations:DescribeAccount" ], "Resource": [ "arn:aws:organizations::*:account/o-*/*" ] }, { "Sid": "AllowManagementOfServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:CreateServiceLinkedChannel", "cloudtrail:DeleteServiceLinkedChannel", "cloudtrail:GetServiceLinkedChannel", "cloudtrail:UpdateServiceLinkedChannel" ], "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*" }, { "Sid": "AllowListServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:ListServiceLinkedChannels" ], "Resource": "*" }, { "Sid": "DescribeAnyVpc", "Effect": "Allow", "Action": [ "ec2:DescribeVpcs" ], "Resource": "*" }, { "Sid": "ListDelegatedAdmins", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securitylake.amazonaws.com" } } }, { "Sid": "AllowWafLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration", "wafv2:GetLoggingConfiguration", "wafv2:ListLoggingConfigurations", "wafv2:DeleteLoggingConfiguration" ], "Resource": "*", "Condition": { "StringEquals": { "wafv2:LogScope": "SecurityLake" } } }, { "Sid": "AllowPutLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration" ], "Resource": "*", "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*" } } }, { "Sid": "ListWebACLs", "Effect": "Allow", "Action": [ "wafv2:ListWebACLs" ], "Resource": "*" }, { "Sid": "LogDelivery", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "wafv2.amazonaws.com" ] } } } ] }
IAM 엔터티(예: 사용자, 그룹 또는 역할)가 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성해야 합니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 권한을 참조하세요.
Security Lake 서비스 연결 역할 생성
Security Lake의 AWSServiceRoleForSecurityLake 서비스 연결 역할을 수동으로 생성할 필요가 없습니다. 에 대해 Security Lake를 활성화하면 AWS 계정 Security Lake가 자동으로 서비스 연결 역할을 생성합니다.
Security Lake 서비스 연결 역할 편집
Security Lake는 AWSServiceRoleForSecurityLake 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할이 생성된 후에는 여러 엔터티가 역할을 참조할 수 있으므로, 역할 이름을 변경할 수 없습니다. 그러나 를 사용하여 역할에 대한 설명을 편집할 수 있습니다IAM. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하세요.
Security Lake 서비스 연결 역할 삭제
Security Lake에서는 서비스 연결 역할을 삭제할 수 없습니다. 대신 IAM 콘솔, API또는 에서 서비스 연결 역할을 삭제할 수 있습니다 AWS CLI. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 삭제를 참조하세요.
서비스 연결 역할을 삭제하려면 먼저 해당 역할에 활성 섹션이 없는지 확인하고 AWSServiceRoleForSecurityLake가 사용 중인 모든 리소스를 제거해야 합니다.
참고
리소스를 삭제하려 할 때 Security Lake가 AWSServiceRoleForSecurityLake 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
AWSServiceRoleForSecurityLake 서비스 연결 역할을 삭제한 다음 다시 생성해야 하는 경우 계정의 Security Lake를 활성화하여 다시 생성할 수 있습니다. Security Lake를 다시 활성화하면 Security Lake는 서비스 연결 역할을 다시 생성합니다.
Security Lake 서비스 연결 역할에 AWS 리전 지원됨
Security Lake는 Security Lake를 사용할 수 AWS 리전 있는 모든 에서 AWSServiceRoleForSecurityLake 서비스 연결 역할 사용을 지원합니다. Security Lake를 사용할 수 있는 리전 목록은 Security Lake 리전 및 엔드포인트을 참조하세요.
