本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 安全湖的服務連結角色
安全湖使用名AWSServiceRoleForSecurityLake為的 AWS Identity and Access Management (IAM) 服務連結角色。此服務連結角色是直接連結至安全湖的 IAM 角色。它由 Security Lake 預先定義,其中包含 Security Lake 代表您呼叫其他 AWS 服務
人並操作安全性資料湖服務所需的所有權限。安全湖泊會在所有可用安全湖泊的 AWS 區域 地方使用此服務連結角色。
服務連結角色無需在設定 Security Lake 時手動新增必要的權限。Security Lake 會定義此服務連結角色的權限,除非另有定義,否則只有 Security Lake 可以擔任該角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 IAM 使用者指南中的服務連結角色許可。只有在刪除服務連結角色的相關資源後,才能刪除該角色。這可保護您的資源,避免您不小心移除資源的存取許可。
如需關於支援服務連結角色的其他服務資訊,請參閱《可搭配 IAM 運作的AWS 服務》,尋找 Service-linked roles (服務連結角色) 欄中顯示為 Yes (是) 的服務。選擇具有連結的 [是],以檢閱該服務的服務連結角色文件。
安全性湖泊的服務連結角色權限
安全湖泊使用名為AWSServiceRoleForSecurityLake的服務連結角色。此服務連結角色會信任securitylake.amazonaws.com服務擔任該角色。如需 Amazon 安全湖 AWS 受管政策的詳細資訊,請參閱AWS 管理 Amazon 安全湖政策。
角色的權限原則是名為的 AWS 受管理原則SecurityLakeServiceLinkedRole,可讓 Security Lake 建立和操作安全性資料湖。它還允許安全湖對指定的資源執行以下任務:
-
使用 AWS Organizations 動作擷取關聯帳號的資訊
-
使用亞馬遜彈性運算雲端 (Amazon EC2) 擷取有關 Amazon VPC 流程日誌的資訊
-
使用 AWS CloudTrail 動作擷取有關服務連結角色的資訊
-
在 Security Lake 中啟用為 AWS WAF 記錄來源時,使用 AWS WAF 動作來收集記錄
-
使用
LogDelivery動作建立或刪除 AWS WAF 記錄傳送訂閱。
角色設定為下列權限原則:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OrganizationsPolicies", "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization" ], "Resource": [ "*" ] }, { "Sid": "DescribeOrgAccounts", "Effect": "Allow", "Action": [ "organizations:DescribeAccount" ], "Resource": [ "arn:aws:organizations::*:account/o-*/*" ] }, { "Sid": "AllowManagementOfServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:CreateServiceLinkedChannel", "cloudtrail:DeleteServiceLinkedChannel", "cloudtrail:GetServiceLinkedChannel", "cloudtrail:UpdateServiceLinkedChannel" ], "Resource": "arn:aws:cloudtrail:*:*:channel/aws-service-channel/security-lake/*" }, { "Sid": "AllowListServiceLinkedChannel", "Effect": "Allow", "Action": [ "cloudtrail:ListServiceLinkedChannels" ], "Resource": "*" }, { "Sid": "DescribeAnyVpc", "Effect": "Allow", "Action": [ "ec2:DescribeVpcs" ], "Resource": "*" }, { "Sid": "ListDelegatedAdmins", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securitylake.amazonaws.com" } } }, { "Sid": "AllowWafLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration", "wafv2:GetLoggingConfiguration", "wafv2:ListLoggingConfigurations", "wafv2:DeleteLoggingConfiguration" ], "Resource": "*", "Condition": { "StringEquals": { "wafv2:LogScope": "SecurityLake" } } }, { "Sid": "AllowPutLoggingConfiguration", "Effect": "Allow", "Action": [ "wafv2:PutLoggingConfiguration" ], "Resource": "*", "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-security-lake-*" } } }, { "Sid": "ListWebACLs", "Effect": "Allow", "Action": [ "wafv2:ListWebACLs" ], "Resource": "*" }, { "Sid": "LogDelivery", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "wafv2.amazonaws.com" ] } } } ] }
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 IAM 使用者指南中的服務連結角色許可。
建立資訊安全湖服務連結角色
您不需要為安全湖泊手動建立AWSServiceRoleForSecurityLake服務連結角色。當您為您啟用資訊安全湖時 AWS 帳戶,安全性湖泊會自動為您建立服務連結的角色。
編輯資訊安全湖服務連結角色
安全湖泊不允許您編輯AWSServiceRoleForSecurityLake服務連結的角色。建立服務連結角色之後,您無法變更角色的名稱,因為各種實體可能會參照該角色。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱 IAM 使用者指南中的編輯服務連結角色。
刪除資訊安全湖服務連結角色
您無法從資訊安全湖中刪除服務連結角色。相反地,您可以從 IAM 主控台、API 或 AWS CLI刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色。
刪除服務連結角色之前,您必須先確認角色沒有使用中的工作階段,並移除任何AWSServiceRoleForSecurityLake正在使用的資源。
注意
當您嘗試刪除資源時,如果 Security Lake 正在使用此AWSServiceRoleForSecurityLake角色,則刪除可能會失敗。如果發生這種情況,請等待幾分鐘,然後再次嘗試該操作。
如果您刪除AWSServiceRoleForSecurityLake服務連結角色並需要重新建立,您可以為您的帳戶啟用 Security Lake,以再次建立該角色。當您再次啟用安全湖時,安全性湖泊會自動為您再次建立服務連結角色。
支援 AWS 區域 安全性湖泊服務連結角色
安全湖支援在所有可用安全湖泊的 AWS 區域 地方使用AWSServiceRoleForSecurityLake服務連結角色。如需目前提供安全湖泊的區域清單,請參閱Amazon Security Lake Security Lake Security Lake。
