Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de roles vinculados a servicios para Security Lake
[Security Lake usa roles vinculados a AWS Identity and Access Management servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un rol de IAM que está vinculado directamente a Security Lake. Security Lake lo predefine e incluye todos los permisos que Security Lake necesita para llamar a otras personas Servicios de AWS en su nombre y operar el servicio de lago de datos de seguridad. Security Lake utiliza esta función vinculada al servicio en todos los lugares en los Regiones de AWS que Security Lake está disponible.
La función vinculada al servicio elimina la necesidad de añadir manualmente los permisos necesarios al configurar Security Lake. Security Lake define los permisos de este rol vinculado al servicio y, a menos que se defina lo contrario, solo Security Lake puede asumir el rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*. Solo puede eliminar un rol vinculado a servicios únicamente después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios con la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para revisar la documentación acerca del rol vinculado al servicio en cuestión.
**Topics**
+ [Permisos de rol vinculado a servicios (SLR) para Security Lake](slr-permissions.md)
+ [Permisos de rol vinculado a servicios (SLR) para la administración de recursos](AWSServiceRoleForSecurityLakeResourceManagement.md)
# Permisos de rol vinculado a servicios (SLR) para Security Lake
Security Lake usa el rol vinculado al servicio denominado. `AWSServiceRoleForSecurityLake` Este rol vinculado a servicios confía en el servicio `securitylake.amazonaws.com` para asumir el rol. Para obtener más información sobre las políticas AWS gestionadas de Amazon Security Lake, consulte [AWS gestionar las políticas de Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html).
La política de permisos del rol, denominada política AWS administrada`SecurityLakeServiceLinkedRole`, permite a Security Lake crear y operar el lago de datos de seguridad. También permite a Security Lake realizar tareas como las siguientes en los recursos especificados:
+ Utilice AWS Organizations acciones para recuperar información sobre las cuentas asociadas
+ Utilice Amazon Elastic Compute Cloud (Amazon EC2) para recuperar información sobre los registros de flujo de Amazon VPC
+ Utilice AWS CloudTrail acciones para recuperar información sobre el rol vinculado al servicio
+ Utilice AWS WAF acciones para recopilar AWS WAF registros cuando esté habilitada como fuente de registros en Security Lake
+ Utilice `LogDelivery` esta acción para crear o eliminar una suscripción de entrega de AWS WAF registros.
Para revisar los permisos de esta política, consulte [SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html) en la *Guía de referencia de la política administrada de AWS *.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear el rol vinculado al servicio de Security Lake
No es necesario crear manualmente el rol `AWSServiceRoleForSecurityLake` vinculado al servicio para Security Lake. Cuando habilita Security Lake para usted Cuenta de AWS, Security Lake crea automáticamente el rol vinculado al servicio.
## Edición del rol vinculado al servicio de Security Lake
Security Lake no permite editar el rol vinculado al `AWSServiceRoleForSecurityLake` servicio. Una vez creado un rol vinculado a servicios, no puede cambiar el nombre del rol porque varias entidades pueden hacer referencia a este. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar el rol vinculado al servicio de Security Lake
No puede eliminar el rol vinculado al servicio de Security Lake. En su lugar, puede eliminar el rol vinculado al servicio de la consola de IAM, la API o. AWS CLI Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
Antes de poder eliminar el rol vinculado al servicio, primero debe confirmar que el rol no tiene sesiones activas y eliminar todos los recursos que esté utilizando. `AWSServiceRoleForSecurityLake`
**nota**
Si Security Lake utiliza el `AWSServiceRoleForSecurityLake` rol al intentar eliminar los recursos, es posible que no se pueda eliminar. En ese caso, espere unos minutos e intente de nuevo la operación.
Si elimina el rol `AWSServiceRoleForSecurityLake` vinculado al servicio y necesita volver a crearlo, puede volver a crearlo habilitando Security Lake en su cuenta. Cuando vuelva a activar Security Lake, Security Lake volverá a crear automáticamente el rol vinculado al servicio.
## Compatible con el Regiones de AWS rol vinculado al servicio de Security Lake
Security Lake admite el uso del rol `AWSServiceRoleForSecurityLake` vinculado al servicio en todos los Regiones de AWS lugares donde Security Lake esté disponible. Para obtener una lista de las regiones en las que Security Lake está disponible actualmente, consulte [Regiones y puntos finales de Security Lake](supported-regions.md).
# Permisos de rol vinculado a servicios (SLR) para la administración de recursos
Security Lake utiliza la función vinculada al servicio denominada `AWSServiceRoleForSecurityLakeResourceManagement` para realizar una supervisión continua y mejorar el rendimiento, lo que puede reducir la latencia y los costes. Este rol vinculado a servicios confía en el servicio `resource-management.securitylake.amazonaws.com` para asumir el rol. Al habilitarlo, también `AWSServiceRoleForSecurityLakeResourceManagement` tendrá acceso a Lake Formation y registrará automáticamente los depósitos S3 gestionados por Security Lake en Lake Formation en todas las regiones para mejorar la seguridad.
La política de permisos del rol, que recibe el nombre de política AWS administrada`SecurityLakeResourceManagementServiceRolePolicy`, permite acceder a los recursos de administración creados por Security Lake, incluida la administración de los metadatos de su lago de datos. Para obtener más información sobre las políticas AWS administradas de Amazon Security Lake, consulte [Políticas AWS administradas de Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement.html).
Esta función vinculada a un servicio permite a Security Lake supervisar el estado de los recursos desplegados por Security Lake (S3 Bucket, AWS Glue tablas, Amazon SQS Queue, función Lambda de Metastore Manager (MSM) y reglas) en su cuenta. EventBridge Algunos ejemplos de operaciones que Security Lake puede realizar con esta función vinculada al servicio son:
+ Compactación de archivos de manifiesto de Apache Iceberg, que mejora el rendimiento de las consultas y reduce los tiempos y costes de procesamiento de MSM de Lambda.
+ Supervise el estado de Amazon SQS para detectar problemas de ingesta.
+ Optimice la replicación de datos entre regiones para excluir los archivos de metadatos.
**nota**
Si no instala la función `AWSServiceRoleForSecurityLakeResourceManagement` vinculada al servicio, Security Lake seguirá funcionando, pero se recomienda encarecidamente que acepte esta función vinculada al servicio para que Security Lake pueda supervisar y optimizar los recursos de su cuenta.
**Detalles de los permisos**
El rol se configura con la siguiente política de permisos:
+ `events`— Permite a los directores gestionar EventBridge las reglas necesarias para las fuentes de registro y los suscriptores de registros.
+ `lambda`— Permite a los directores administrar la lambda utilizada para actualizar las particiones de la AWS Glue tabla tras la entrega de la AWS fuente y la replicación entre regiones.
+ `glue`— Permite a los directores realizar acciones de escritura específicas para las tablas del catálogo de datos. AWS Glue Esto también permite a AWS Glue los rastreadores identificar las particiones de los datos y permite a Security Lake gestionar los metadatos de Apache Iceberg para las tablas de Apache Iceberg.
+ `s3`— Permite a los directores realizar acciones específicas de lectura y escritura en los cubos de Security Lake que contienen datos de registro y metadatos de la tabla Glue.
+ `logs`— Permite a los directores el acceso de lectura para registrar la salida de la función CloudWatch Lambda en Logs.
+ `sqs`— Permite a los directores realizar acciones específicas de lectura y escritura para las colas de Amazon SQS que reciben notificaciones de eventos cuando se añaden o actualizan objetos en su lago de datos.
+ `lakeformation`— Permite a los directores leer la configuración de Lake Formation para detectar errores de configuración.
Para revisar los permisos de esta política, consulte [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html) en la *Guía de referencia de la política administrada de AWS *.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación del rol vinculado al servicio de Security Lake
Puede crear el rol `AWSServiceRoleForSecurityLakeResourceManagement` vinculado al servicio para Security Lake mediante la consola de Security Lake o el. AWS CLI
Para crear el rol vinculado al servicio, debe conceder los siguientes permisos a su usuario o rol de IAM. El rol de IAM debe ser el de administrador de Lake Formation en todas las regiones habilitadas para Security Lake.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLakeFormationActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"lakeformation:GrantPermissions",
"lakeformation:ListPermissions",
"lakeformation:ListResources",
"lakeformation:RegisterResource",
"lakeformation:RevokePermissions"
],
"Resource": "*"
},
{
"Sid": "AllowIamActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": [
"arn:*:iam::*:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement",
"arn:*:iam::*:role/*AWSServiceRoleForLakeFormationDataAccess",
"arn:*:iam::aws:policy/service-role/AWSGlueServiceRole",
"arn:*:iam::aws:policy/service-role/AmazonSecurityLakeMetastoreManager",
"arn:*:iam::aws:policy/aws-service-role/SecurityLakeResourceManagementServiceRolePolicy"
],
"Condition": {
"StringLikeIfExists": {
"iam:AWSServiceName": [
"securitylake.amazonaws.com",
"resource-management.securitylake.amazonaws.com",
"lakeformation.amazonaws.com"
]
}
}
},
{
"Sid": "AllowGlueActionsViaConsole",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetTables"
],
"Resource": [
"arn:*:glue:*:*:catalog",
"arn:*:glue:*:*:database/amazon_security_lake_glue_db*",
"arn:*:glue:*:*:table/amazon_security_lake_glue_db*/*"
]
}
]
}
```
------
------
#### [ Console ]
1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).
1. Acepte el nuevo rol vinculado al servicio haciendo clic en **Habilitar el rol vinculado al servicio** en la barra de información de la página de resumen.
Una vez que haya habilitado el rol vinculado al servicio, no necesitará repetir este proceso para usar Security Lake en el futuro.
------
#### [ CLI ]
Para crear el rol `AWSServiceRoleForSecurityLakeResourceManagement` vinculado al servicio mediante programación, utilice el siguiente comando CLI.
```
$ aws iam create-service-linked-role
--aws-service-name resource-management.securitylake.amazonaws.com
```
Al crear el rol `AWSServiceRoleForSecurityLakeResourceManagement` vinculado al servicio mediante AWS CLI, también debe concederle permisos de nivel de tabla de Lake Formation (ALTER, DESCRIBE) en todas las tablas de la base de datos de Security Lake Glue para administrar los metadatos de las tablas y acceder a los datos. Si las tablas de Glue de cualquier región hacen referencia a depósitos de S3 de una activación anterior de Security Lake, debe conceder temporalmente los permisos de DATA\$1LOCATION\$1ACCESS al rol vinculado al servicio para que Security Lake pueda solucionar esta situación.
También tienes que conceder permisos a Lake Formation para el rol `AWSServiceRoleForSecurityLakeResourceManagement` vinculado al servicio de tu cuenta.
El siguiente ejemplo muestra cómo conceder los permisos de Lake Formation al rol vinculado al servicio en la región designada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws lakeformation grant-permissions --region {region} --principal DataLakePrincipalIdentifier={AWSServiceRoleForSecurityLakeResourceManagement ARN} \
--permissions ALTER DESCRIBE --resource '{ "Table": { "DatabaseName": "amazon_security_lake_glue_db_{region}", "TableWildcard": {} } }'
```
El siguiente ejemplo muestra el aspecto que tendrá el ARN del rol. Debe editar el ARN del rol para que coincida con su región.
`"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"`
También puedes usar la llamada a la [CreateServiceLinkedRole](https://docs.aws.amazon.com//IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API. En la solicitud, especifique el `AWSServiceName` as`resource-management.securitylake.amazonaws.com`.
------
Tras habilitar la `AWSServiceRoleForSecurityLakeResourceManagement` función, si utiliza la clave gestionada por el AWS KMS cliente (CMK) para el cifrado, debe permitir que la función vinculada al servicio escriba objetos cifrados en los depósitos de S3 de AWS las regiones en las que existe la CMK. En la AWS KMS consola, añada la siguiente política a la clave KMS en las regiones en las que existe la AWS CMK. Para obtener más información sobre cómo cambiar la política clave de KMS, consulte [las políticas clave AWS KMS en](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) la Guía para AWS Key Management Service desarrolladores.
```
{
"Sid": "Allow SLR",
"Effect": "Allow",
"Principal": {
"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::[regional-datalake-s3-bucket-name]"
},
"StringLike": {
"kms:ViaService": "s3.[region].amazonaws.com"
}
}
},
```
## Edición del rol vinculado al servicio de Security Lake
Security Lake no permite editar el rol vinculado al `AWSServiceRoleForSecurityLakeResourceManagement` servicio. Una vez creado un rol vinculado a servicios, no puede cambiar el nombre del rol porque varias entidades pueden hacer referencia a este. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar el rol vinculado al servicio de Security Lake
No puede eliminar el rol vinculado al servicio de Security Lake. En su lugar, puede eliminar el rol vinculado al servicio de la consola de IAM, la API o. AWS CLI Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
Antes de poder eliminar el rol vinculado al servicio, primero debe confirmar que el rol no tiene sesiones activas y eliminar todos los recursos que esté utilizando. `AWSServiceRoleForSecurityLakeResourceManagement`
**nota**
Si Security Lake utiliza el `AWSServiceRoleForSecurityLakeResourceManagement` rol al intentar eliminar los recursos, es posible que no se pueda eliminar. En ese caso, espere unos minutos e intente de nuevo la operación.
Si elimina el rol `AWSServiceRoleForSecurityLakeResourceManagement` vinculado al servicio y necesita volver a crearlo, puede volver a crearlo habilitando Security Lake en su cuenta. Cuando vuelva a activar Security Lake, Security Lake volverá a crear automáticamente el rol vinculado al servicio.
## Compatible con el Regiones de AWS rol vinculado al servicio de Security Lake
Security Lake admite el uso del rol `AWSServiceRoleForSecurityLakeResourceManagement` vinculado al servicio en todos los Regiones de AWS lugares donde Security Lake esté disponible. Para obtener una lista de las regiones en las que Security Lake está disponible actualmente, consulte [Regiones y puntos finales de Security Lake](supported-regions.md).