Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS kebijakan terkelola untuk Security Lake
<a name="security-iam-awsmanpol"></a>





Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.









## AWS kebijakan terkelola: AmazonSecurityLakeMetastoreManager
<a name="security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager"></a>

Amazon Security Lake menggunakan AWS Lambda fungsi untuk mengelola metadata di danau data Anda. Melalui penggunaan fungsi ini, Security Lake dapat mengindeks partisi Amazon Simple Storage Service (Amazon S3) yang berisi data dan file data Anda ke dalam AWS Glue tabel Data Catalog. Kebijakan terkelola ini berisi semua izin untuk fungsi Lambda untuk mengindeks partisi S3 dan file data ke dalam tabel. AWS Glue 

**Detail izin**

Kebijakan ini mencakup izin berikut:
+ `logs`— Memungkinkan kepala sekolah untuk mencatat output fungsi Lambda ke Amazon Logs. CloudWatch 
+ `glue`— Memungkinkan kepala sekolah untuk melakukan tindakan penulisan khusus untuk tabel Katalog AWS Glue Data. Ini juga memungkinkan AWS Glue crawler untuk mengidentifikasi partisi dalam data Anda.
+ `sqs`— Memungkinkan prinsipal untuk melakukan tindakan baca dan tulis tertentu untuk antrian Amazon SQS yang mengirim pemberitahuan peristiwa saat objek ditambahkan atau diperbarui di danau data Anda.
+ `s3`— Memungkinkan kepala sekolah melakukan tindakan baca dan tulis tertentu untuk bucket Amazon S3 yang berisi data Anda.

Untuk meninjau izin kebijakan ini, lihat [AmazonSecurityLakeMetastoreManager](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeMetastoreManager.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AmazonSecurityLakePermissionsBoundary
<a name="security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary"></a>

Amazon Security Lake membuat peran IAM untuk sumber kustom pihak ketiga untuk menulis data ke data lake dan bagi pelanggan kustom pihak ketiga untuk menggunakan data dari data lake, dan menggunakan kebijakan ini saat membuat peran ini untuk menentukan batas izin mereka. Anda tidak perlu mengambil tindakan untuk menggunakan kebijakan ini. Jika data lake dienkripsi dengan AWS KMS kunci yang dikelola pelanggan, `kms:Decrypt` dan `kms:GenerateDataKey` izin ditambahkan.

Untuk meninjau izin kebijakan ini, lihat [AmazonSecurityLakePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakePermissionsBoundary.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AmazonSecurityLakeAdministrator
<a name="security-iam-awsmanpol-AmazonSecurityLakeAdministrator"></a>

Anda dapat melampirkan `AmazonSecurityLakeAdministrator` kebijakan ke kepala sekolah sebelum mengaktifkan Amazon Security Lake untuk akun mereka. Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan Security Lake. Kepala sekolah kemudian dapat naik ke Security Lake dan kemudian mengkonfigurasi sumber dan pelanggan di Security Lake.

Kebijakan ini mencakup tindakan yang dapat dilakukan administrator Security Lake pada AWS layanan lain melalui Security Lake. 

`AmazonSecurityLakeAdministrator`Kebijakan ini tidak mendukung pembuatan peran utilitas yang diperlukan oleh Security Lake untuk mengelola replikasi lintas wilayah Amazon S3, pendaftaran partisi data baru, AWS Glue menjalankan crawler Glue pada data yang ditambahkan ke sumber kustom, atau memberi tahu pelanggan titik akhir HTTPS tentang data baru. Anda dapat membuat peran ini sebelumnya seperti yang dijelaskan dalam[Memulai dengan Amazon Security Lake](getting-started.md).

Selain kebijakan `AmazonSecurityLakeAdministrator` terkelola, Security Lake memerlukan `lakeformation:PutDataLakeSettings` izin untuk fungsi orientasi dan konfigurasi. `PutDataLakeSettings`memungkinkan pengaturan kepala IAM sebagai administrator untuk semua sumber daya Lake Formation regional di akun. Peran ini harus dimiliki `iam:CreateRole permission` serta `AmazonSecurityLakeAdministrator` kebijakan yang melekat padanya. 

Administrator Lake Formation memiliki akses penuh ke konsol Lake Formation, dan mengontrol konfigurasi data awal dan izin akses. Security Lake menetapkan prinsipal yang memungkinkan Security Lake dan `AmazonSecurityLakeMetaStoreManager` peran (atau peran tertentu lainnya) sebagai administrator Lake Formation sehingga mereka dapat membuat tabel, memperbarui skema tabel, mendaftarkan partisi baru, dan mengonfigurasi izin pada tabel. Anda harus menyertakan izin berikut dalam kebijakan untuk pengguna atau peran administrator Security Lake:

**catatan**  
Untuk memberikan izin yang cukup untuk memberikan akses pelanggan berbasis Lake Formation, Security Lake merekomendasikan untuk menambahkan izin berikut`glue:PutResourcePolicy`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPutLakeFormationSettings",
      "Effect": "Allow",
      "Action": "lakeformation:PutDatalakeSettings",
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowGlueActions",
      "Effect": "Allow",
      "Action": ["glue:PutResourcePolicy", "glue:DeleteResourcePolicy"],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*"
      ],
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    }
  ]
}
```

------



**Detail izin**

Kebijakan ini mencakup izin berikut.




+ `securitylake`— Memungkinkan kepala sekolah akses penuh ke semua tindakan Security Lake. 
+ `organizations`— Memungkinkan kepala sekolah untuk mengambil informasi dari Organizations tentang akun dalam suatu AWS organisasi. Jika akun milik organisasi, maka izin ini memungkinkan konsol Security Lake menampilkan nama akun dan nomor akun.
+ `iam`— Memungkinkan kepala sekolah untuk membuat peran terkait layanan untuk Security Lake,, dan AWS Lake Formation Amazon EventBridge, sebagai langkah yang diperlukan saat mengaktifkan layanan tersebut. Juga memungkinkan pembuatan dan pengeditan kebijakan untuk peran pelanggan dan sumber kustom, dengan izin peran tersebut terbatas pada apa yang diizinkan oleh kebijakan. `AmazonSecurityLakePermissionsBoundary` 
+ `ram`— Memungkinkan kepala sekolah untuk mengonfigurasi akses kueri Lake Formation berbasis oleh pelanggan ke sumber Security Lake. 
+ `s3`— Memungkinkan kepala sekolah untuk membuat dan mengelola ember Security Lake, dan membaca isi ember tersebut. 
+ `lambda`— Memungkinkan prinsipal untuk mengelola yang Lambda digunakan untuk memperbarui partisi AWS Glue tabel setelah pengiriman AWS sumber dan replikasi lintas wilayah. 
+ `glue`— Memungkinkan kepala sekolah untuk membuat dan mengelola database dan tabel Security Lake. 
+ `lakeformation`— Memungkinkan kepala sekolah untuk mengelola Lake Formation izin untuk tabel Security Lake. 
+ `events`— Memungkinkan kepala sekolah untuk mengelola aturan yang digunakan untuk memberi tahu pelanggan tentang data baru di sumber Security Lake. 
+ `sqs`— Memungkinkan kepala sekolah untuk membuat dan mengelola Amazon SQS antrian yang digunakan untuk memberi tahu pelanggan tentang data baru di sumber Security Lake. 
+ `kms`— Memungkinkan kepala sekolah memberikan akses ke Security Lake untuk menulis data menggunakan kunci yang dikelola pelanggan. 
+ `secretsmanager`— Memungkinkan kepala sekolah untuk mengelola rahasia yang digunakan untuk memberi tahu pelanggan tentang data baru di sumber Security Lake melalui titik akhir HTTPS. 



Untuk meninjau izin kebijakan ini, lihat [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: SecurityLakeServiceLinkedRole
<a name="security-iam-awsmanpol-SecurityLakeServiceLinkedRole"></a>

Security Lake menggunakan peran terkait layanan bernama `AWSServiceRoleForSecurityLake` untuk membuat dan mengoperasikan danau data keamanan.

Anda tidak dapat melampirkan kebijakan `SecurityLakeServiceLinkedRole` terkelola ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Security Lake untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan untuk](https://docs.aws.amazon.com//security-lake/latest/userguide/slr-permissions.html) Security Lake.

## AWS kebijakan terkelola: SecurityLakeResourceManagementServiceRolePolicy
<a name="security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement"></a>

Security Lake menggunakan peran terkait layanan yang disebutkan `AWSServiceRoleForSecurityLakeResourceManagement` untuk melakukan pemantauan berkelanjutan dan peningkatan kinerja, yang dapat mengurangi latensi dan biaya. Menyediakan akses untuk mengelola sumber daya yang dibuat oleh Security Lake. Memberikan Security Lake kemampuan untuk menghapus SecurityLake \$1Glue\$1Partyon\$1Updater\$1Lambda. Lambda ini tidak digunakan lagi untuk pelanggan yang telah melakukan migrasi gunung es dan pindah ke sumber v2. Lambda ini menggunakan runtime Python 3.9 yang akan ditinggalkan pada bulan Desember. Daripada memperbarui runtime untuk lambda ini untuk pelanggan tersebut, akan lebih baik untuk menghapusnya. Kami memiliki proses pemulihan yang akan menentukan apakah pelanggan masih membutuhkan lambda atau tidak dan menghapusnya jika tidak. Pembaruan SLR ini diperlukan untuk memungkinkan kami menghapus lambda itu.

Anda tidak dapat melampirkan kebijakan `SecurityLakeResourceManagementServiceRolePolicy` terkelola ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Security Lake untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan untuk](https://docs.aws.amazon.com//security-lake/latest/userguide/AWSServiceRoleForSecurityLakeResourceManagement.html) pengelolaan sumber daya.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `events`— Memungkinkan kepala sekolah untuk membuat daftar dan mengelola EventBridge aturan untuk pemrosesan acara Security Lake.
+ `lambda`— Memungkinkan prinsipal untuk mengelola fungsi dan konfigurasi Lambda untuk pemrosesan metadata Security Lake, termasuk kemampuan untuk menghapus fungsi pembaru partisi yang tidak digunakan lagi.
+ `glue`— Memungkinkan prinsipal untuk membuat partisi, mengelola tabel, dan mengakses database dalam Katalog AWS Glue Data untuk manajemen metadata Security Lake.
+ `s3`— Memungkinkan prinsipal mengelola konfigurasi bucket Amazon S3, kebijakan siklus hidup, dan objek metadata untuk operasi data lake Security Lake.
+ `logs`— Memungkinkan kepala sekolah untuk mengakses aliran CloudWatch Log dan data log kueri untuk fungsi Security Lake Lambda.
+ `sqs`— Memungkinkan kepala sekolah untuk mengelola antrian Amazon SQS dan pesan untuk alur kerja pemrosesan data Security Lake.
+ `lakeformation`— Memungkinkan kepala sekolah untuk mengambil pengaturan data lake dan izin untuk manajemen sumber daya Security Lake.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWS GlueServiceRole
<a name="security-iam-awsmanpol-AWSGlueServiceRole"></a>

Kebijakan `AWS GlueServiceRole` terkelola memanggil AWS Glue crawler dan mengizinkan AWS Glue untuk merayapi data sumber kustom dan mengidentifikasi metadata partisi. Metadata ini diperlukan untuk membuat dan memperbarui tabel di Katalog Data.

Untuk informasi selengkapnya, lihat [Mengumpulkan data dari sumber khusus di Security Lake](custom-sources.md).





## Security Lake memperbarui kebijakan AWS terkelola
<a name="security-iam-awsmanpol-updates"></a>



Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Security Lake sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen Security Lake.




| Ubah | Deskripsi | Date | 
| --- | --- | --- | 
|  [SecurityLakeResourceManagementServiceRolePolicy](#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement)— Kebijakan yang ada diperbarui  |  Security Lake memperbarui kebijakan terkelola `SecurityLakeResourceManagementServiceRolePolicy` untuk menambahkan `lambda:DeleteFunction` izin fungsi \$1Glue\$1Partyon\$1Updater\$1Lambda yang SecurityLake tidak digunakan lagi. Hal ini memungkinkan Security Lake untuk membersihkan fungsi Lambda yang tidak digunakan lagi sebagai bagian dari migrasi ke sumber v2 dan format gunung es.  |  November 18, 2025  | 
|  [AWSServiceRoleForSecurityLakeResourceManagement](AWSServiceRoleForSecurityLakeResourceManagement.md)— Kebijakan yang ada diperbarui  |  Kebijakan ini diperbarui untuk mengganti `StringLike` operator dengan `ArnLike` operator guna mengevaluasi kunci tipe ARN `lambda:FunctionArn` di blok `aws:ResourceAccount` kondisi. Ini memberikan penegakan yang lebih aman.   |  September 25, 2025  | 
|  [Peran terkait layanan untuk Amazon Security Lake](AWSServiceRoleForSecurityLakeResourceManagement.md) — Peran terkait layanan baru  |  Kami menambahkan peran terkait layanan baru. `AWSServiceRoleForSecurityLakeResourceManagement` Peran terkait layanan ini memberikan izin kepada Security Lake untuk melakukan pemantauan berkelanjutan dan peningkatan kinerja, yang dapat mengurangi latensi dan biaya.   |  November 14, 2024  | 
|  [Peran terkait layanan untuk Amazon Security Lake - Perbarui ke izin peran terkait](using-service-linked-roles.md) layanan yang ada  |  Kami menambahkan AWS WAF tindakan ke kebijakan AWS terkelola untuk `SecurityLakeServiceLinkedRole` kebijakan tersebut. Tindakan tambahan memungkinkan Security Lake untuk mengumpulkan AWS WAF log, ketika diaktifkan sebagai sumber log di Security Lake.  |  22 Mei 2024  | 
| [AmazonSecurityLakePermissionsBoundary](#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary) – Pembaruan ke kebijakan yang ada |  Security Lake menambahkan tindakan SID ke kebijakan tersebut.  |  13 Mei 2024  | 
|  [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) – Pembaruan ke kebijakan yang ada  |  Security Lake memperbarui kebijakan untuk menambahkan tindakan pembersihan metadata yang memungkinkan Anda menghapus metadata di data lake Anda.  |  Maret 27, 2024  | 
|  [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) – Pembaruan ke kebijakan yang ada  |  Security Lake memperbarui kebijakan untuk mengizinkan `iam:PassRole` `AmazonSecurityLakeMetastoreManagerV2` peran baru dan memungkinkan Security Lake menyebarkan atau memperbarui komponen data lake.  |  Februari 23, 2024  | 
|  [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) – Kebijakan baru  |  Security Lake menambahkan kebijakan terkelola baru yang memberikan izin kepada Security Lake untuk mengelola metadata di data lake Anda.  |  23 Januari 2024  | 
|  [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) – Kebijakan baru  |  Security Lake menambahkan kebijakan terkelola baru yang memberikan akses penuh utama ke semua tindakan Security Lake.  |  30 Mei 2023  | 
|  Security Lake mulai melacak perubahan  |  Security Lake mulai melacak perubahan untuk kebijakan yang AWS dikelola.  | 29 November 2022 |