翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Lake のサービスにリンクされたロール (SLR) アクセス許可
<a name="slr-permissions"></a>

Security Lake では、`AWSServiceRoleForSecurityLake` という名前のサービスリンクロールを使用します。このサービスリンクロールは、ロールを引き受ける上で `securitylake.amazonaws.com` サービスを信頼します。Amazon Security Lake AWS の管理ポリシーの詳細については、[AWS 「Amazon Security Lake の管理ポリシー](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html)」を参照してください。

という名前の AWS マネージドポリシーであるロールのアクセス許可ポリシー`SecurityLakeServiceLinkedRole`により、Security Lake はセキュリティデータレイクを作成して運用できます。また、Security Lake は指定されたリソースに対して次のようなタスクを実行できるようになります。
+  AWS Organizations アクションを使用して、関連付けられたアカウントに関する情報を取得する
+ Amazon Elastic Compute Cloud (Amazon EC2) を使用して、Amazon VPC フローログに関する情報を取得します
+  AWS CloudTrail アクションを使用して、サービスにリンクされたロールに関する情報を取得する
+ Security Lake で AWS WAF ログソースとして有効になっている場合、 AWS WAF アクションを使用してログを収集する
+ `LogDelivery` アクションを使用して、 AWS WAF ログ配信サブスクリプションを作成または削除します。

このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンスガイド*」の[SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html)」を参照してください。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、*「IAM User Guide」*(IAM ユーザーガイド) の[「Service-linked role permissions」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)(サービスリンクロールのアクセス権限) を参照してください。

## Security Lake のサービスリンクロールの作成
<a name="create-slr"></a>

Security Lake 用の`AWSServiceRoleForSecurityLake`サービスリンクロールを手動で作成する必要はありません。で Security Lake を有効にすると AWS アカウント、Security Lake は自動的にサービスにリンクされたロールを作成します。

## Security Lake 向けのサービスリンクロールの編集
<a name="edit-slr"></a>

Security Lake では、`AWSServiceRoleForSecurityLake` サービスリンクロールの編集は許可されていません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」の「*サービスリンクロールの編集*」を参照してください。

## Security Lake 向けのサービスリンクロールの削除
<a name="delete-slr"></a>

サービスリンクロールを Security Lake から削除することはできません。代わりに、IAM コンソール、API、または からサービスにリンクされたロールを削除できます AWS CLI。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

サービスリンクロールを削除する前に、まずロールにアクティブなセッションがないことを確認し、`AWSServiceRoleForSecurityLake` が使用しているリソースを削除する必要があります。

**注記**  
リソースを削除しようとするときに Security Lake が `AWSServiceRoleForSecurityLake` ロールを使用している場合、削除は失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

`AWSServiceRoleForSecurityLake`サービスリンクロールを削除したが、再作成する必要がある場合は、アカウントで Security Lake を有効にすることで、ロールを再作成することができます。Security Lake を再作成すると、Security Lake は、ユーザーのためにサービスリンクロールを再作成します。

## Security Lake サービスにリンクされたロール AWS リージョン でサポート
<a name="slr-regions"></a>

Security Lake は、Security Lake AWS リージョン が利用可能なすべての で`AWSServiceRoleForSecurityLake`サービスにリンクされたロールの使用をサポートしています。Security Lake が現在利用可能なリージョンのリストについては、「[Security Lake のリージョンとエンドポイント](supported-regions.md)」を参照してください。