翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Lake のサービスにリンクされたロールの使用
Security Lake は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Security Lake に直接リンクされた IAM ロールです。これは Security Lake によって事前定義されており、Security Lake がユーザーに代わって他の AWS のサービス を呼び出し、セキュリティ データ レイク サービスを操作するために必要なすべてのアクセス許可が含まれています。Security Lake は、Security Lake AWS リージョン が利用可能なすべての でこのサービスにリンクされたロールを使用します。
サービスリンクロールを使用することで、Security Lake の設定時に必要な許可を手動で追加する必要がなくなります。Security Lake は、サービスリンクロールの許可を定義します。その許可が特別に定義されていない限り、Security Lake のみがそのロールを引き受けます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、*「IAM User Guide」*(IAM ユーザーガイド) の[「Service-linked role permissions」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)(サービスリンクロールのアクセス権限) を参照してください。サービスリンクロールを削除するには、その関連リソースを削除します。これにより、リソースへの意図しないアクセスによる権限の削除が防止され、 リソースは保護されます。
サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」があるサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、**[Yes]** (はい) リンクを選択します。
**Topics**
+ [
# Security Lake のサービスにリンクされたロール (SLR) アクセス許可
](slr-permissions.md)
+ [
# リソース管理のためのサービスリンクロール (SLR) アクセス許可
](AWSServiceRoleForSecurityLakeResourceManagement.md)
# Security Lake のサービスにリンクされたロール (SLR) アクセス許可
Security Lake では、`AWSServiceRoleForSecurityLake` という名前のサービスリンクロールを使用します。このサービスリンクロールは、ロールを引き受ける上で `securitylake.amazonaws.com` サービスを信頼します。Amazon Security Lake AWS の管理ポリシーの詳細については、[AWS 「Amazon Security Lake の管理ポリシー](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html)」を参照してください。
という名前の AWS マネージドポリシーであるロールのアクセス許可ポリシー`SecurityLakeServiceLinkedRole`により、Security Lake はセキュリティデータレイクを作成して運用できます。また、Security Lake は指定されたリソースに対して次のようなタスクを実行できるようになります。
+ AWS Organizations アクションを使用して、関連付けられたアカウントに関する情報を取得する
+ Amazon Elastic Compute Cloud (Amazon EC2) を使用して、Amazon VPC フローログに関する情報を取得します
+ AWS CloudTrail アクションを使用して、サービスにリンクされたロールに関する情報を取得する
+ Security Lake で AWS WAF ログソースとして有効になっている場合、 AWS WAF アクションを使用してログを収集する
+ `LogDelivery` アクションを使用して、 AWS WAF ログ配信サブスクリプションを作成または削除します。
このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンスガイド*」の[SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html)」を参照してください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、*「IAM User Guide」*(IAM ユーザーガイド) の[「Service-linked role permissions」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)(サービスリンクロールのアクセス権限) を参照してください。
## Security Lake のサービスリンクロールの作成
Security Lake 用の`AWSServiceRoleForSecurityLake`サービスリンクロールを手動で作成する必要はありません。で Security Lake を有効にすると AWS アカウント、Security Lake は自動的にサービスにリンクされたロールを作成します。
## Security Lake 向けのサービスリンクロールの編集
Security Lake では、`AWSServiceRoleForSecurityLake` サービスリンクロールの編集は許可されていません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」の「*サービスリンクロールの編集*」を参照してください。
## Security Lake 向けのサービスリンクロールの削除
サービスリンクロールを Security Lake から削除することはできません。代わりに、IAM コンソール、API、または からサービスにリンクされたロールを削除できます AWS CLI。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
サービスリンクロールを削除する前に、まずロールにアクティブなセッションがないことを確認し、`AWSServiceRoleForSecurityLake` が使用しているリソースを削除する必要があります。
**注記**
リソースを削除しようとするときに Security Lake が `AWSServiceRoleForSecurityLake` ロールを使用している場合、削除は失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。
`AWSServiceRoleForSecurityLake`サービスリンクロールを削除したが、再作成する必要がある場合は、アカウントで Security Lake を有効にすることで、ロールを再作成することができます。Security Lake を再作成すると、Security Lake は、ユーザーのためにサービスリンクロールを再作成します。
## Security Lake サービスにリンクされたロール AWS リージョン でサポート
Security Lake は、Security Lake AWS リージョン が利用可能なすべての で`AWSServiceRoleForSecurityLake`サービスにリンクされたロールの使用をサポートしています。Security Lake が現在利用可能なリージョンのリストについては、「[Security Lake のリージョンとエンドポイント](supported-regions.md)」を参照してください。
# リソース管理のためのサービスリンクロール (SLR) アクセス許可
Security Lake は、 という名前のサービスにリンクされたロール`AWSServiceRoleForSecurityLakeResourceManagement`を使用して、継続的なモニタリングとパフォーマンスの向上を実行します。これにより、レイテンシーとコストを削減できます。このサービスリンクロールは、ロールを引き受ける上で `resource-management.securitylake.amazonaws.com` サービスを信頼します。また`AWSServiceRoleForSecurityLakeResourceManagement`、 を有効にすると、Lake Formation へのアクセスが許可され、セキュリティを強化するために、すべてのリージョンで Security Lake マネージド S3 バケットを Lake Formation に自動的に登録します。
という名前の AWS マネージドポリシーであるロールのアクセス許可ポリシーは`SecurityLakeResourceManagementServiceRolePolicy`、データレイク内のメタデータの管理など、Security Lake によって作成されたリソースを管理するためのアクセスを許可します。Amazon Security Lake AWS の管理ポリシーの詳細については、[AWS 「Amazon Security Lake の管理ポリシー](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement.html)」を参照してください。
このサービスにリンクされたロールにより、Security Lake は、Security Lake (S3 Bucket、 AWS Glue tables、Amazon SQS Queue、Metastore Manager (MSM) Lambda Function、EventBridge ルール) によってアカウントにデプロイされたリソースのヘルスをモニタリングできます。Security Lake がこのサービスにリンクされたロールで実行できるオペレーションの例を次に示します。
+ Apache Iceberg マニフェストファイルの圧縮により、クエリのパフォーマンスが向上し、Lambda MSM の処理時間とコストを削減できます。
+ Amazon SQS の状態をモニタリングして、取り込みの問題を検出します。
+ メタデータファイルを除外するために、クロスリージョンデータレプリケーションを最適化します。
**注記**
`AWSServiceRoleForSecurityLakeResourceManagement` サービスにリンクされたロールをインストールしない場合、Security Lake は引き続き機能しますが、Security Lake がアカウントのリソースをモニタリングおよび最適化できるように、このサービスにリンクされたロールを受け入れることを強くお勧めします。
**アクセス許可の詳細**
そのロールは、次のアクセス許可ポリシーで設定する必要があります。
+ `events` – プリンシパルがログソースとログサブスクライバーに必要な EventBridge ルールを管理できるようにします。
+ `lambda` – AWS プリンシパルがソース配信とクロスリージョンレプリケーション後に AWS Glue テーブルパーティションを更新するために使用される Lambda を管理できるようにします。
+ `glue` – プリンシパルが AWS Glue Data Catalog テーブルに対して特定の書き込みアクションを実行できるようにします。これにより、 AWS Glue クローラはデータ内のパーティションを識別でき、Security Lake は Apache Iceberg テーブルの Apache Iceberg メタデータを管理できます。
+ `s3` – プリンシパルが、ログデータと Glue テーブルメタデータを含む Security Lake バケットに対して特定の読み取りおよび書き込みアクションを実行できるようにします。
+ `logs` – Lambda 関数の出力を CloudWatch Logs に記録するための読み取りアクセスをプリンシパルに許可します。
+ `sqs` – プリンシパルが、データレイクでオブジェクトが追加または更新されたときにイベント通知を受け取る Amazon SQS キューに対して特定の読み取りおよび書き込みアクションを実行できるようにします。
+ `lakeformation` – プリンシパルが Lake Formation 設定を読み取って設定ミスをモニタリングできるようにします。
このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンスガイド*」の[SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html)」を参照してください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、*「IAM User Guide」*(IAM ユーザーガイド) の[「Service-linked role permissions」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)(サービスリンクロールのアクセス権限) を参照してください。
## Security Lake のサービスリンクロールの作成
Security Lake `AWSServiceRoleForSecurityLakeResourceManagement`のサービスにリンクされたロールは、Security Lake コンソールまたは を使用して作成できます AWS CLI。
サービスにリンクされたロールを作成するには、IAM ユーザーまたは IAM ロールに次のアクセス許可を付与する必要があります。IAM ロールは、Security Lake が有効なすべてのリージョンで Lake Formation 管理者である必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLakeFormationActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"lakeformation:GrantPermissions",
"lakeformation:ListPermissions",
"lakeformation:ListResources",
"lakeformation:RegisterResource",
"lakeformation:RevokePermissions"
],
"Resource": "*"
},
{
"Sid": "AllowIamActionsViaSecurityLakeConsole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": [
"arn:*:iam::*:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement",
"arn:*:iam::*:role/*AWSServiceRoleForLakeFormationDataAccess",
"arn:*:iam::aws:policy/service-role/AWSGlueServiceRole",
"arn:*:iam::aws:policy/service-role/AmazonSecurityLakeMetastoreManager",
"arn:*:iam::aws:policy/aws-service-role/SecurityLakeResourceManagementServiceRolePolicy"
],
"Condition": {
"StringLikeIfExists": {
"iam:AWSServiceName": [
"securitylake.amazonaws.com",
"resource-management.securitylake.amazonaws.com",
"lakeformation.amazonaws.com"
]
}
}
},
{
"Sid": "AllowGlueActionsViaConsole",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetTables"
],
"Resource": [
"arn:*:glue:*:*:catalog",
"arn:*:glue:*:*:database/amazon_security_lake_glue_db*",
"arn:*:glue:*:*:table/amazon_security_lake_glue_db*/*"
]
}
]
}
```
------
------
#### [ Console ]
1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) を開きます。
1. 概要ページの情報バーでサービスにリンクされたロール**を有効にするをクリックして、新しいサービスにリンクされたロール**を受け入れます。
サービスにリンクされたロールを有効にすると、Security Lake を将来使用するためにこのプロセスを繰り返す必要はありません。
------
#### [ CLI ]
`AWSServiceRoleForSecurityLakeResourceManagement` サービスにリンクされたロールをプログラムで作成するには、次の CLI コマンドを使用します。
```
$ aws iam create-service-linked-role
--aws-service-name resource-management.securitylake.amazonaws.com
```
を使用して`AWSServiceRoleForSecurityLakeResourceManagement`サービスにリンクされたロールを作成するときは AWS CLI、テーブルメタデータを管理し、データにアクセスするために、Security Lake Glue データベース上のすべてのテーブルに Lake Formation テーブルレベルのアクセス許可 (ALTER、DESCRIBE) も付与する必要があります。いずれかのリージョンの Glue テーブルが以前の Security Lake 有効化の S3 バケットを参照する場合は、サービスにリンクされたロールへの DATA\$1LOCATION\$1ACCESS アクセス許可を一時的に許可して、Security Lake がこの状況を修復できるようにする必要があります。
また、Lake Formation のアクセス許可をアカウントの`AWSServiceRoleForSecurityLakeResourceManagement`サービスにリンクされたロールに付与する必要があります。
次の例は、指定されたリージョンのサービスにリンクされたロールに Lake Formation のアクセス許可を付与する方法を示しています。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws lakeformation grant-permissions --region {region} --principal DataLakePrincipalIdentifier={AWSServiceRoleForSecurityLakeResourceManagement ARN} \
--permissions ALTER DESCRIBE --resource '{ "Table": { "DatabaseName": "amazon_security_lake_glue_db_{region}", "TableWildcard": {} } }'
```
次の例は、ロール ARN がどのように表示されるかを示しています。リージョンと一致するようにロール ARN を編集する必要があります。
`"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"`
[CreateServiceLinkedRole](https://docs.aws.amazon.com//IAM/latest/APIReference/API_CreateServiceLinkedRole.html) API コールを使用することもできます。リクエストで、 を `AWSServiceName`として指定します`resource-management.securitylake.amazonaws.com`。
------
`AWSServiceRoleForSecurityLakeResourceManagement` ロールを有効にした後、暗号化に AWS KMS カスタマーマネージドキー (CMK) を使用している場合は、サービスにリンクされたロールが CMK が存在するリージョンの S3 バケットに暗号化されたオブジェクトを AWS 書き込むことを許可する必要があります。 AWS KMS コンソールで、CMK が存在する AWS リージョンの KMS キーに次のポリシーを追加します。KMS キーポリシーを変更する方法の詳細については、 AWS Key Management Service デベロッパーガイドの「 [のキーポリシー AWS KMS](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html)」を参照してください。
```
{
"Sid": "Allow SLR",
"Effect": "Allow",
"Principal": {
"AWS": "arn:[partition]:iam::[accountid]:role/aws-service-role/resource-management.securitylake.amazonaws.com/AWSServiceRoleForSecurityLakeResourceManagement"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::[regional-datalake-s3-bucket-name]"
},
"StringLike": {
"kms:ViaService": "s3.[region].amazonaws.com"
}
}
},
```
## Security Lake 向けのサービスリンクロールの編集
Security Lake では、`AWSServiceRoleForSecurityLakeResourceManagement` サービスリンクロールの編集は許可されていません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」の「*サービスリンクロールの編集*」を参照してください。
## Security Lake 向けのサービスリンクロールの削除
サービスリンクロールを Security Lake から削除することはできません。代わりに、IAM コンソール、API、または からサービスにリンクされたロールを削除できます AWS CLI。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
サービスリンクロールを削除する前に、まずロールにアクティブなセッションがないことを確認し、`AWSServiceRoleForSecurityLakeResourceManagement` が使用しているリソースを削除する必要があります。
**注記**
リソースを削除しようとするときに Security Lake が `AWSServiceRoleForSecurityLakeResourceManagement` ロールを使用している場合、削除は失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。
`AWSServiceRoleForSecurityLakeResourceManagement`サービスリンクロールを削除したが、再作成する必要がある場合は、アカウントで Security Lake を有効にすることで、ロールを再作成することができます。Security Lake を再作成すると、Security Lake は、ユーザーのためにサービスリンクロールを再作成します。
## Security Lake サービスにリンクされたロール AWS リージョン でサポート
Security Lake は、Security Lake AWS リージョン が利用可能なすべての で`AWSServiceRoleForSecurityLakeResourceManagement`サービスにリンクされたロールの使用をサポートしています。Security Lake が現在利用可能なリージョンのリストについては、「[Security Lake のリージョンとエンドポイント](supported-regions.md)」を参照してください。