기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Security Lake에 대한 관리형 정책
<a name="security-iam-awsmanpol"></a>





 AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

 AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.

 AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.









## AWS 관리형 정책: AmazonSecurityLakeMetastoreManager
<a name="security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager"></a>

Amazon Security Lake는 AWS Lambda 함수를 사용하여 데이터 레이크의 메타데이터를 관리합니다. Security Lake는이 함수를 사용하여 데이터 및 데이터 파일이 포함된 Amazon Simple Storage Service(Amazon S3) 파티션을 AWS Glue 데이터 카탈로그 테이블로 인덱싱할 수 있습니다. 이 관리형 정책에는 Lambda 함수가 S3 파티션 및 데이터 파일을 AWS Glue 테이블로 인덱싱할 수 있는 모든 권한이 포함되어 있습니다.

** 권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `logs` - 보안 주체가 Lambda 함수의 출력을 Amazon CloudWatch Logs에 로깅하도록 허용합니다.
+ `glue` - 보안 주체가 AWS Glue 데이터 카탈로그 테이블에 대한 특정 쓰기 작업을 수행할 수 있도록 허용합니다. 또한 AWS Glue 크롤러가 데이터에서 파티션을 식별할 수 있습니다.
+ `sqs` - 보안 주체가 데이터 레이크에 객체가 추가되거나 업데이트될 때 이벤트 알림을 보내는 Amazon SQS 대기열에 대한 특정 읽기 및 쓰기 작업을 수행할 수 있도록 허용합니다.
+ `s3` - 보안 주체가 데이터가 포함된 Amazon S3 버킷에 대해 특정 읽기 및 쓰기 작업을 수행할 수 있도록 허용합니다.

이 정책의 권한을 검토하려면 *AWS 관리형 정책 참조 안내서*의 [AmazonSecurityLakeMetastoreManager](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeMetastoreManager.html)를 참조하세요.

## AWS 관리형 정책: AmazonSecurityLakePermissionsBoundary
<a name="security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary"></a>

Amazon Security Lake는 타사 사용자 지정 소스가 데이터 레이크에 데이터를 기록하고 타사 사용자 지정 구독자가 데이터 레이크의 데이터를 사용하도록 IAM 역할을 생성하고, 이러한 역할을 생성할 때 이 정책을 사용하여 권한의 경계를 정의합니다. 따라서 이 정책을 사용하기 위해 별도의 조치를 취할 필요가 없습니다. 데이터 레이크가 고객 관리형 AWS KMS 키로 암호화`kms:Decrypt`되고 `kms:GenerateDataKey` 권한이 추가되는 경우.

이 정책의 권한을 검토하려면 *AWS 관리형 정책 참조 안내서*의 [AmazonSecurityLakePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakePermissionsBoundary.html)를 참조하세요.

## AWS 관리형 정책: AmazonSecurityLakeAdministrator
<a name="security-iam-awsmanpol-AmazonSecurityLakeAdministrator"></a>

보안 주체가 계정에 대해 Amazon Security Lake를 활성화하기 전에 보안 주체에 `AmazonSecurityLakeAdministrator` 정책을 연결할 수 있습니다. 이 정책은 보안 주체에게 모든 Security Lake에 대한 전체 액세스를 허용하는 관리 권한을 부여합니다. 그러면 주체가 Security Lake에 온보딩한 다음 Security Lake에서 소스 및 구독자를 구성할 수 있습니다.

이 정책에는 Security Lake 관리자가 Security Lake를 통해 다른 AWS 서비스에서 수행할 수 있는 작업이 포함됩니다.

이 `AmazonSecurityLakeAdministrator` 정책은 Security Lake가 Amazon S3 리전 간 복제를 관리하거나,에 새 데이터 파티션을 등록하거나 AWS Glue, 사용자 지정 소스에 추가된 데이터에 대해 Glue 크롤러를 실행하거나, HTTPS 엔드포인트 구독자에게 새 데이터를 알리는 데 필요한 유틸리티 역할 생성을 지원하지 않습니다. [Amazon Security Lake 시작하기](getting-started.md)에 설명된 대로 이러한 역할을 미리 생성할 수 있습니다.

`AmazonSecurityLakeAdministrator` 관리형 정책 외에도 Security Lake에는 온보딩 및 구성 기능을 위한 `lakeformation:PutDataLakeSettings` 권한이 필요합니다. `PutDataLakeSettings`은 IAM 보안 주체를 계정의 모든 리전의 Lake Formation 리소스에 대한 관리자로 설정할 수 있습니다. 이 역할에는 `iam:CreateRole permission`뿐만 아니라 `AmazonSecurityLakeAdministrator` 정책도 첨부되어 있어야 합니다.

Lake Formation 관리자는 Lake Formation 콘솔에 대한 전체 액세스 권한을 가지며 초기 데이터 구성 및 액세스 권한을 제어할 수 있습니다. Security Lake는 Security Lake를 활성화하는 주체와 `AmazonSecurityLakeMetaStoreManager` 역할(또는 기타 지정된 역할)을 Lake Formation 관리자로 할당하여 이들이 테이블을 생성하고, 테이블 스키마를 업데이트하고, 새 파티션을 등록하고, 테이블에 대한 권한을 구성할 수 있도록 합니다. Security Lake 관리자 사용자 또는 역할에 대한 정책에 다음 권한을 포함해야 합니다.

**참고**  
Lake Formation 기반 구독자에게 액세스 권한을 부여할 수 있는 충분한 권한을 제공하기 위해 Security Lake는 다음 `glue:PutResourcePolicy` 권한을 추가할 것을 권장합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPutLakeFormationSettings",
      "Effect": "Allow",
      "Action": "lakeformation:PutDatalakeSettings",
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowGlueActions",
      "Effect": "Allow",
      "Action": ["glue:PutResourcePolicy", "glue:DeleteResourcePolicy"],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*"
      ],
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    }
  ]
}
```

------



**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.




+ `securitylake` - 보안 주체가 모든 Security Lake에 대한 모든 권한을 허용합니다.
+ `organizations` - 보안 주체가 조직에서 AWS 조직의 계정에 대한 정보를 검색할 수 있습니다. 계정이 조직에 속한 경우 이러한 권한을 통해 Security Lake 콘솔에 계정 이름과 계정 번호를 표시할 수 있습니다.
+ `iam` - 보안 주체가 Security Lake Amazon EventBridge, AWS Lake Formation및에 대한 서비스 연결 역할을 해당 서비스를 활성화할 때 필요한 단계로 생성할 수 있도록 허용합니다. 또한 구독자 및 사용자 지정 소스 역할에 대한 정책을 만들고 편집할 수 있으며, 이러한 역할의 권한은 `AmazonSecurityLakePermissionsBoundary` 정책에서 허용하는 한도로 제한됩니다.
+ `ram` - 보안 주체가 Security Lake 소스 구독자의 Lake Formation기반 쿼리 액세스를 구성할 수 있습니다.
+ `s3` - 보안 주체가 Security Lake 버킷을 생성 및 관리하고 해당 버킷의 내용을 읽을 수 있습니다.
+ `lambda` - 보안 주체가 AWS 소스 전송 및 리전 간 복제 후 테이블 파티션을 업데이트 AWS Glue 하는 데 Lambda 사용되는를 관리할 수 있도록 허용합니다.
+ `glue`— 보안 주체가 Security Lake에 사용되는 데이터베이스 및 테이블을 생성 및 관리할 수 있습니다.
+ `lakeformation` - 보안 주체가 Security Lake 테이블에 대한 Lake Formation 권한을 관리할 수 있도록 허용합니다.
+ `events`— 보안 주체가 Security Lake 소스의 새 데이터를 구독자에게 알리는 데 사용되는 규칙을 관리할 수 있습니다.
+ `sqs` - 보안 주체가 Security Lake 소스의 새 데이터를 구독자에게 알리는 데 사용되는 Amazon SQS 대기열을 생성하고 관리할 수 있습니다.
+ `kms`— 보안 주체가 고객 관리 키를 사용하여 데이터를 기록할 수 있는 액세스 권한을 Security Lake에 부여할 수 있습니다.
+ `secretsmanager` - 보안 주체가 HTTPS 엔드포인트를 통해 Security Lake 소스의 새 데이터를 구독자에게 알리는 데 사용되는 암호를 관리할 수 있습니다.



이 정책의 권한을 검토하려면 *AWS 관리형 정책 참조 안내서*의 [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html)를 참조하세요.

## AWS 관리형 정책: SecurityLakeServiceLinkedRole
<a name="security-iam-awsmanpol-SecurityLakeServiceLinkedRole"></a>

Security Lake는 라는 서비스 연결 역할을 `AWSServiceRoleForSecurityLake` 사용하여 보안 데이터 레이크를 생성하고 운영합니다.

`SecurityLakeServiceLinkedRole` 관리형 IAM 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Security Lake에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 [Security Lake에 대한 서비스 연결 역할 권한을](https://docs.aws.amazon.com//security-lake/latest/userguide/slr-permissions.html) 참조하세요.

## AWS 관리형 정책: SecurityLakeResourceManagementServiceRolePolicy
<a name="security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement"></a>

Security Lake는 라는 서비스 연결 역할을 사용하여 지속적인 모니터링 및 성능 개선을 `AWSServiceRoleForSecurityLakeResourceManagement` 수행하여 지연 시간과 비용을 줄일 수 있습니다. Security Lake에서 생성한 리소스를 관리할 수 있는 액세스 권한을 제공합니다. Security Lake에 SecurityLake\$1Glue\$1Partition\$1Updater\$1Lambda를 삭제할 수 있는 권한을 부여합니다. 이 Lambda는 Iceberg 마이그레이션을 수행하고 v2 소스로 이동한 고객에게는 더 이상 사용되지 않습니다. 이 Lambda는 12월에 더 이상 사용되지 않는 Python 3.9 런타임을 사용하고 있었습니다. 이러한 고객의 경우이 lambda의 런타임을 업데이트하는 대신 삭제하는 것이 좋습니다. 고객에게 여전히 Lambda가 필요한지 여부를 확인하고 필요하지 않은 경우 삭제하는 복구 프로세스가 있습니다. 이 SLR 업데이트는 해당 Lambda를 삭제하도록 허용하기 위해 필요합니다.

`SecurityLakeResourceManagementServiceRolePolicy` 관리형 IAM 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Security Lake에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 [리소스 관리를 위한 서비스 연결 역할 권한을](https://docs.aws.amazon.com//security-lake/latest/userguide/AWSServiceRoleForSecurityLakeResourceManagement.html) 참조하세요.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `events` - 보안 주체가 Security Lake 이벤트 처리를 위한 EventBridge 규칙을 나열하고 관리할 수 있도록 허용합니다.
+ `lambda` - 보안 주체가 더 이상 사용되지 않는 파티션 업데이터 함수를 삭제하는 기능을 포함하여 Security Lake 메타데이터 처리를 위한 Lambda 함수 및 구성을 관리할 수 있도록 허용합니다.
+ `glue` - 보안 주체가 Security Lake 메타데이터 관리를 위한 AWS Glue 데이터 카탈로그에서 파티션을 생성하고, 테이블을 관리하고, 데이터베이스에 액세스할 수 있도록 허용합니다.
+ `s3` - 보안 주체가 Security Lake 데이터 레이크 작업을 위해 Amazon S3 버킷 구성, 수명 주기 정책 및 메타데이터 객체를 관리할 수 있도록 허용합니다.
+ `logs` - 보안 주체가 Security Lake Lambda 함수에 대한 CloudWatch Logs 스트림 및 쿼리 로그 데이터에 액세스할 수 있도록 허용합니다.
+ `sqs` - 보안 주체가 Security Lake 데이터 처리 워크플로에 대한 Amazon SQS 대기열 및 메시지를 관리할 수 있도록 허용합니다.
+ `lakeformation` - 보안 주체가 Security Lake 리소스 관리에 대한 데이터 레이크 설정 및 권한을 검색할 수 있도록 허용합니다.

최신 버전의 JSON 정책 문서를 포함하여 정책에 대한 자세한 내용은 *AWS 관리형 정책 참조 안내서*의 [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html)를 참조하세요.

## AWS 관리형 정책: AWS GlueServiceRole
<a name="security-iam-awsmanpol-AWSGlueServiceRole"></a>

`AWS GlueServiceRole` 관리형 정책은 AWS Glue 크롤러를 호출하고가 사용자 지정 소스 데이터를 크롤링하고 파티션 메타데이터를 식별 AWS Glue 하도록 허용합니다. 이 메타데이터는 Data Catalog에 테이블을 생성 및 업데이트하는 데 필요합니다.

자세한 내용은 [Security Lake의 사용자 지정 소스에서 데이터 수집](custom-sources.md) 단원을 참조하십시오.





## AWS 관리형 정책에 대한 Security Lake 업데이트
<a name="security-iam-awsmanpol-updates"></a>



이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Security Lake의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 Security Lake 문서 기록 페이지에서 RSS 피드를 구독하세요.




| 변경 | 설명 | Date | 
| --- | --- | --- | 
|  [SecurityLakeResourceManagementServiceRolePolicy](#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement) - 기존 정책 업데이트  |  Security Lake는 더 이상 사용되지 않는 SecurityLake\$1Glue\$1Partition\$1Updater\$1Lambda 함수에 대한 `lambda:DeleteFunction` 권한을 추가`SecurityLakeResourceManagementServiceRolePolicy`하도록 관리형 정책을 업데이트했습니다. 이를 통해 Security Lake는 v2 소스 및 Iceberg 형식으로 마이그레이션하는 과정에서 더 이상 사용되지 않는 Lambda 함수를 정리할 수 있습니다.  |  2025년 11월 18일  | 
|  [AWSServiceRoleForSecurityLakeResourceManagement](AWSServiceRoleForSecurityLakeResourceManagement.md) - 기존 정책 업데이트  |  이 정책은 `lambda:FunctionArn` `aws:ResourceAccount` 조건 블록에서에 대한 ARN 유형 키를 평가하기 위해 `StringLike` 연산자를 `ArnLike` 연산자로 대체하도록 업데이트되었습니다. 보다 안전한 방식으로 집행할 수 있습니다.  |  2025년 9월 25일  | 
|  [Amazon Security Lake의 서비스 연결 역할](AWSServiceRoleForSecurityLakeResourceManagement.md) - 새 서비스 연결 역할  |  새 서비스 연결 역할을 추가했습니다`AWSServiceRoleForSecurityLakeResourceManagement`. 이 서비스 연결 역할은 Security Lake에 지속적인 모니터링 및 성능 개선을 수행할 수 있는 권한을 제공하여 지연 시간과 비용을 줄일 수 있습니다.  |  2024년 11월 14일  | 
|  [Amazon Security Lake의 서비스 연결 역할](using-service-linked-roles.md) - 기존 서비스 연결 역할 권한 업데이트  |  `SecurityLakeServiceLinkedRole` 정책의 AWS 관리형 정책에 AWS WAF 작업을 추가했습니다. 추가 작업을 통해 Security Lake에서 AWS WAF 로그 소스로 활성화되면 Security Lake가 로그를 수집할 수 있습니다.  |  2024년 5월 22일  | 
| [AmazonSecurityLakePermissionsBoundary](#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary) - 기존 정책 업데이트 |  Security Lake는 정책에 SID 작업을 추가했습니다.  |  2024년 5월 13일  | 
|  [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) - 기존 정책 업데이트  |  Security Lake는 데이터 레이크에서 메타데이터를 삭제할 수 있는 메타데이터 정리 작업을 추가하도록 정책을 업데이트했습니다.  |  2024년 3월 27일  | 
|  [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) - 기존 정책 업데이트  |  Security Lake는 새 `AmazonSecurityLakeMetastoreManagerV2` 역할에 `iam:PassRole` 대해를 허용하도록 정책을 업데이트하고 Security Lake가 데이터 레이크 구성 요소를 배포하거나 업데이트할 수 있도록 했습니다.  |  2024년 2월 23일  | 
|  [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager) - 새 정책  |  Security Lake는 Security Lake에 데이터 레이크의 메타데이터를 관리할 수 있는 권한을 부여하는 새로운 관리형 정책을 추가했습니다.  |  2024년 1월 23일  | 
|  [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) - 새 정책  |  Security Lake는 보안 주체에게 모든 Security Lake 작업에 대한 전체 액세스 권한을 부여하는 새로운 관리형 정책을 추가했습니다.  |  2023년 5월 30일  | 
|  Security Lake에 변경 내용 추적  |  Security Lake가 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.  | 2022년 11월 29일 |