As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Permissões de função vinculada ao serviço (SLR) para Security Lake
<a name="slr-permissions"></a>

O Security Lake usa a função vinculada a serviços chamada `AWSServiceRoleForSecurityLake`. Essa função vinculada a serviços confia no serviço `securitylake.amazonaws.com` para assumir a função. Para obter mais informações sobre políticas AWS gerenciadas para o Amazon Security Lake, consulte [AWS Gerenciar políticas para o Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html).

A política de permissões para a função, que é uma política AWS gerenciada chamada`SecurityLakeServiceLinkedRole`, permite que o Security Lake crie e opere o data lake de segurança. Também permite que o Security Lake execute tarefas como as seguintes nos recursos especificados:
+ Use AWS Organizations ações para recuperar informações sobre contas associadas
+ Usar o Amazon Elastic Compute Cloud (Amazon EC2) para recuperar informações sobre logs de fluxo do Amazon VPC
+ Use AWS CloudTrail ações para recuperar informações sobre a função vinculada ao serviço
+ Use AWS WAF ações para coletar AWS WAF registros, quando ativada como fonte de log no Security Lake
+ Use a `LogDelivery` ação para criar ou excluir uma assinatura de entrega de AWS WAF registros.

Para verificar as permissões para esta política, consulte [SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html) no *Guia de referência de políticas gerenciadas pela AWS *.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Como criar uma função vinculada a serviços do Security Lake
<a name="create-slr"></a>

Você não precisa criar manualmente o perfil vinculado à serviços `AWSServiceRoleForSecurityLake` para o Security Lake. Quando você ativa o Security Lake para você Conta da AWS, o Security Lake cria automaticamente a função vinculada ao serviço para você.

## Como editar uma função vinculada a serviços do Security Lake
<a name="edit-slr"></a>

O Security Lake não permite que você edite a função vinculada a serviços `AWSServiceRoleForSecurityLake`. Após a criação da função vinculada a serviços, você não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Como excluir uma função vinculada a serviços do Security Lake
<a name="delete-slr"></a>

Não é possível excluir a função vinculada a serviços do Security Lake. Em vez disso, você pode excluir a função vinculada ao serviço do console do IAM, da API ou. AWS CLI Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

Antes de excluir a função vinculada a serviços, é necessário confirmar que a função não possui sessões ativas e remover quaisquer recursos que estejam sendo utilizados por `AWSServiceRoleForSecurityLake`.

**nota**  
Se o serviço Security Lake estiver usando a função `AWSServiceRoleForSecurityLake` quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente fazer a operação novamente.

Se excluir a função vinculada a serviços `AWSServiceRoleForSecurityLake` e precisar criá-la novamente, você poderá criá-la novamente ativando o Security Lake em sua conta. Quando você ativa o Security Lake novamente, o Security Lake cria automaticamente uma função vinculada a serviços para você mais uma vez.

## Compatível com Regiões da AWS a função vinculada ao serviço Security Lake
<a name="slr-regions"></a>

O Security Lake suporta o uso da função `AWSServiceRoleForSecurityLake` vinculada ao serviço em todos os locais em Regiões da AWS que o Security Lake está disponível. Para ver uma lista das Regiões em que o Security Lake está disponível atualmente, consulte [Regiões e endpoints do Security Lake](supported-regions.md).