本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 安全湖的托管策略
<a name="security-iam-awsmanpol"></a>





 AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。









## AWS 托管策略： AmazonSecurityLakeMetastoreManager
<a name="security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager"></a>

Amazon Security Lake 使用一项 AWS Lambda 功能来管理您的数据湖中的元数据。通过使用此功能，Security Lake 可以将包含您的数据和数据文件的亚马逊简单存储服务 (Amazon S3) Service 分区索引到数据目录 AWS Glue 表中。此托管策略包含 Lambda 函数将 S3 分区和数据文件索引到表中的 AWS Glue 所有权限。

**权限详细信息**

该策略包含以下权限：
+ `logs`— 允许委托人将 Lambda 函数的输出记录到 Amazon CloudWatch 日志。
+ `glue`— 允许委托人对 AWS Glue 数据目录表执行特定的写入操作。这也允许 AWS Glue 抓取工具识别您的数据中的分区。
+ `sqs`— 允许委托人对在数据湖中添加或更新对象时发送事件通知的 Amazon SQS 队列执行特定的读写操作。
+ `s3`— 允许委托人对包含您的数据的 Amazon S3 存储桶执行特定的读取和写入操作。

要查看此策略的权限，请参阅《AWS 托管式策略参考》**中的 [AmazonSecurityLakeMetastoreManager](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeMetastoreManager.html)。

## AWS 托管策略： AmazonSecurityLakePermissionsBoundary
<a name="security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary"></a>

Amazon Security Lake 会为第三方自定义源创建 IAM 角色以将数据写入数据湖，为第三方自定义订阅用户创建 IAM 角色以使用数据湖中的数据，并在创建这些角色时使用此策略来定义其权限边界。您无需执行任何操作即可使用此策略。如果使用客户管理的 AWS KMS 密钥对数据湖进行加密`kms:Decrypt`，则添加了`kms:GenerateDataKey`权限。

要查看此策略的权限，请参阅《AWS 托管式策略参考》**中的 [AmazonSecurityLakePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakePermissionsBoundary.html)。

## AWS 托管策略： AmazonSecurityLakeAdministrator
<a name="security-iam-awsmanpol-AmazonSecurityLakeAdministrator"></a>

您可以在某个主体为其账户启用 Amazon Security Lake 之前为该主体附加 `AmazonSecurityLakeAdministrator` 策略。此策略授予管理权限，允许主体拥有对所有 Security Lake 操作的完全访问权限。之后，该主体便可注册到 Security Lake 中，并在 Security Lake 中配置来源和订阅用户。

该策略包括 Security Lake 管理员可通过 Security Lake 对其他 AWS 服务执行的操作。

该`AmazonSecurityLakeAdministrator`政策不支持创建 Security Lake 所需的实用程序角色来管理 Amazon S3 跨区域复制、在中注册新的数据分区 AWS Glue、对添加到自定义源的数据运行 Glue 爬虫或通知 HTTPS 终端节点订阅者新数据。您可以按照 [Amazon Security Lake 入门](getting-started.md)中的说明提前创建这些角色。

除 `AmazonSecurityLakeAdministrator` 托管式策略外，Security Lake 还需要 `lakeformation:PutDataLakeSettings` 权限来执行注册和配置功能。`PutDataLakeSettings` 允许将某个 IAM 主体设置为账户中所有区域 Lake Formation 资源的管理员。该角色必须同时附加有 `iam:CreateRole permission` 权限和 `AmazonSecurityLakeAdministrator` 策略。

Lake Formation 管理员拥有对 Lake Formation 控制台的完全访问权限，并且可以控制初始数据配置和访问权限。Security Lake 会将启用 Security Lake 的主体和 `AmazonSecurityLakeMetaStoreManager` 角色（或其他指定角色）指定为 Lake Formation 管理员，以便他们可以创建表、更新表架构、注册新分区以及配置表的权限。您必须在 Security Lake 管理员用户或角色的策略中包含以下权限：

**注意**  
为了提供足够的权限来授予基于 Lake Formation 的订阅者访问权限，Security Lake 建议添加以下`glue:PutResourcePolicy`权限。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPutLakeFormationSettings",
      "Effect": "Allow",
      "Action": "lakeformation:PutDatalakeSettings",
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowGlueActions",
      "Effect": "Allow",
      "Action": ["glue:PutResourcePolicy", "glue:DeleteResourcePolicy"],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*"
      ],
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "securitylake.amazonaws.com"
        }
      }
    }
  ]
}
```

------



**权限详细信息**

该策略包含以下权限。




+ `securitylake` – 允许主体对所有 Security Lake 操作拥有完全访问权限。
+ `organizations` – 允许主体通过 AWS Organizations 检索有关组织中的账户的信息。如果账户属于某个组织，则这些权限允许 Security Lake 控制台显示账户名称和账号。
+ `iam`— 允许委托人在 Security Lake、 AWS Lake Formation、和中创建服务相关角色 Amazon EventBridge，这是启用这些服务时的必需步骤。同时，还允许为订阅用户和自定义来源角色创建和编辑策略，这些角色中的权限仅限于 `AmazonSecurityLakePermissionsBoundary` 策略允许的权限。
+ `ram`— 允许委托人配置订阅者对 Security Lake 源的 Lake Formation基于查询的访问权限。
+ `s3`– 允许主体创建和管理 Security Lake 桶并读取这些桶的内容。
+ `lambda`— 允许委托人管理 Lambda 用于在 AWS 源数据传输和跨区域复制之后更新 AWS Glue 表分区。
+ `glue` – 允许主体创建和管理 Security Lake 数据库和表。
+ `lakeformation`— 允许委托人管理 Security Lake 表的 Lake Formation 权限。
+ `events` – 允许主体管理用于在新数据写入 Security Lake 来源时通知订阅用户的规则。
+ `sqs`— 允许委托人创建和管理 Amazon SQS 队列，用于向订阅者通知 Security Lake 源中的新数据。
+ `kms` – 允许主体向 Security Lake 授予使用客户托管密钥写入数据的访问权限。
+ `secretsmanager` – 允许主体管理用于在新数据通过 HTTPS 端点写入 Security Lake 来源时通知订阅用户的密钥。



要查看此策略的权限，请参阅《AWS 托管式策略参考》**中的 [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html)。

## AWS 托管策略： SecurityLakeServiceLinkedRole
<a name="security-iam-awsmanpol-SecurityLakeServiceLinkedRole"></a>

Security Lake 使用名为`AWSServiceRoleForSecurityLake`的服务相关角色来创建和操作安全数据湖。

您不能将 `SecurityLakeServiceLinkedRole` 托管式策略附加到您的 IAM 实体。此策略附加到服务相关角色，允许 Security Lake 代表您执行操作。有关更多信息，请参阅 [Security Lake 的服务相关角色权限](https://docs.aws.amazon.com//security-lake/latest/userguide/slr-permissions.html)。

## AWS 托管策略： SecurityLakeResourceManagementServiceRolePolicy
<a name="security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement"></a>

Security Lake 使用名为的服务关联角色`AWSServiceRoleForSecurityLakeResourceManagement`来执行持续监控和性能改进，从而减少延迟和成本。提供管理由 Security Lake 创建的资源的权限。让 Security Lake 能够删除 SecurityLake \$1Glue\$1Partition\$1Updater\$1Lambda。对于已执行冰山迁移并转向 v2 源代码的客户，此 lambda 已被弃用。这个 lambda 使用的是 Python 3.9 运行时，该运行时将于 12 月被弃用。与其为这些客户更新此 lambda 的运行时，不如将其删除。我们有一个恢复流程，可以确定客户是否还需要 lambda，如果他们不需要，则将其删除。为了允许我们删除那个 lambda，需要进行这个 SLR 更新。

您不能将 `SecurityLakeResourceManagementServiceRolePolicy` 托管式策略附加到您的 IAM 实体。此策略附加到服务相关角色，允许 Security Lake 代表您执行操作。有关更多信息，请参阅[资源管理的服务关联角色权限](https://docs.aws.amazon.com//security-lake/latest/userguide/AWSServiceRoleForSecurityLakeResourceManagement.html)。

**权限详细信息**

该策略包含以下权限。
+ `events`— 允许委托人列出和管理 Security Lake 事件处理 EventBridge 规则。
+ `lambda`— 允许委托人管理 Security Lake 元数据处理的 Lambda 函数和配置，包括能够删除已弃用的分区更新程序函数。
+ `glue`— 允许委托人在 Security Lake 元数据管理 AWS Glue 的数据目录中创建分区、管理表和访问数据库。
+ `s3`— 允许委托人管理安全湖数据湖操作的 Amazon S3 存储桶配置、生命周期策略和元数据对象。
+ `logs`— 允许委托人访问 CloudWatch 日志流并查询 Security Lake Lambda 函数的日志数据。
+ `sqs`— 允许委托人管理 Security Lake 数据处理工作流程的 Amazon SQS 队列和消息。
+ `lakeformation`— 允许委托人检索数据湖设置和 Security Lake 资源管理权限。

要查看有关策略（包括 JSON 策略文档的最新版本）的更多信息，请参阅《AWS 托管式策略参考指南》**中的 [SecurityLakeResourceManagementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeResourceManagementServiceRolePolicy.html)。

## AWS 托管策略： AWS GlueServiceRole
<a name="security-iam-awsmanpol-AWSGlueServiceRole"></a>

`AWS GlueServiceRole`托管策略调用 AWS Glue 爬虫并允许 AWS Glue 抓取自定义源数据和识别分区元数据。在数据目录中创建和更新表需要这些元数据。

有关更多信息，请参阅 [从 Security Lake 中的自定义来源收集数据](custom-sources.md)。





## 安全湖对 AWS 托管策略的更新
<a name="security-iam-awsmanpol-updates"></a>



查看自该服务开始跟踪这些更改以来 Security Lake AWS 托管策略更新的详细信息。有关此页面更改的自动提示，请订阅“Security Lake 文档”历史记录页面上的 RSS 源。




| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [SecurityLakeResourceManagementServiceRolePolicy](#security-iam-awsmanpol-SecurityLakeServiceLinkedRole-ResourceManagement)— 更新了现有政策  |  Security Lake 更新了托管策略`SecurityLakeResourceManagementServiceRolePolicy`，为已弃用的 SecurityLake \$1Glue\$1Partition\$1Updater\$1Lambda 函数添加了`lambda:DeleteFunction`权限。这允许 Security Lake 在迁移到 v2 源代码和冰山格式的过程中清理已弃用的 Lambda 函数。  |  2025 年 11 月 18 日  | 
|  [AWSServiceRoleForSecurityLakeResourceManagement](AWSServiceRoleForSecurityLakeResourceManagement.md)— 更新了现有政策  |  此政策已更新，将`StringLike`运算符替换为`ArnLike`运算符，以评估`aws:ResourceAccount`条件块`lambda:FunctionArn`中的 ARN 类型密钥。这可确保策略执行更加安全。  |  2025 年 9 月 25 日  | 
|  [Amazon Security Lake 的服务相关角色](AWSServiceRoleForSecurityLakeResourceManagement.md) — 新的服务相关角色  |  我们添加了一个新的服务相关角色`AWSServiceRoleForSecurityLakeResourceManagement`。此服务相关角色向 Security Lake 提供执行持续监控和性能改进的权限，从而减少延迟和成本。  |  2024 年 11 月 14 日  | 
|  [Amazon Security Lake 的服务相关角色](using-service-linked-roles.md) — 更新现有服务相关角色权限  |  我们在该策略的 AWS 托管策略中添加了 AWS WAF `SecurityLakeServiceLinkedRole`操作。在 Security Lake 中启用为 AWS WAF 日志源时，其他操作允许 Security Lake 收集日志。  |  2024 年 5 月 22 日  | 
| [AmazonSecurityLakePermissionsBoundary](#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary)：对现有策略的更新 |  Security Lake 在策略中添加了 SID 操作。  |  2024 年 5 月 13 日  | 
|  [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager)：对现有策略的更新  |  Security Lake 更新了政策，添加了元数据清理操作，允许您删除数据湖中的元数据。  |  2024 年 3 月 27 日  | 
|  [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator)：对现有策略的更新  |  Security Lake 更新了政策，允许使用`iam:PassRole`新`AmazonSecurityLakeMetastoreManagerV2`角色，并允许 Security Lake 部署或更新数据湖组件。  |  2024 年 2 月 23 日  | 
|  [AmazonSecurityLakeMetastoreManager](#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager)：新策略  |  Security Lake 添加了一个新的托管策略，该策略向 Security Lake 授予管理数据湖中元数据的权限。  |  2024 年 1 月 23 日  | 
|  [AmazonSecurityLakeAdministrator](#security-iam-awsmanpol-AmazonSecurityLakeAdministrator)：新策略  |  Security Lake 添加了一项新的托管策略，允许委托人完全访问所有 Security Lake 操作。  |  2023 年 5 月 30 日  | 
|  Security Lake 开始跟踪更改  |  Security Lake 开始跟踪其 AWS 托管策略的更改。  | 2022 年 11 月 29 日 |