本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Security Lake 的服务关联角色 (SLR) 权限
<a name="slr-permissions"></a>

Security Lake 使用名为 `AWSServiceRoleForSecurityLake` 的服务相关角色。该服务相关角色信任 `securitylake.amazonaws.com` 服务担任该角色。有关 Amazon Security Lake AWS 托管[策略的更多信息，请参阅AWS 管理亚马逊安全湖的](https://docs.aws.amazon.com//security-lake/latest/userguide/security-iam-awsmanpol.html)策略。

该角色的权限策略是一个名为的 AWS 托管策略`SecurityLakeServiceLinkedRole`，允许 Security Lake 创建和操作安全数据湖。该策略还允许 Security Lake 对指定资源执行以下操作：
+ 使用 AWS Organizations 操作检索关联账户的相关信息
+ 使用 Amazon Elastic Compute Cloud (Amazon EC2) 检索有关 Amazon VPC 流日志的信息
+ 使用 AWS CloudTrail 操作检索有关服务相关角色的信息
+ 在 Security AWS WAF Lake 中启用日志作为日志源后，使用 AWS WAF 操作收集日志
+ 使用`LogDelivery`操作创建或删除 AWS WAF 日志传输订阅。

要查看此策略的权限，请参阅《AWS 托管式策略参考》**中的 [SecurityLakeServiceLinkedRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityLakeServiceLinkedRole.html)。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。有关更多信息，请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 创建 Security Lake 服务相关角色
<a name="create-slr"></a>

您不需要为 Security Lake 手动创建 `AWSServiceRoleForSecurityLake` 服务相关角色。当您为自己启用 Security Lake 时 AWS 账户，Security Lake 会自动为您创建服务相关角色。

## 创建 Security Lake 服务相关角色
<a name="edit-slr"></a>

Security Lake 不允许您编辑 `AWSServiceRoleForSecurityLake` 服务相关角色。在创建服务相关角色后，您无法更改角色的名称，因为可能有多个实体会引用该角色。不过，您可以使用 IAM 编辑角色的说明。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除 Security Lake 服务相关角色
<a name="delete-slr"></a>

您无法从 Security Lake 中删除服务相关角色。相反，您可以从 IAM 控制台、API 或 AWS CLI中删除服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

您必须先确认服务相关角色没有活动会话并删除 `AWSServiceRoleForSecurityLake` 使用的任何资源，然后才能删除服务相关角色。

**注意**  
在您尝试删除资源时，如果 Security Lake 正在使用 `AWSServiceRoleForSecurityLake` 角色，删除可能会失败。如果发生这种情况，请等待几分钟，然后再次尝试操作。

如果您在删除 `AWSServiceRoleForSecurityLake` 服务相关角色后需要再次创建该角色，可以通过为账户启用 Security Lake 来再次创建角色。当您再次启用 Security Lake 时，Security Lake 会再次自动为您创建服务相关角色。

## 支持 AWS 区域 Security Lake 服务关联角色
<a name="slr-regions"></a>

Security Lake 支持在所有可用 Security Lake AWS 区域 的地方使用`AWSServiceRoleForSecurityLake`服务相关角色。有关提供 Security Lake 的区域的列表，请参阅 [安全湖区域和终端节点](supported-regions.md)。