Konfiguration von Rollup-Regionen in Security Lake - Amazon Security Lake
IAMRolle für die DatenreplikationIAMRolle zur Registrierung von AWS Glue PartitionenRollup-Regionen hinzufügenRollup-Regionen aktualisieren oder entfernen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von Rollup-Regionen in Security Lake

Eine Rollup-Region konsolidiert Daten aus einer oder mehreren beitragenden Regionen. Die Angabe einer Rollup-Region kann Ihnen dabei helfen, die regionalen Compliance-Anforderungen zu erfüllen.

Wichtig

Wenn Sie eine benutzerdefinierte Quelle erstellt haben, empfiehlt Security Lake, die unter Bewährte Methoden für die Aufnahme benutzerdefinierter Quellen beschriebenen bewährten Methoden zu befolgen, um sicherzustellen, dass benutzerdefinierte Quelldaten ordnungsgemäß auf das Ziel repliziert werden. Die Replikation kann nicht für Daten durchgeführt werden, die nicht dem Datenpfadformat der S3-Partition entsprechen, wie auf der Seite beschrieben.

Bevor Sie eine Rollup-Region hinzufügen, müssen Sie zunächst zwei verschiedene Rollen in AWS Identity and Access Management () IAM erstellen:

Anmerkung

Security Lake erstellt diese IAM Rollen oder verwendet vorhandene Rollen in Ihrem Namen, wenn Sie die Security Lake-Konsole verwenden. Sie müssen diese Rollen jedoch erstellen, wenn Sie den Security Lake API oder verwenden AWS CLI.

IAMRolle für die Datenreplikation

Diese IAM Rolle erteilt Amazon S3 die Erlaubnis, Quellprotokolle und Ereignisse in mehreren Regionen zu replizieren.

Um diese Berechtigungen zu gewähren, erstellen Sie eine IAM Rolle, die mit dem Präfix beginntSecurityLake, und fügen Sie der Rolle die folgende Beispielrichtlinie hinzu. Sie benötigen den Amazon-Ressourcennamen (ARN) der Rolle, wenn Sie eine Rollup-Region in Security Lake erstellen. In dieser Richtlinie sourceRegions handelt es sich um beitragende Regionen und um destinationRegions Rollup-Regionen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadS3ReplicationSetting",
      "Action": [
        "s3:ListBucket",
        "s3:GetReplicationConfiguration",
        "s3:GetObjectVersionForReplication",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectRetention",
        "s3:GetObjectLegalHold"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    },
    {
      "Sid": "AllowS3Replication",
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete",
        "s3:ReplicateTags",
        "s3:GetObjectVersionTagging"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    }
  ]
}

Fügen Sie Ihrer Rolle die folgende Vertrauensrichtlinie hinzu, damit Amazon S3 die Rolle übernehmen kann:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Wenn Sie einen vom Kunden verwalteten Schlüssel von AWS Key Management Service (AWS KMS) verwenden, um Ihren Security Lake Data Lake zu verschlüsseln, müssen Sie zusätzlich zu den Berechtigungen in der Datenreplikationsrichtlinie die folgenden Berechtigungen gewähren.

{
    "Action": [
        "kms:Decrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "s3.{sourceRegion1}.amazonaws.com",
                "s3.{sourceRegion2}.amazonaws.com"
                ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
            ]
        }
    },
    "Resource": [
        "{sourceRegion1KmsKeyArn}",
        "{sourceRegion2KmsKeyArn}"
    ]
},
{
    "Action": [
        "kms:Encrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
            "s3.{destinationRegion1}.amazonaws.com",
            ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
            ]
        }
    },
    "Resource": [
            "{destinationRegionKmsKeyArn}"
    ]
}

Weitere Informationen zu Replikationsrollen finden Sie unter Berechtigungen einrichten im Amazon Simple Storage Service-Benutzerhandbuch.

IAMRolle zur Registrierung von AWS Glue Partitionen

Diese IAM Rolle gewährt Berechtigungen für eine AWS Lambda Partitionsaktualisierungsfunktion, die von Security Lake verwendet wird, um AWS Glue Partitionen für die S3-Objekte zu registrieren, die aus anderen Regionen repliziert wurden. Ohne diese Rolle zu erstellen, können Abonnenten keine Ereignisse von diesen Objekten abfragen.

Um diese Berechtigungen zu gewähren, erstellen Sie eine Rolle mit dem Namen AmazonSecurityLakeMetaStoreManager (möglicherweise haben Sie diese Rolle bereits beim Onboarding in Security Lake erstellt). Weitere Informationen zu dieser Rolle, einschließlich einer Beispielrichtlinie, finden Sie unterSchritt 1: Rollen erstellen IAM.

In der Lake Formation Formation-Konsole müssen Sie auch AmazonSecurityLakeMetaStoreManager Berechtigungen als Data Lake-Administrator gewähren, indem Sie die folgenden Schritte ausführen:

  1. Öffnen Sie die Lake Formation Formation-Konsole unter https://console.aws.amazon.com/lakeformation/.

  2. Melden Sie sich als Administratorbenutzer an.

  3. Wenn das Fenster Willkommen bei Lake Formation angezeigt wird, wählen Sie den Benutzer aus, den Sie in Schritt 1 erstellt oder ausgewählt haben, und wählen Sie dann Erste Schritte aus.

  4. Wenn das Fenster Willkommen bei Lake Formation nicht angezeigt wird, führen Sie die folgenden Schritte aus, um einen Lake Formation-Administrator zu konfigurieren.

    1. Wählen Sie im Navigationsbereich unter Berechtigungen die Option Administrative Rollen und Aufgaben aus. Wählen Sie auf der Konsolenseite im Abschnitt Data Lake-Administratoren die Option Administratoren auswählen aus.

    2. Wählen Sie im Dialogfeld Data Lake-Administratoren verwalten für IAM Benutzer und Rollen die AmazonSecurityLakeMetaStoreManagerIAMRolle aus, die Sie erstellt haben, und klicken Sie dann auf Speichern.

Weitere Informationen zum Ändern der Berechtigungen für Data Lake-Administratoren finden Sie unter Erstellen eines Data Lake-Administrators im AWS Lake Formation Entwicklerhandbuch.

Rollup-Regionen hinzufügen

Wählen Sie Ihre bevorzugte Zugriffsmethode und folgen Sie diesen Schritten, um eine Rollup-Region hinzuzufügen.

Anmerkung

Eine Region kann Daten zu mehreren Rollup-Regionen beitragen. Eine Rollup-Region kann jedoch keine beitragende Region für eine andere Rollup-Region sein.

Console

  1. Öffnen Sie die Security Lake-Konsole unter. https://console.aws.amazon.com/securitylake/

  2. Wählen Sie im Navigationsbereich unter Einstellungen die Option Rollup Regions aus.

  3. Wählen Sie Ändern und dann Rollup-Region hinzufügen aus.

  4. Geben Sie die Rollup-Region und die beteiligten Regionen an. Wiederholen Sie diesen Schritt, wenn Sie mehrere Rollup-Regionen hinzufügen möchten.

  5. Wenn Sie zum ersten Mal eine Rollup-Region hinzufügen, erstellen Sie für den Servicezugriff eine neue IAM Rolle oder verwenden Sie eine vorhandene IAM Rolle, die Security Lake die Berechtigung erteilt, Daten über mehrere Regionen hinweg zu replizieren.

  6. Wählen Sie Save (Speichern) aus, wenn Sie fertig sind.

Sie können auch eine Rollup-Region hinzufügen, wenn Sie bei Security Lake einsteigen. Weitere Informationen finden Sie unter Erste Schritte mit Amazon Security Lake.

API

Um eine Rollup-Region programmgesteuert hinzuzufügen, verwenden Sie den UpdateDataLakeBetrieb des Security Lake. API Wenn Sie den verwenden AWS CLI, führen Sie den aus update-data-lakeBefehl. Geben Sie in Ihrer Anfrage in dem region Feld die Region an, aus der Sie Daten zur Rollup-Region beitragen möchten. Geben Sie im regions Array des replicationConfiguration Parameters den Regionalcode für jede Rollup-Region an. Eine Liste der Regionscodes finden Sie unter Amazon Security Lake-Endpoints in der Allgemeine AWS-Referenz.

Die folgenden Befehlssätze werden beispielsweise ap-northeast-2 als Rollup-Region festgelegt. Die us-east-1 Region wird Daten zur Region beitragen. ap-northeast-2 In diesem Beispiel wird auch ein Ablaufzeitraum von 365 Tagen für Objekte festgelegt, die dem Data Lake hinzugefügt werden. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'

Sie können auch eine Rollup-Region hinzufügen, wenn Sie in Security Lake einsteigen. Verwenden Sie dazu den CreateDataLakeOperation (oder, falls Sie den verwenden AWS CLI, den create-data-lakeBefehl). Weitere Informationen zur Konfiguration von Rollup-Regionen beim Onboarding finden Sie unter. Erste Schritte mit Amazon Security Lake

Rollup-Regionen aktualisieren oder entfernen

Wählen Sie Ihre bevorzugte Zugriffsmethode und gehen Sie wie folgt vor, um Rollup-Regionen in Security Lake zu aktualisieren oder zu entfernen.

Console

  1. Öffnen Sie die Security Lake-Konsole unter. https://console.aws.amazon.com/securitylake/

  2. Wählen Sie im Navigationsbereich unter Einstellungen die Option Rollup Regions aus.

  3. Wählen Sie Ändern aus.

  4. Um die beitragenden Regionen für eine Rollup-Region zu ändern, geben Sie die aktualisierten beitragenden Regionen in der Zeile für die Rollup-Region an.

  5. Um eine Rollup-Region zu entfernen, wählen Sie in der Zeile für die Rollup-Region die Option Entfernen aus.

  6. Wählen Sie Save (Speichern) aus, wenn Sie fertig sind.

API

Um Rollup-Regionen programmgesteuert zu konfigurieren, verwenden Sie den UpdateDataLakeBetrieb des Security Lake. API Wenn Sie den verwenden AWS CLI, führen Sie den aus update-data-lakeBefehl. Verwenden Sie in Ihrer Anfrage die unterstützten Parameter, um die Rollup-Einstellungen anzugeben:

  • Um eine beitragende Region hinzuzufügen, geben Sie in dem region Feld den Regionalcode für die hinzuzufügende Region an. Geben Sie im regions Array des replicationConfiguration Objekts den Regionalcode für jede Rollup-Region an, zu der Daten beigetragen werden sollen. Eine Liste der Regionscodes finden Sie unter Amazon Security Lake-Endpoints in der Allgemeine AWS-Referenz.

  • Um eine beitragende Region zu entfernen, geben Sie in dem region Feld den Regionalcode für die Region an, die entfernt werden soll. Geben Sie für die replicationConfiguration Parameter keine Werte an.

Mit dem folgenden Befehl werden beispielsweise sowohl als auch us-east-2 als us-east-1 beitragende Regionen konfiguriert. Beide Regionen werden Daten zur ap-northeast-3 Rollup-Region beitragen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'