Einen Abonnenten mit Abfragezugriff in Security Lake erstellen - Amazon Security Lake
Einrichtung der kontenübergreifenden gemeinsamen Nutzung von Tabellen (Abonnentenschritt)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen Abonnenten mit Abfragezugriff in Security Lake erstellen

Wählen Sie Ihre bevorzugte Methode, um einen Abonnenten mit Abfragezugriff in der aktuellen Version zu erstellen AWS-Region. Ein Abonnent kann Daten nur von dem abfragen AWS-Region , in dem er erstellt wurde. Um einen Abonnenten zu erstellen, benötigen Sie die AWS-Konto ID und die externe ID des Abonnenten. Die externe ID ist eine eindeutige Kennung, die Ihnen der Abonnent zur Verfügung stellt. Weitere Informationen zu externen IDs Ressourcen finden Sie im IAMBenutzerhandbuch unter So verwenden Sie eine externe ID, wenn Sie Dritten Zugriff auf Ihre AWS Ressourcen gewähren.

Anmerkung

Security Lake unterstützt die kontoübergreifende Datenfreigabe von Lake Formation Version 1 nicht. Sie müssen Lake Formation Cross-account Data Sharing auf Version 2 oder Version 3 aktualisieren. Die Schritte zum Aktualisieren der kontoübergreifenden Versionseinstellungen über die AWS Lake Formation Konsole oder die AWS CLI finden Sie unter So aktivieren Sie die neue Version im AWS Lake Formation Entwicklerhandbuch.

Console

  1. Öffnen Sie die Security Lake-Konsole unter https://console.aws.amazon.com/securitylake/.

    Melden Sie sich mit dem delegierten Administratorkonto an.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie den Abonnenten erstellen möchten.

  3. Wählen Sie im Navigationsbereich Abonnenten aus.

  4. Wählen Sie auf der Seite Abonnenten die Option Abonnent erstellen aus.

  5. Geben Sie für Abonnentendetails einen Abonnentennamen und optional eine Beschreibung ein.

    Die Region wird automatisch so ausgefüllt, wie Sie sie aktuell ausgewählt haben, AWS-Region und kann nicht geändert werden.

  6. Wählen Sie für Protokoll- und Ereignisquellen aus, welche Quellen Security Lake bei der Rückgabe von Abfrageergebnissen einbeziehen soll.

  7. Wählen Sie als Datenzugriffsmethode Lake Formation aus, um den Abfragezugriff für den Abonnenten zu erstellen.

  8. Geben Sie für Abonnentenanmeldedaten die AWS-Konto ID und die externe ID des Abonnenten an.

  9. (Optional) Geben Sie für Stichwörter bis zu 50 Stichwörter ein, die dem Abonnenten zugewiesen werden sollen.

    Ein Tag ist eine Bezeichnung, die Sie definieren und bestimmten Ressourcentypen AWS zuweisen können. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Mithilfe von Tags können Sie Ressourcen auf unterschiedliche Weise identifizieren, kategorisieren und verwalten. Weitere Informationen hierzu finden Sie unter Kennzeichnen von Security Lake-Ressourcen.

  10. Wählen Sie Create (Erstellen) aus.

API

Verwenden Sie den CreateSubscriberBetrieb des Security Lake, um programmgesteuert einen Abonnenten mit Abfragezugriff zu erstellen. API Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl create-subscriber aus.

Verwenden Sie in Ihrer Anfrage diese Parameter, um die folgenden Einstellungen für den Abonnenten anzugeben:

  • Legen Sie für accessTypes die Option LAKEFORMATION fest.

  • Geben Sie für sources jede Quelle an, die Security Lake bei der Rückgabe von Abfrageergebnissen einbeziehen soll.

  • Geben Sie für subscriberIdentity die AWS Identität und die externe ID an, die der Abonnent zur Abfrage von Quelldaten verwendet.

Im folgenden Beispiel wird ein Abonnent mit Abfragezugriff in der aktuellen AWS Region für die angegebene Abonnenten-Identität erstellt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

Einrichtung der kontenübergreifenden gemeinsamen Nutzung von Tabellen (Abonnentenschritt)

Security Lake verwendet die kontenübergreifende Tabellenfreigabe von Lake Formation, um den Zugriff auf Abonnentenabfragen zu unterstützen. Wenn Sie einen Abonnenten mit Abfragezugriff in der Security Lake-Konsole erstellen, oder API AWS CLI, gibt Security Lake Informationen über die entsprechenden Lake Formation-Tabellen an den Abonnenten weiter, indem es eine Ressourcenfreigabe in AWS Resource Access Manager (AWS RAM) erstellt.

Wenn Sie bestimmte Arten von Änderungen an einem Abonnenten mit Abfragezugriff vornehmen, erstellt Security Lake eine neue Ressourcenfreigabe. Weitere Informationen finden Sie unter Einen Abonnenten mit Abfragezugriff in Security Lake bearbeiten.

Der Abonnent sollte die folgenden Schritte ausführen, um Daten aus Ihren Lake Formation-Tabellen zu nutzen:

  1. Die Ressourcenfreigabe akzeptieren — Der Abonnent muss die Ressourcenfreigabe akzeptieren, die den resourceShareArn und enthält und der generiert wirdresourceShareName, wenn Sie den Abonnenten erstellen oder bearbeiten. Wählen Sie eine der folgenden Zugriffsmethoden:

    Die Einladung zur gemeinsamen Nutzung von Ressourcen läuft in 12 Stunden ab. Sie müssen die Einladung also innerhalb von 12 Stunden validieren und annehmen. Wenn die Einladung abläuft, wird sie weiterhin in einem bestimmten PENDING Status angezeigt, aber wenn Sie sie annehmen, erhalten Sie keinen Zugriff auf die gemeinsam genutzten Ressourcen. Wenn mehr als 12 Stunden vergangen sind, löschen Sie den Lake Formation Formation-Abonnenten und erstellen Sie den Abonnenten neu, um eine neue Resource Share-Einladung zu erhalten.

  2. Einen Ressourcenlink zur gemeinsam genutzten Datenbank erstellen — Der Abonnent muss entweder AWS Lake Formation (bei Verwendung der Konsole) oder AWS Glue (bei Verwendung vonAPI/AWSCLI) einen Ressourcenlink zur gemeinsam genutzten Lake Formation Formation-Datenbank erstellen. Dieser Ressourcenlink verweist das Konto des Abonnenten auf die gemeinsam genutzte Datenbank. Wählen Sie eine der folgenden Zugriffsmethoden:

  3. Fragen Sie die gemeinsam genutzten Tabellen ab — Dienste wie Amazon Athena können direkt auf die Tabellen verweisen, und neue Daten, die Security Lake sammelt, stehen automatisch für Abfragen zur Verfügung. Abfragen werden beim Abonnenten ausgeführt AWS-Konto, und die durch Abfragen entstehenden Kosten werden dem Abonnenten in Rechnung gestellt. Sie können den Lesezugriff auf Ressourcen in Ihrem eigenen Security Lake-Konto kontrollieren.

Weitere Informationen zur Gewährung kontenübergreifender Berechtigungen finden Sie unter Kontoübergreifender Datenaustausch in Lake Formation im AWS Lake Formation Entwicklerhandbuch.