Einen Abonnenten mit Datenzugriff in Security Lake erstellen - Amazon Security Lake
Beispiel für eine Objektbenachrichtigung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen Abonnenten mit Datenzugriff in Security Lake erstellen

Wählen Sie eine der folgenden Zugriffsmethoden, um einen Abonnenten mit Zugriff auf aktuelle Daten zu erstellen AWS-Region.

Console

  1. Öffnen Sie die Security Lake-Konsole unter https://console.aws.amazon.com/securitylake/.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie den Abonnenten erstellen möchten.

  3. Wählen Sie im Navigationsbereich Abonnenten aus.

  4. Wählen Sie auf der Seite Abonnenten die Option Abonnent erstellen aus.

  5. Geben Sie für Abonnentendetails den Namen des Abonnenten und optional eine Beschreibung ein.

    Die Region wird automatisch so ausgefüllt, wie Sie sie aktuell ausgewählt haben, AWS-Region und kann nicht geändert werden.

  6. Wählen Sie für Protokoll- und Ereignisquellen aus, welche Quellen der Abonnent nutzen darf.

  7. Wählen Sie als Datenzugriffsmethode S3 aus, um den Datenzugriff für den Abonnenten einzurichten.

  8. Geben Sie für Abonnentenanmeldedaten die AWS-Konto ID und die externe ID des Abonnenten an.

  9. (Optional) Wenn Sie möchten, dass Security Lake eine SQS Amazon-Warteschlange erstellt, die der Abonnent nach Objektbenachrichtigungen abfragen kann, wählen Sie SQSWarteschlange aus. Wenn Sie möchten, dass Security Lake Benachrichtigungen EventBridge an einen HTTPS Endpunkt sendet, wählen Sie Abonnement-Endpunkt aus.

    Wenn Sie Abonnement-Endpunkt auswählen, gehen Sie außerdem wie folgt vor:

    1. Geben Sie den Abonnement-Endpunkt ein. Beispiele für gültige Endpunktformate sind: http://example.com Optional können Sie auch einen HTTPSSchlüsselnamen und einen HTTPSSchlüsselwert angeben.

    2. Erstellen Sie für Service Access eine neue IAM Rolle oder verwenden Sie eine vorhandene IAM Rolle, die EventBridge berechtigt, API Ziele aufzurufen und Objektbenachrichtigungen an die richtigen Endpunkte zu senden.

      Informationen zum Erstellen einer neuen IAM Rolle finden Sie unter IAMRolle zum Aufrufen EventBridge API von Zielen erstellen.

  10. (Optional) Geben Sie unter Stichwörter bis zu 50 Stichwörter ein, die dem Abonnenten zugewiesen werden sollen.

    Ein Tag ist eine Bezeichnung, die Sie definieren und bestimmten Ressourcentypen AWS zuweisen können. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Mithilfe von Tags können Sie Ressourcen auf unterschiedliche Weise identifizieren, kategorisieren und verwalten. Weitere Informationen hierzu finden Sie unter Kennzeichnen von Security Lake-Ressourcen.

  11. Wählen Sie Create (Erstellen) aus.

API

Verwenden Sie den CreateSubscriberBetrieb des Security Lake, um programmgesteuert einen Abonnenten mit Datenzugriff zu erstellen. API Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl create-subscriber aus.

Verwenden Sie in Ihrer Anfrage diese Parameter, um die folgenden Einstellungen für den Abonnenten anzugeben:

  • Geben Sie für sources jede Quelle an, auf die der Abonnent zugreifen soll.

  • Geben Sie für subscriberIdentity die AWS Konto-ID und die externe ID an, die der Abonnent für den Zugriff auf Quelldaten verwenden wird.

  • Geben Sie für subscriber-name den Namen des Abonnenten an.

  • Legen Sie für accessTypes die Option S3 fest.

Beispiel 1

Im folgenden Beispiel wird ein Abonnent mit Zugriff auf Daten in der aktuellen AWS Region für die angegebene Abonnenten-Identität für eine AWS Quelle erstellt.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types S3

Beispiel 2

Im folgenden Beispiel wird ein Abonnent mit Zugriff auf Daten in der aktuellen AWS Region für die angegebene Abonnenten-Identität für eine benutzerdefinierte Quelle erstellt.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"customLogSource": {"sourceName": custom-source-name, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name
--access-types S3

Die obigen Beispiele sind für Linux, macOS oder Unix formatiert und verwenden zur besseren Lesbarkeit den umgekehrten Schrägstrich (\) als Zeilenfortsetzung.

(Optional) Nachdem Sie einen Abonnenten erstellt haben, geben Sie mit diesem CreateSubscriberNotificationVorgang an, wie der Abonnent benachrichtigt werden soll, wenn neue Daten für die Quellen, auf die der Abonnent zugreifen soll, in den Data Lake geschrieben werden. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den create-subscriber-notificationBefehl aus.

  • Um die Standardbenachrichtigungsmethode (HTTPSEndpunkt) zu überschreiben und eine SQS Amazon-Warteschlange zu erstellen, geben Sie Werte für die sqsNotificationConfiguration Parameter an.

  • Wenn Sie eine Benachrichtigung mit einem HTTPS Endpunkt bevorzugen, geben Sie Werte für die httpsNotificationConfiguration Parameter an.

  • Geben Sie für das targetRoleArn Feld die IAM Rolle an, die Sie zum Aufrufen ARN von EventBridge API Zielen erstellt haben.

$ aws securitylake create-subscriber-notification \
--subscriber-id "12345ab8-1a34-1c34-1bd4-12345ab9012" \
--configuration httpsNotificationConfiguration={"targetRoleArn"="arn:aws:iam::XXX:role/service-role/RoleName", "endpoint"="https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"}

Um das zu erhaltensubscriberID, verwenden Sie den ListSubscribersBetrieb des Security LakeAPI. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl list-subscriber aus. 

$ aws securitylake list-subscribers

Um anschließend die Benachrichtigungsmethode (SQSAmazon-Warteschlange oder HTTPS Endpunkt) für den Abonnenten zu ändern, verwenden Sie den UpdateSubscriberNotificationVorgang oder, falls Sie den verwenden AWS CLI, führen Sie den update-subscriber-notificationBefehl aus. Sie können die Benachrichtigungsmethode auch mithilfe der Security Lake-Konsole ändern: Wählen Sie den Abonnenten auf der Abonnentenseite aus und klicken Sie dann auf Bearbeiten.

Beispiel für eine Objektbenachrichtigung

Das folgende Beispiel zeigt die Ereignisbenachrichtigung im JSON Strukturformat für den CreateSubscriberNotification Vorgang. 

{
  "source": "aws.s3",
  "time": "2021-11-12T00:00:00Z",
  "account": "123456789012",
  "region": "ca-central-1",
  "resources": [
    "arn:aws:s3:::amzn-s3-demo-bucket"
  ],
  "detail": {
    "bucket": {
      "name": "amzn-s3-demo-bucket"
    },
    "object": {
      "key": "example-key",
      "size": 5,
      "etag": "b57f9512698f4b09e608f4f2a65852e5"
    },
    "request-id": "N4N7GDK58NMKJ12R",
    "requester": "securitylake.amazonaws.com"
  }
}