Schritt 1: Rollen erstellen IAM Schritt 2: Amazon Security Lake aktivieren Schritt 3: Quellen konfigurieren Schritt 4: Speichereinstellungen und Rollup-Regionen konfigurieren (optional)Schritt 5: Eigene Daten einsehen und abfragen Schritt 6: Abonnenten erstellen

Security Lake programmgesteuert aktivieren

In diesem Tutorial wird erklärt, wie Sie Security Lake programmgesteuert aktivieren und verwenden können. Der Amazon Security Lake API bietet Ihnen umfassenden, programmatischen Zugriff auf Ihr Security Lake-Konto, Ihre Daten und Ressourcen. Alternativ können Sie AWS Befehlszeilentools — die AWS Command Line Interfaceoder die AWS Tools für PowerShell — oder die verwenden, AWS SDKsum auf Security Lake zuzugreifen.

Schritt 1: Rollen erstellen IAM

Wenn Sie programmgesteuert auf Security Lake zugreifen, müssen Sie einige AWS Identity and Access Management (IAM) Rollen erstellen, um Ihren Data Lake zu konfigurieren.

Wichtig

Es ist nicht erforderlich, diese IAM Rollen zu erstellen, wenn Sie die Security Lake-Konsole verwenden, um Security Lake zu aktivieren und zu konfigurieren.

Sie müssen Rollen erstellen, IAM wenn Sie eine oder mehrere der folgenden Aktionen ausführen möchten (klicken Sie auf die Links, um weitere Informationen zu den IAM Rollen für jede Aktion zu erhalten):

Eine benutzerdefinierte Quelle erstellen — Benutzerdefinierte Quellen sind Quellen, die nicht systemintern unterstützt werden und Daten AWS-Services an Security Lake senden.
Einen Abonnenten mit Datenzugriff erstellen — Abonnenten mit Berechtigungen können direkt von Ihrem Data Lake aus auf S3-Objekte zugreifen.
Einen Abonnenten mit Abfragezugriff erstellen — Abonnenten mit Berechtigungen können mithilfe von Diensten wie Amazon Athena Daten von Security Lake abfragen.
Konfiguration einer Rollup-Region — Eine Rollup-Region konsolidiert Daten aus mehreren. AWS-Regionen

Nachdem Sie die zuvor genannten Rollen erstellt haben, fügen Sie den AmazonSecurityLakeAdministrator AWS verwaltete Richtlinie für die Rolle, die Sie zur Aktivierung von Security Lake verwenden. Diese Richtlinie gewährt Administratorberechtigungen, die es einem Principal ermöglichen, Security Lake zu integrieren und auf alle Security Lake-Aktionen zuzugreifen.

Hängen Sie das an AmazonSecurityLakeMetaStoreManager AWS verwaltete Richtlinie, um Ihren Data Lake zu erstellen oder Daten von Security Lake abzufragen. Diese Richtlinie ist erforderlich, damit Security Lake Extraktions-, Transformations- und Load (ETL) -Jobs für rohe Protokoll- und Ereignisdaten unterstützt, die es aus Quellen empfängt.

Schritt 2: Amazon Security Lake aktivieren

Um Security Lake programmgesteuert zu aktivieren, verwenden Sie CreateDataLakeBetrieb des Security Lake. API Wenn Sie den verwenden AWS CLI, führen Sie den create-data-lakeBefehl aus. Verwenden Sie in Ihrer Anfrage das region Feld des configurations Objekts, um den Regionalcode für die Region anzugeben, in der Security Lake aktiviert werden soll. Eine Liste der Regionscodes finden Sie unter Amazon Security Lake-Endpoints in der Allgemeine AWS-Referenz.

Beispiel 1

Der folgende Beispielbefehl aktiviert Security Lake in den us-east-2 Regionen us-east-1 und. In beiden Regionen ist dieser Data Lake mit verwalteten Amazon S3 S3-Schlüsseln verschlüsselt. Objekte laufen nach 365 Tagen ab, und Objekte werden nach 60 Tagen in die Speicherklasse ONEZONE_IA S3 überführt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.


$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Beispiel 2

Der folgende Beispielbefehl aktiviert Security Lake in der us-east-2 Region. Dieser Data Lake ist mit einem vom Kunden verwalteten Schlüssel verschlüsselt, der in AWS Key Management Service (AWS KMS) erstellt wurde. Objekte laufen nach 500 Tagen ab, und Objekte werden nach 30 Tagen in die Speicherklasse GLACIER S3 überführt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.


$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Anmerkung

Wenn Sie Security Lake bereits aktiviert haben und die Konfigurationseinstellungen für eine Region oder Quelle aktualisieren möchten, verwenden Sie UpdateDataLakeOperation oder, falls Sie den verwenden AWS CLI, den update-data-lakeBefehl. Verwenden Sie die CreateDataLake Operation nicht.

Schritt 3: Quellen konfigurieren

Security Lake sammelt Protokoll- und Ereignisdaten aus einer Vielzahl von Quellen und in Ihrem AWS-Konten Land AWS-Regionen. Folgen Sie diesen Anweisungen, um herauszufinden, welche Daten Security Lake sammeln soll. Sie können diese Anweisungen nur verwenden, um eine nativ unterstützte Quelle AWS-Service hinzuzufügen. Informationen zum Hinzufügen einer benutzerdefinierten Quelle finden Sie unter. Sammeln von Daten aus benutzerdefinierten Quellen in Security Lake

Verwenden Sie den CreateAwsLogSourceBetrieb des Security Lake, um eine oder mehrere Sammlungsquellen programmgesteuert zu definieren. API Geben Sie für jede Quelle einen regional eindeutigen Wert für den Parameter an. sourceName Verwenden Sie optional zusätzliche Parameter, um den Geltungsbereich der Quelle auf bestimmte Konten (accounts) oder eine bestimmte Version (sourceVersion) zu beschränken.

Anmerkung

Wenn Sie keinen optionalen Parameter in Ihre Anfrage aufnehmen, wendet Security Lake Ihre Anfrage auf alle Konten oder alle Versionen der angegebenen Quelle an, je nachdem, welchen Parameter Sie ausschließen. Wenn Sie beispielsweise der delegierte Security Lake-Administrator für eine Organisation sind und den accounts Parameter ausschließen, wendet Security Lake Ihre Anfrage auf alle Konten in Ihrer Organisation an. Wenn Sie den sourceVersion Parameter ausschließen, wendet Security Lake Ihre Anfrage ebenfalls auf alle Versionen der angegebenen Quelle an.

Wenn Ihre Anfrage eine Region angibt, in der Sie Security Lake nicht aktiviert haben, tritt ein Fehler auf. Um diesen Fehler zu beheben, stellen Sie sicher, dass das regions Array nur die Regionen angibt, in denen Sie Security Lake aktiviert haben. Alternativ können Sie Security Lake in der Region aktivieren und Ihre Anfrage dann erneut einreichen.

Wenn Sie Security Lake zum ersten Mal in einem Konto aktivieren, sind alle ausgewählten Protokoll- und Ereignisquellen Teil einer 15-tägigen kostenlosen Testphase. Weitere Informationen zu Nutzungsstatistiken finden Sie unterÜberprüfung der Nutzung und der geschätzten Kosten.

Schritt 4: Speichereinstellungen und Rollup-Regionen konfigurieren (optional)

Sie können die Amazon S3 S3-Speicherklasse angeben, in der Security Lake Ihre Daten speichern soll und für wie lange. Sie können auch eine Rollup-Region angeben, um Daten aus mehreren Regionen zu konsolidieren. Dies sind optionale Schritte. Weitere Informationen finden Sie unter Lebenszyklusmanagement in Security Lake.

Um bei der Aktivierung von Security Lake programmgesteuert ein Zielziel zu definieren, verwenden Sie den CreateDataLakeBetrieb des Security Lake. API Wenn Sie Security Lake bereits aktiviert haben und ein Zielziel definieren möchten, verwenden Sie UpdateDataLakeOperation, nicht die CreateDataLake Operation.

Verwenden Sie für beide Operationen die unterstützten Parameter, um die gewünschten Konfigurationseinstellungen anzugeben:

Um eine Rollup-Region anzugeben, geben Sie in dem region Feld die Region an, aus der Sie Daten zu den Rollup-Regionen beitragen möchten. Geben Sie im regions Array des replicationConfiguration Objekts den Regionalcode für jede Rollup-Region an. Eine Liste der Regionscodes finden Sie unter Amazon Security Lake-Endpoints in der Allgemeine AWS-Referenz.
Verwenden Sie die folgenden lifecycleConfiguration Parameter, um die Aufbewahrungseinstellungen für Ihre Daten festzulegen:
- Geben Sie für die Gesamtzahl der Tage (days) antransitions, an denen Sie S3-Objekte in einer bestimmten Amazon S3 S3-Speicherklasse (storageClass) speichern möchten.
- Geben Sie für die Gesamtzahl der Tage anexpiration, an denen Sie Objekte in Amazon S3 speichern möchten, und verwenden Sie dabei eine beliebige Speicherklasse, nachdem Objekte erstellt wurden. Wenn diese Aufbewahrungsfrist endet, laufen Objekte ab und Amazon S3 löscht sie.
Security Lake wendet die angegebenen Aufbewahrungseinstellungen auf die Region an, die Sie im region Feld des configurations Objekts angeben.

Mit dem folgenden Befehl wird beispielsweise ein Data Lake mit ap-northeast-2 einer Rollup-Region erstellt. Die us-east-1 Region wird Daten zur Region beitragen. ap-northeast-2 In diesem Beispiel wird auch eine 10-tägige Ablauffrist für Objekte festgelegt, die dem Data Lake hinzugefügt werden.


$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Sie haben jetzt Ihren Data Lake erstellt. Verwenden der ListDataLakesBetrieb des Security LakeAPI, um die Aktivierung von Security Lake und Ihre Data Lake-Einstellungen in jeder Region zu überprüfen.

Wenn bei der Erstellung Ihres Data Lakes Probleme oder Fehler auftreten, können Sie eine Liste der Ausnahmen anzeigen, indem Sie ListDataLakeExceptionsVorgang und benachrichtigen Sie Benutzer über Ausnahmen mit dem CreateDataLakeExceptionSubscriptionBetrieb. Weitere Informationen finden Sie unter Fehlerbehebung beim Data Lake-Status.

Schritt 5: Eigene Daten einsehen und abfragen

Nachdem Sie Ihren Data Lake erstellt haben, können Sie Amazon Athena oder ähnliche Dienste verwenden, um Ihre Daten aus AWS Lake Formation Datenbanken und Tabellen anzuzeigen und abzufragen. Wenn Sie Security Lake programmgesteuert aktivieren, werden Datenbankansichtsberechtigungen nicht automatisch gewährt. Das Data Lake-Administratorkonto in AWS Lake Formation muss der IAM Rolle, die Sie für die Abfrage der relevanten Datenbanken und Tabellen verwenden möchten, SELECT Berechtigungen gewähren. Die Rolle muss mindestens über Datenanalystenberechtigungen verfügen. Weitere Informationen zu Berechtigungsstufen finden Sie in der Referenz zu Personas und IAM Berechtigungen von Lake Formation. Anweisungen zum Erteilen von SELECT Berechtigungen finden Sie unter Erteilen von Datenkatalogberechtigungen mithilfe der benannten Ressourcenmethode im AWS Lake Formation Entwicklerhandbuch.

Nachdem Sie Ihren Data Lake erstellt haben, können Sie Abonnenten hinzufügen, um Ihre Daten zu nutzen. Abonnenten können Daten konsumieren, indem sie direkt auf Objekte in Ihren Amazon S3 S3-Buckets zugreifen oder den Data Lake abfragen. Weitere Informationen zu Abonnenten finden Sie unter. Abonnentenverwaltung in Security Lake

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden der Konsole

Verwalten mehrerer Konten