Voraussetzungen für die Erstellung eines Abonnenten mit Datenzugriff in Security Lake - Amazon Security Lake
Überprüfen der BerechtigungenRufen Sie die externe ID des Abonnenten abIAMRolle zum Aufrufen von EventBridge API Zielen erstellen (APIund Schritt nur AWS CLI)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für die Erstellung eines Abonnenten mit Datenzugriff in Security Lake

Sie müssen die folgenden Voraussetzungen erfüllen, bevor Sie einen Abonnenten mit Datenzugriff in Security Lake erstellen können.

Überprüfen der Berechtigungen

Um Ihre Berechtigungen zu überprüfen, können Sie IAM hier die IAM Richtlinien überprüfen, die mit Ihrer IAM Identität verknüpft sind. Vergleichen Sie dann die Informationen in diesen Richtlinien mit der folgenden Liste von (Berechtigungs-) Aktionen, die Sie benötigen, um Abonnenten zu benachrichtigen, wenn neue Daten in den Data Lake geschrieben werden.

Sie benötigen eine Genehmigung, um die folgenden Aktionen ausführen zu können:

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

Zusätzlich zu der obigen Liste benötigen Sie auch die Erlaubnis, die folgenden Aktionen auszuführen:

  • events:CreateApiDestination

  • events:CreateConnection

  • events:DescribeRule

  • events:ListApiDestinations

  • events:ListConnections

  • events:PutRule

  • events:PutTargets

  • s3:GetBucketNotification

  • s3:PutBucketNotification

  • sqs:CreateQueue

  • sqs:DeleteQueue

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:SetQueueAttributes

Rufen Sie die externe ID des Abonnenten ab

Um einen Abonnenten zu erstellen, benötigen Sie neben der AWS-Konto Abonnenten-ID auch dessen externe ID. Die externe ID ist eine eindeutige Kennung, die Ihnen der Abonnent zur Verfügung stellt. Security Lake fügt die externe ID der IAM Abonnentenrolle hinzu, die es erstellt. Sie verwenden die externe ID, wenn Sie einen Abonnenten in der Security Lake-Konsole über das SymbolAPI, oder erstellen AWS CLI.

Weitere Informationen zu externen IDs Ressourcen finden Sie im IAMBenutzerhandbuch unter So verwenden Sie eine externe ID, wenn Sie Dritten Zugriff auf Ihre AWS Ressourcen gewähren.

Wichtig

Wenn Sie die Security Lake-Konsole verwenden möchten, um einen Abonnenten hinzuzufügen, können Sie den nächsten Schritt überspringen und mit fortfahrenEinen Abonnenten mit Datenzugriff in Security Lake erstellen. Die Security Lake-Konsole bietet einen optimierten Prozess für den Einstieg und erstellt alle erforderlichen IAM Rollen oder verwendet bestehende Rollen in Ihrem Namen.

Wenn Sie Security Lake verwenden API oder einen Abonnenten hinzufügen AWS CLI möchten, fahren Sie mit dem nächsten Schritt fort, um eine IAM Rolle zum Aufrufen EventBridge API von Zielen zu erstellen.

IAMRolle zum Aufrufen von EventBridge API Zielen erstellen (APIund Schritt nur AWS CLI)

Wenn Sie Security Lake über API oder verwenden AWS CLI, erstellen Sie eine Rolle in AWS Identity and Access Management (IAM), die Amazon EventBridge Berechtigungen zum Aufrufen von API Zielen und zum Senden von Objektbenachrichtigungen an die richtigen HTTPS Endpunkte gewährt.

Nachdem Sie diese IAM Rolle erstellt haben, benötigen Sie den Amazon-Ressourcennamen (ARN) der Rolle, um den Abonnenten zu erstellen. Diese IAM Rolle ist nicht erforderlich, wenn der Abonnent Daten aus einer Amazon Simple Queue Service (AmazonSQS) -Warteschlange abfragt oder Daten direkt abfragt. AWS Lake Formation Weitere Informationen zu dieser Art von Datenzugriffsmethode (Zugriffstyp) finden Sie unterVerwaltung des Abfragezugriffs für Security Lake-Abonnenten.

Fügen Sie Ihrer IAM Rolle die folgende Richtlinie hinzu:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInvokeApiDestination",
            "Effect": "Allow",
            "Action": [
                "events:InvokeApiDestination"
            ],
            "Resource": [
                "arn:aws:events:{us-west-2}:{123456789012}:api-destination/AmazonSecurityLake*/*"
            ]
        }
    ]
}

Fügen Sie Ihrer IAM Rolle die folgende Vertrauensrichtlinie hinzu, damit EventBridge Sie die Rolle übernehmen können:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEventBridgeToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Mehr anzeigenWeniger anzeigen

Security Lake erstellt automatisch eine IAM Rolle, die es dem Abonnenten ermöglicht, Daten aus dem Data Lake zu lesen (oder Ereignisse aus einer SQS Amazon-Warteschlange abzufragen, wenn dies die bevorzugte Benachrichtigungsmethode ist). Diese Rolle ist durch eine AWS verwaltete Richtlinie namens geschützt AmazonSecurityLakePermissionsBoundary.