Configuración de regiones acumulativas en Security Lake - Amazon Security Lake
Rol de IAM para la replicación de datosFunción de IAM para registrar particiones AWS GlueAñadir regiones acumulativasActualizar o eliminar regiones acumulativas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de regiones acumulativas en Security Lake

Una región acumulativa consolida los datos de una o más regiones contribuyentes. Especificar una región acumulativa puede ayudarle a cumplir con los requisitos de conformidad regionales.

Debido a las limitaciones de Amazon S3, no se admite la replicación desde un lago de datos regional cifrado con clave administrada por el cliente (CMK) a un lago de datos regional cifrado administrado por S3 (cifrado predeterminado).

importante

Si ha creado una fuente personalizada, para garantizar que los datos de la fuente personalizada se repliquen correctamente en el destino, Security Lake recomienda seguir las prácticas recomendadas descritas en la sección Prácticas recomendadas para la ingesta de fuentes personalizadas. La replicación no se puede realizar en datos que no sigan el formato de ruta de datos de particiones S3, tal como se describe en la página.

Antes de añadir una región acumulativa, primero debe crear dos funciones diferentes en AWS Identity and Access Management (IAM):

nota

Security Lake crea estas funciones de IAM o utiliza las funciones existentes en su nombre cuando utiliza la consola de Security Lake. Sin embargo, debe crear estas funciones cuando utilice la API de Security Lake o AWS CLI.

Rol de IAM para la replicación de datos

Este rol de IAM otorga permiso a Amazon S3 para replicar registros y eventos de origen en varias regiones.

Para conceder estos permisos, cree un rol de IAM que comience con el prefijo SecurityLake y adjunte el siguiente ejemplo de política al rol. Necesitará el nombre de recurso de Amazon (ARN) del rol al crear una región acumulativa en Security Lake. En esta política, sourceRegions son regiones contribuyentes y destinationRegions son regiones acumulativas.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadS3ReplicationSetting",
      "Action": [
        "s3:ListBucket",
        "s3:GetReplicationConfiguration",
        "s3:GetObjectVersionForReplication",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectRetention",
        "s3:GetObjectLegalHold"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    },
    {
      "Sid": "AllowS3Replication",
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete",
        "s3:ReplicateTags",
        "s3:GetObjectVersionTagging"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    }
  ]
}

Para conceder permiso a Amazon S3 para asumir el rol, asigne la siguiente política de confianza al rol:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Si utiliza una clave gestionada por el cliente de AWS Key Management Service (AWS KMS) para cifrar su lago de datos de Security Lake, debe conceder los siguientes permisos además de los permisos de la política de replicación de datos.

{
    "Action": [
        "kms:Decrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "s3.{sourceRegion1}.amazonaws.com",
                "s3.{sourceRegion2}.amazonaws.com"
                ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
            ]
        }
    },
    "Resource": [
        "{sourceRegion1KmsKeyArn}",
        "{sourceRegion2KmsKeyArn}"
    ]
},
{
    "Action": [
        "kms:Encrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
            "s3.{destinationRegion1}.amazonaws.com",
            ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
            ]
        }
    },
    "Resource": [
            "{destinationRegionKmsKeyArn}"
    ]
}

Para obtener más información sobre las funciones de replicación, consulte Configuración de permisos en la Guía del usuario de Amazon Simple Storage Service.

Función de IAM para registrar particiones AWS Glue

Esta función de IAM concede permisos a una AWS Lambda función de actualización de particiones utilizada por Security Lake para registrar AWS Glue las particiones de los objetos de S3 que se replicaron desde otras regiones. Si no se crea este rol, los suscriptores no pueden consultar los eventos de esos objetos.

Para conceder estos permisos, cree un rol con el nombre AmazonSecurityLakeMetaStoreManager (es posible que ya lo haya creado al incorporarse a Security Lake). Para obtener más información sobre este rol, incluido una política de ejemplo, consulte Paso 1: Crear funciones de IAM.

En la consola de Lake Formation, también debe conceder los permisos AmazonSecurityLakeMetaStoreManager como administrador del lago de datos siguiendo estos pasos:

  1. Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/.

  2. Inicie sesión como usuario administrativo.

  3. Si aparece la ventana de bienvenida a Lake Formation, elija el usuario de IAM que creó o seleccionó en el Paso 1 y, a continuación, elija Comenzar.

  4. Si no aparece la ventana de bienvenida a Lake Formation, siga estos pasos para configurar un administrador de Lake Formation.

    1. En el panel de navegación, en Permisos, elija Roles y tareas administrativas. En la sección Administradores de lago de datos de la página de la consola, seleccione Elegir administradores.

    2. En el cuadro de diálogo Administrar administradores de lagos de datos, para los usuarios y roles de IAM, elija el rol de AmazonSecurityLakeMetaStoreManagerIAM que creó y, a continuación, elija Guardar.

Para obtener más información sobre cómo cambiar los permisos de los administradores de lagos de datos, consulte Crear un administrador de lagos de datos en la Guía para AWS Lake Formation desarrolladores.

Añadir regiones acumulativas

Elija el método de acceso que prefiera y siga estos pasos para añadir una región acumulativa.

nota

Una región puede aportar datos a varias regiones acumulativas. Sin embargo, una región acumulativa no puede ser una región que contribuya a otra región acumulativa.

Console

  1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

  2. En el panel de navegación, en Configuración, seleccione Regiones acumulativas.

  3. Seleccione Modificar y, a continuación, seleccione Añadir región acumulativa.

  4. Especifique la región acumulativa y las regiones que contribuirán. Repita este paso si desea agregar varias regiones acumulativas.

  5. Si es la primera vez que agrega una región acumulativa, para Acceso al servicio, cree un nuevo rol de IAM o utilice un rol de IAM existente que dé permiso a Security Lake para replicar datos en varias regiones.

  6. Cuando termine, elija Guardar.

También puede añadir una región acumulativa al embarcar en Security Lake. Para obtener más información, consulte Introducción a Amazon Security Lake.

API

Para añadir una región acumulativa mediante programación, utilice la UpdateDataLakefuncionamiento de la API de Security Lake. Si está utilizando el AWS CLI, ejecute el update-data-lakecomando En su solicitud, utilice el campo region para especificar la región que desea que aporte datos a la región acumulativa. En la regions matriz del replicationConfiguration parámetro, especifique el código de región para cada región acumulada. Para obtener una lista de los códigos de región, consulte los puntos de conexión de Amazon Security Lake en la Referencia general de AWS.

Por ejemplo, el siguiente comando se establece ap-northeast-2 como una región acumulativa. La us-east-1 región aportará datos a la ap-northeast-2 región. En este ejemplo también se establece un período de caducidad de 365 días para los objetos que se agreguen al lago de datos. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'

También puede añadir una región acumulativa al embarcar en Security Lake. Para ello, utilice el CreateDataLakeoperación (o, si usa el AWS CLI, el create-data-lakecomando). Para obtener más información sobre la configuración de las regiones acumulativas durante la incorporación, consulte. Introducción a Amazon Security Lake

Actualizar o eliminar regiones acumulativas

Elija el método de acceso que prefiera y siga estos pasos para actualizar o eliminar las regiones acumulativas en Security Lake.

Console

  1. Abra la consola de Security Lake en. https://console.aws.amazon.com/securitylake/

  2. En el panel de navegación, en Configuración, seleccione Regiones acumulativas.

  3. Elija Modificar.

  4. Para cambiar las regiones contribuyentes por una región acumulativa, especifique las regiones contribuyentes actualizadas en la fila correspondiente a la región acumulativa.

  5. Para eliminar una región acumulativa, seleccione Eliminar en la fila de regiones acumulativas.

  6. Cuando termine, elija Guardar.

API

Para configurar las regiones acumulativas mediante programación, utilice la UpdateDataLakefuncionamiento de la API de Security Lake. Si está utilizando el AWS CLI, ejecute el update-data-lakecomando En su solicitud, utilice los parámetros compatibles para especificar la configuración de región acumulativa:

  • Para añadir una región contribuyente, utilice el campo region para especificar el código de la región que desee añadir. En la matriz regions del objeto replicationConfiguration, especifique el código de región de cada región acumulativa a la que desee aportar datos. Para obtener una lista de los códigos de región, consulte los puntos de conexión de Amazon Security Lake en la Referencia general de AWS.

  • Para eliminar una región contribuyente, utilice el campo region para especificar el código de la región que desee eliminar. No especifique ningún valor para los parámetros replicationConfiguration.

Por ejemplo, el siguiente comando configura ambas regiones us-east-1 y us-east-2 como regiones colaboradoras. Ambas regiones aportarán datos a la región ap-northeast-3 acumulada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'