Crear un suscriptor con acceso a consultas en Security Lake - Amazon Security Lake
Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear un suscriptor con acceso a consultas en Security Lake

Elige el método que prefieras para crear un suscriptor con acceso de consulta en el actual Región de AWS. Un suscriptor solo puede consultar datos desde el Región de AWS lugar en el que se creó. Para crear un suscriptor, necesitarás tener el Cuenta de AWS ID y el ID externo del suscriptor. El ID externo es un identificador único que te proporciona el suscriptor. Para obtener más información sobre el externoIDs, consulte Cómo utilizar un identificador externo al conceder acceso a sus AWS recursos a un tercero en la Guía del IAM usuario.

nota

Security Lake no admite la versión 1 del uso compartido de datos entre cuentas de Lake Formation. Debe actualizar a la versión 2 o 3 del uso compartido de datos entre cuentas de Lake Formation. Para conocer los pasos para actualizar la configuración de las versiones multicuentas a través de la AWS Lake Formation consola o la AWS CLI, consulte Para habilitar la nueva versión en la Guía para AWS Lake Formation desarrolladores.

Console

  1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

    Inicie sesión en la cuenta de administrador delegado.

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee crear el suscriptor.

  3. En el panel de navegación izquierdo, elija Suscriptores.

  4. En la página Suscriptores, selecciona Crear suscriptor.

  5. Para ver los detalles del suscriptor, introduce un nombre de suscriptor y una descripción opcional.

    La región se rellena automáticamente tal y como la has seleccionado actualmente Región de AWS y no se puede modificar.

  6. En el caso de las fuentes de registros y eventos, elija las fuentes que desee que Security Lake incluya al devolver los resultados de la consulta.

  7. En Método de acceso a datos, elija Lake Formation para crear un acceso de consulta para el suscriptor.

  8. Para las credenciales del suscriptor, proporcione el Cuenta de AWS ID del suscriptor y el ID externo.

  9. (Opcional) En el caso de las etiquetas, introduce hasta 50 etiquetas para asignarlas al suscriptor.

    Una etiqueta es una etiqueta que puede definir y asignar a determinados tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar los recursos de diferentes maneras. Para obtener más información, consulte Etiquetado de los recursos de Security Lake.

  10. Seleccione Crear.

API

Para crear un suscriptor con acceso a consultas mediante programación, utilice el CreateSubscriberfuncionamiento del Security Lake. API Si usas AWS Command Line Interface (AWS CLI), ejecuta el comando create-subscriber.

En tu solicitud, usa estos parámetros para especificar los siguientes ajustes para el suscriptor:

  • En accessTypes, especifique LAKEFORMATION.

  • Para sources ello, especifique cada fuente que desee que Security Lake incluya al devolver los resultados de la consulta.

  • ParasubscriberIdentity, especifique la AWS identidad y el identificador externo que el suscriptor utiliza para consultar los datos de origen.

En el siguiente ejemplo, se crea un suscriptor con acceso de consulta en la AWS región actual para la identidad del suscriptor especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)

Security Lake utiliza el intercambio de tablas entre cuentas de Lake Formation para facilitar el acceso a las consultas de los suscriptores. Cuando crea un suscriptor con acceso de consulta en la consola de Security Lake, o API AWS CLI, Security Lake comparte información sobre las tablas de Lake Formation relevantes con el suscriptor mediante la creación de un recurso compartido en AWS Resource Access Manager (AWS RAM).

Al realizar determinados tipos de modificaciones en un suscriptor con acceso a consultas, Security Lake crea un nuevo recurso compartido. Para obtener más información, consulte Edición de un suscriptor con acceso a consultas en Security Lake.

El suscriptor debe seguir estos pasos para consumir datos de las tablas de Lake Formation:

  1. Aceptar el recurso compartido: el suscriptor debe aceptar el recurso compartido que contiene resourceShareArn y resourceShareName que se genera al crear o editar el suscriptor. Elija uno de los siguientes métodos de acceso:

    La invitación para compartir recursos vence en 12 horas, por lo que debe validarla y aceptarla en un plazo de 12 horas. Si la invitación caduca, seguirás viéndola en ese PENDING estado, pero al aceptarla no tendrás acceso a los recursos compartidos. Cuando hayan transcurrido más de 12 horas, elimina al suscriptor de Lake Formation y vuelve a crearlo para recibir una nueva invitación para compartir recursos.

  2. Crear un enlace de recursos a la base de datos compartida: el suscriptor debe crear un enlace de recursos a la base de datos compartida de Lake Formation en AWS Lake Formation (si usa la consola) o AWS Glue (si usaAPI/AWSCLI). Este enlace de recursos dirige la cuenta del suscriptor a la base de datos compartida. Elija uno de los siguientes métodos de acceso:

  3. Consulte las tablas compartidas: servicios como Amazon Athena pueden hacer referencia a las tablas directamente y los nuevos datos que Security Lake recopila están disponibles automáticamente para consultarlos. Las consultas se ejecutan en el Cuenta de AWS suscriptor y los costos incurridos por las consultas se facturan al suscriptor. Puede controlar el acceso de lectura a los recursos en su propia cuenta de Security Lake.

Para obtener más información sobre la concesión de permisos entre cuentas, consulte Uso compartido de datos entre cuentas en Lake Formation en la Guía para AWS Lake Formation desarrolladores.