Crear un suscriptor con acceso a los datos en Security Lake - Amazon Security Lake
Ejemplo de mensaje de notificación de objetos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear un suscriptor con acceso a los datos en Security Lake

Elija uno de los siguientes métodos de acceso para crear un suscriptor con acceso a los datos actuales Región de AWS.

Console

  1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee crear el suscriptor.

  3. En el panel de navegación izquierdo, elija Suscriptores.

  4. En la página Suscriptores, selecciona Crear suscriptor.

  5. Para ver los detalles del suscriptor, introduce el nombre del suscriptor y una descripción opcional.

    La región se rellena automáticamente tal y como la has seleccionado actualmente Región de AWS y no se puede modificar.

  6. En el caso de las fuentes de registro y eventos, elige qué fuentes está autorizado a consumir el suscriptor.

  7. Como Método de acceso a los datos, elija S3 para configurar el acceso a los datos para el suscriptor.

  8. Para las credenciales del suscriptor, proporcione el Cuenta de AWS ID del suscriptor y el ID externo.

  9. (Opcional) Para ver los detalles de las notificaciones, si desea que Security Lake cree una cola de Amazon SQS que el suscriptor pueda sondear en busca de notificaciones de objetos, seleccione la cola de SQS. Si desea que Security Lake envíe notificaciones a un punto de conexión HTTPS, EventBridge seleccione el punto de conexión de suscripción.

    Si selecciona el punto de conexión de suscripción, haga también lo siguiente:

    1. Introduzca el punto de conexión de la suscripción. Entre los ejemplos de formatos de punto de conexión válidos se incluyenhttp://example.com. Si lo desea, también puede proporcionar un nombre de clave HTTPS y un valor de clave HTTPS.

    2. Para el acceso al servicio, cree una nueva función de IAM o utilice una función de IAM existente que dé EventBridge permiso para invocar los destinos de la API y enviar notificaciones de objetos a los puntos finales correctos.

      Para obtener información sobre la creación de una nueva función de IAM, consulte Crear una función de IAM para invocar los destinos de la API. EventBridge

  10. (Opcional) En el caso de las etiquetas, introduzca hasta 50 etiquetas para asignarlas al suscriptor.

    Una etiqueta es una etiqueta que se puede definir y asignar a determinados tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar los recursos de diferentes maneras. Para obtener más información, consulte Etiquetado de los recursos de Security Lake.

  11. Seleccione Crear.

API

Para crear un suscriptor con acceso a los datos mediante programación, utilice el CreateSubscriberfuncionamiento de la API de Security Lake. Si usa AWS Command Line Interface (AWS CLI), ejecute el comando create-subscriber.

En tu solicitud, usa estos parámetros para especificar los siguientes ajustes para el suscriptor:

  • Para sources ello, especifique cada fuente a la que desee que acceda el suscriptor.

  • ParasubscriberIdentity, especifique el identificador de AWS cuenta y el identificador externo que utilizará el suscriptor para acceder a los datos de origen.

  • Parasubscriber-name, especifique el nombre del suscriptor.

  • En accessTypes, especifique S3.

Ejemplo 1

En el siguiente ejemplo, se crea un suscriptor con acceso a los datos de la AWS región actual para la identidad de suscriptor especificada para una AWS fuente.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types S3

Ejemplo 2

En el siguiente ejemplo, se crea un suscriptor con acceso a los datos de la AWS región actual para la identidad de suscriptor especificada para una fuente personalizada.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"customLogSource": {"sourceName": custom-source-name, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name
--access-types S3

Los ejemplos anteriores están formateados para Linux, macOS o Unix y utilizan el carácter de continuación de línea con barra invertida (\) para mejorar la legibilidad.

(Opcional) Tras crear un suscriptor, utilice la CreateSubscriberNotificationoperación para especificar cómo se notificará al suscriptor cuando se escriban nuevos datos en el lago de datos de las fuentes a las que desee que acceda el suscriptor. Si usa AWS Command Line Interface (AWS CLI), ejecute el create-subscriber-notificationcomando.

  • Para anular el método de notificación predeterminado (punto de enlace HTTPS) y crear una cola de Amazon SQS, especifique los valores de los parámetros. sqsNotificationConfiguration

  • Si prefiere la notificación con un punto de enlace HTTPS, especifique los valores de los parámetros. httpsNotificationConfiguration

  • Para el targetRoleArn campo, especifique el ARN del rol de IAM que creó para EventBridge invocar los destinos de la API.

$ aws securitylake create-subscriber-notification \
--subscriber-id "12345ab8-1a34-1c34-1bd4-12345ab9012" \
--configuration httpsNotificationConfiguration={"targetRoleArn"="arn:aws:iam::XXX:role/service-role/RoleName", "endpoint"="https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"}

Para obtenerlossubscriberID, utilice la ListSubscribersoperación de la API de Security Lake. Si está utilizando AWS Command Line Interface (AWS CLI), ejecute el comando list-subscriber. 

$ aws securitylake list-subscribers

Para cambiar posteriormente el método de notificación (cola Amazon SQS o punto de enlace HTTPS) para el suscriptor, utilice la UpdateSubscriberNotificationoperación o, si está utilizando la AWS CLI, ejecute el comando. update-subscriber-notification También puede cambiar el método de notificación mediante la consola de Security Lake: seleccione el suscriptor en la página de suscriptores y, a continuación, elija Editar.

Ejemplo de mensaje de notificación de objetos

En el siguiente ejemplo, se muestra la notificación del evento en formato de estructura JSON para la CreateSubscriberNotification operación. 

{
  "source": "aws.s3",
  "time": "2021-11-12T00:00:00Z",
  "account": "123456789012",
  "region": "ca-central-1",
  "resources": [
    "arn:aws:s3:::amzn-s3-demo-bucket"
  ],
  "detail": {
    "bucket": {
      "name": "amzn-s3-demo-bucket"
    },
    "object": {
      "key": "example-key",
      "size": 5,
      "etag": "b57f9512698f4b09e608f4f2a65852e5"
    },
    "request-id": "N4N7GDK58NMKJ12R",
    "requester": "securitylake.amazonaws.com"
  }
}