Crear un suscriptor con acceso a los datos en Security Lake - Amazon Security Lake
Ejemplo de mensaje de notificación de objetos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear un suscriptor con acceso a los datos en Security Lake

Elija uno de los siguientes métodos de acceso para crear un suscriptor con acceso a los datos actuales Región de AWS.

Console

  1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee crear el suscriptor.

  3. En el panel de navegación izquierdo, elija Suscriptores.

  4. En la página Suscriptores, selecciona Crear suscriptor.

  5. Para ver los detalles del suscriptor, introduce el nombre del suscriptor y una descripción opcional.

    La región se rellena automáticamente tal y como la has seleccionado actualmente Región de AWS y no se puede modificar.

  6. En el caso de las fuentes de registro y eventos, elige qué fuentes está autorizado a consumir el suscriptor.

  7. Como Método de acceso a los datos, elija S3 para configurar el acceso a los datos para el suscriptor.

  8. Para las credenciales del suscriptor, proporcione el Cuenta de AWS ID del suscriptor y el ID externo.

  9. (Opcional) Para ver los detalles de las notificaciones, si quieres que Security Lake cree una SQS cola en Amazon que el suscriptor pueda sondear en busca de notificaciones de objetos, selecciona SQScola. Si desea que Security Lake envíe notificaciones EventBridge a un HTTPS punto final, seleccione el punto de conexión de suscripción.

    Si selecciona el punto de conexión de suscripción, haga también lo siguiente:

    1. Introduzca el punto de conexión de la suscripción. Entre los ejemplos de formatos de punto de conexión válidos se incluyenhttp://example.com. Si lo desea, también puede proporcionar un HTTPSnombre y un valor HTTPS clave.

    2. Para el acceso al servicio, cree una nueva IAM función o utilice una IAM función existente que dé EventBridge permiso para invocar API destinos y enviar notificaciones de objetos a los puntos finales correctos.

      Para obtener información sobre la creación de un nuevo IAM rol, consulte Crear un IAM rol para EventBridge API invocar destinos.

  10. (Opcional) En el caso de las etiquetas, introduzca hasta 50 etiquetas para asignarlas al suscriptor.

    Una etiqueta es una etiqueta que se puede definir y asignar a determinados tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar los recursos de diferentes maneras. Para obtener más información, consulte Etiquetado de los recursos de Security Lake.

  11. Seleccione Crear.

API

Para crear un suscriptor con acceso a los datos mediante programación, utilice el CreateSubscriberfuncionamiento del Security Lake. API Si usas AWS Command Line Interface (AWS CLI), ejecuta el comando create-subscriber.

En tu solicitud, usa estos parámetros para especificar los siguientes ajustes para el suscriptor:

  • Para sources ello, especifique cada fuente a la que desee que acceda el suscriptor.

  • ParasubscriberIdentity, especifique el identificador de AWS cuenta y el identificador externo que utilizará el suscriptor para acceder a los datos de origen.

  • Parasubscriber-name, especifique el nombre del suscriptor.

  • En accessTypes, especifique S3.

Ejemplo 1

En el siguiente ejemplo, se crea un suscriptor con acceso a los datos de la AWS región actual para la identidad de suscriptor especificada para una AWS fuente.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types S3

Ejemplo 2

En el siguiente ejemplo, se crea un suscriptor con acceso a los datos de la AWS región actual para la identidad de suscriptor especificada para una fuente personalizada.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"customLogSource": {"sourceName": custom-source-name, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name
--access-types S3

Los ejemplos anteriores están formateados para Linux, macOS o Unix y utilizan el carácter de continuación de línea con barra invertida (\) para mejorar la legibilidad.

(Opcional) Tras crear un suscriptor, utilice la CreateSubscriberNotificationoperación para especificar cómo se notificará al suscriptor cuando se escriban nuevos datos en el lago de datos de las fuentes a las que desee que acceda el suscriptor. Si usa AWS Command Line Interface (AWS CLI), ejecute el create-subscriber-notificationcomando.

  • Para anular el método de notificación predeterminado (HTTPSpunto final) y crear una SQS cola de Amazon, especifique los valores de los sqsNotificationConfiguration parámetros.

  • Si prefiere la notificación con un HTTPS punto final, especifique los valores de los httpsNotificationConfiguration parámetros.

  • En el targetRoleArn campo, especifique ARN el IAM rol que creó para invocar los EventBridge API destinos.

$ aws securitylake create-subscriber-notification \
--subscriber-id "12345ab8-1a34-1c34-1bd4-12345ab9012" \
--configuration httpsNotificationConfiguration={"targetRoleArn"="arn:aws:iam::XXX:role/service-role/RoleName", "endpoint"="https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"}

Para obtenerlossubscriberID, utilice la ListSubscribersoperación Security LakeAPI. Si está utilizando el AWS Command Line Interface (AWS CLI), ejecute el comando list-subscriber. 

$ aws securitylake list-subscribers

Para cambiar posteriormente el método de notificación (SQScola de Amazon o HTTPS punto final) del suscriptor, usa la UpdateSubscriberNotificationoperación o, si estás usando el AWS CLI, ejecuta el update-subscriber-notificationcomando. También puede cambiar el método de notificación mediante la consola de Security Lake: seleccione el suscriptor en la página de suscriptores y, a continuación, elija Editar.

Ejemplo de mensaje de notificación de objetos

{
  "source": "aws.s3",
  "time": "2021-11-12T00:00:00Z",
  "account": "123456789012",
  "region": "ca-central-1",
  "resources": [
    "arn:aws:s3:::amzn-s3-demo-bucket"
  ],
  "detail": {
    "bucket": {
      "name": "amzn-s3-demo-bucket"
    },
    "object": {
      "key": "example-key",
      "size": 5,
      "etag": "b57f9512698f4b09e608f4f2a65852e5"
    },
    "request-id": "N4N7GDK58NMKJ12R",
    "requester": "securitylake.amazonaws.com"
  }
}