Paso 1: Crear roles IAM Paso 2: Habilitar Amazon Security Lake Paso 3: Configurar las fuentes Paso 4: Configurar los ajustes de almacenamiento y agrupar las regiones (opcional)Paso 5: Ver y consultar sus propios datos Paso 6: Crear suscriptores

Habilitar Security Lake mediante programación

En este tutorial se explica cómo activar y empezar a utilizar Security Lake mediante programación. Amazon Security Lake API le proporciona un acceso completo y programático a su cuenta, datos y recursos de Security Lake. Como alternativa, puede utilizar las herramientas de línea de AWS comandos (AWS Command Line Interfaceo las AWS Herramientas para PowerShell) o las herramientas para acceder AWS SDKsa Security Lake.

Paso 1: Crear roles IAM

Si accede a Security Lake mediante programación, es necesario crear algunos roles AWS Identity and Access Management (IAM) para configurar su lago de datos.

importante

No es necesario crear estos IAM roles si usa la consola de Security Lake para habilitar y configurar Security Lake.

Debe crear roles IAM si va a realizar una o más de las siguientes acciones (elija los enlaces para ver más información sobre IAM los roles de cada acción):

Creación de un origen personalizado: los orígenes personalizados son orígenes distintos de los Servicios de AWS compatibles de forma nativa y que envían datos a Security Lake.
Crear un suscriptor con acceso a los datos: los suscriptores con permisos pueden acceder directamente a los objetos de S3 desde su lago de datos.
Crear un suscriptor con acceso a consultas: los suscriptores con permisos pueden consultar datos de Security Lake mediante servicios como Amazon Athena.
Configuración de una región acumulativa: una región acumulativa consolida los datos de varias Regiones de AWS.

Tras crear los roles mencionados anteriormente, adjunta el AmazonSecurityLakeAdministrator AWS política administrada al rol que está utilizando para habilitar Security Lake. Esta política otorga permisos administrativos que brindan a una entidad principal acceso completo a todas las acciones de Security Lake.

Adjunte el AmazonSecurityLakeMetaStoreManager AWS política gestionada para crear su lago de datos o consultar datos desde Security Lake. Esta política es necesaria para que Security Lake pueda extraer, transformar y cargar (ETL) trabajos en datos sin procesar de registros y eventos que recibe de las fuentes.

Paso 2: Habilitar Amazon Security Lake

Para activar Security Lake mediante programación, utilice la CreateDataLakefuncionamiento del Security Lake. API Si está utilizando el AWS CLI, ejecute el create-data-lakecomando. En su solicitud, utilice el campo region del objeto configurations para especificar el código de región de la región en la que se va a habilitar Security Lake. Para obtener una lista de los códigos de región, consulte los puntos de conexión de Amazon Security Lake en la Referencia general de AWS.

Ejemplo 1

El siguiente comando de ejemplo habilita Security Lake en las us-east-2 regiones us-east-1 y. En ambas regiones, este lago de datos está cifrado con claves administradas de Amazon S3. Los objetos caducan después de 365 días y los objetos pasan a la clase de almacenamiento ONEZONE_IA S3 después de 60 días. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.


$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Ejemplo 2

El siguiente comando de ejemplo habilita Security Lake en la us-east-2 región. Este lago de datos está cifrado con una clave gestionada por el cliente que se creó en AWS Key Management Service (AWS KMS). Los objetos caducan después de 500 días y los objetos pasan a la clase de almacenamiento GLACIER S3 después de 30 días. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.


$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

nota

Si ya ha activado Security Lake y desea actualizar los ajustes de configuración de una región o una fuente, utilice UpdateDataLakeoperación o, si usa la AWS CLI, el update-data-lakecomando. No utilice la CreateDataLake operación.

Paso 3: Configurar las fuentes

Security Lake recopila datos de registros y eventos de diversos orígenes y de todas las Cuentas de AWS y Regiones de AWS. Siga estas instrucciones para identificar qué datos desea que Security Lake recopile. Solo puede usar estas instrucciones para agregar un Servicio de AWS compatible de forma nativa como origen. Para obtener información acerca de cómo agregar un origen personalizado, consulte Recopilación de datos de fuentes personalizadas en Security Lake.

Para definir una o más fuentes de recopilación mediante programación, utilice la CreateAwsLogSourceoperación del Security Lake. API Para cada origen, especifique un valor regional único para el parámetro sourceName. Si lo desea, utilice parámetros adicionales para limitar el alcance del origen a cuentas específicas (accounts) o a una versión específica (sourceVersion).

nota

Si no incluye un parámetro opcional en la solicitud, Security Lake la aplicará a todas las cuentas o a todas las versiones del origen especificado, en función del parámetro que excluya. Por ejemplo, si es el administrador delegado de Security Lake de una organización y excluye el parámetro accounts, Security Lake aplicará su solicitud a todas las cuentas de la organización. Del mismo modo, si excluye el parámetro sourceVersion, Security Lake aplicará su solicitud a todas las versiones del origen especificado.

Si su solicitud especifica una región en la que no ha activado Security Lake, se produce un error. Para solucionar este error, asegúrese de que la matriz regions especifique solo las regiones en las que ha activado Security Lake. Como alternativa, puede habilitar Security Lake en la región y después enviar la solicitud de nuevo.

Al habilitar Security Lake en una cuenta por primera vez, todos los orígenes de registros y eventos seleccionados formarán parte de un periodo de prueba gratuito de 15 días. Para obtener más información sobre las estadísticas de uso, consulte Revisar el uso de los costos estimados.

Paso 4: Configurar los ajustes de almacenamiento y agrupar las regiones (opcional)

Puede especificar la clase de almacenamiento de Amazon S3 en la que desea que Security Lake almacene los datos y durante cuánto tiempo. También puede especificar una región acumulativa para consolidar los datos de varias regiones. Estos son pasos opcionales. Para obtener más información, consulte Administración del ciclo de vida en Security Lake.

Para definir un objetivo objetivo mediante programación al activar Security Lake, utilice la CreateDataLakefuncionamiento del Security Lake. API Si ya ha activado Security Lake y quiere definir un objetivo objetivo, utilice la UpdateDataLakeoperación, no la CreateDataLake operación.

Para cualquiera de las dos operaciones, utilice los parámetros compatibles para especificar los ajustes de configuración que desee:

Para especificar una región acumulada, utilice el region campo para especificar la región en la que desea aportar datos a las regiones acumuladas. En la regions matriz del replicationConfiguration objeto, especifique el código de región de cada región acumulada. Para obtener una lista de los códigos de región, consulte los puntos de conexión de Amazon Security Lake en la Referencia general de AWS.
Para especificar la configuración de retención de sus datos, utilice los parámetros lifecycleConfiguration:
- Para transitions, especifique el número total de días (days) que desea almacenar los objetos de S3 en una clase de almacenamiento de Amazon S3 determinada (storageClass).
- Para expiration, especifique el número total de días que desea almacenar los objetos en Amazon S3, utilizando cualquier clase de almacenamiento, una vez creados los objetos. Una vez finalizado el período de retención, los objetos caducan y Amazon S3 los elimina.
Security Lake aplica la configuración de retención especificada a la región que especifique en el campo region del objeto configurations.

Por ejemplo, el siguiente comando crea un lago de datos con una ap-northeast-2 región acumulativa. La us-east-1 región aportará datos a la ap-northeast-2 región. En este ejemplo también se establece un período de caducidad de 10 días para los objetos que se agreguen al lago de datos.


$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Ya ha creado su lago de datos. Utilizar la ListDataLakesfuncionamiento del Security Lake API para verificar la activación de Security Lake y la configuración de su lago de datos en cada región.

Si surgen problemas o errores en la creación de su lago de datos, puede ver una lista de excepciones mediante el ListDataLakeExceptionsoperación y notifique a los usuarios las excepciones con la CreateDataLakeExceptionSubscriptionoperación. Para obtener más información, consulte Solución de problemas del estado del lago de datos.

Paso 5: Ver y consultar sus propios datos

Tras crear el lago de datos, puede utilizar Amazon Athena o servicios similares para ver y consultar los datos de AWS Lake Formation bases de datos y tablas. Al activar Security Lake mediante programación, los permisos de visualización de la base de datos no se conceden automáticamente. La cuenta de administrador del lago de datos AWS Lake Formation debe conceder SELECT permisos al IAM rol que desee utilizar para consultar las bases de datos y tablas pertinentes. Como mínimo, el rol debe tener permisos de analista de datos. Para obtener más información sobre los niveles de permisos, consulte la referencia de personas y IAM permisos de Lake Formation. Para obtener instrucciones sobre cómo conceder permisos SELECT, consulte Concesión de permisos de catálogo de datos mediante el método de recurso indicado en la Guía para desarrolladores de AWS Lake Formation .

Después de crear su lago de datos, puede añadir suscriptores para consumir sus datos. Los suscriptores pueden consumir datos accediendo directamente a los objetos de sus buckets de Amazon S3 o consultando el lago de datos. Para obtener más información sobre los suscriptores, consulte Gestión de suscriptores en Security Lake.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Mediante la consola

Administración de varias cuentas