Requisitos previos para crear un suscriptor con acceso a los datos en Security Lake - Amazon Security Lake
Verificar permisosObtenga el ID externo del suscriptorCree una función de IAM para invocar los destinos de la EventBridge API (paso único y de API) AWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para crear un suscriptor con acceso a los datos en Security Lake

Debe cumplir los siguientes requisitos previos antes de poder crear un suscriptor con acceso a los datos en Security Lake.

Verificar permisos

Para verificar sus permisos, utilice IAM para revisar las políticas de IAM asociadas a su identidad de IAM. A continuación, compare la información de esas políticas con la siguiente lista de acciones (permisos) que debe realizar para notificar a los suscriptores cuando se escriban nuevos datos en el lago de datos.

Necesitará permiso para realizar las siguientes acciones:

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

Además de la lista anterior, también necesita permiso para realizar las siguientes acciones:

  • events:CreateApiDestination

  • events:CreateConnection

  • events:DescribeRule

  • events:ListApiDestinations

  • events:ListConnections

  • events:PutRule

  • events:PutTargets

  • s3:GetBucketNotification

  • s3:PutBucketNotification

  • sqs:CreateQueue

  • sqs:DeleteQueue

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:SetQueueAttributes

Obtenga el ID externo del suscriptor

Para crear un suscriptor, además del Cuenta de AWS ID del suscriptor, también necesitarás su ID externa. El ID externo es un identificador único que te proporciona el suscriptor. Security Lake agrega el ID externo a la función de IAM del suscriptor que crea. El ID externo se utiliza cuando se crea un suscriptor en la consola de Security Lake, a través de la API o AWS CLI.

Para obtener más información sobre el externo IDs, consulte Cómo usar un ID externo al conceder acceso a sus AWS recursos a un tercero en la Guía del usuario de IAM.

importante

Si planea usar la consola de Security Lake para agregar un suscriptor, puede omitir el siguiente paso y continuar a Crear un suscriptor con acceso a los datos en Security Lake. La consola de Security Lake ofrece un proceso simplificado para empezar y crea todas los roles de IAM necesarios o utiliza las funciones existentes en su nombre.

Si piensa utilizar la API de Security Lake o AWS CLI añadir un suscriptor, continúe con el siguiente paso: crear un rol de IAM para EventBridge invocar los destinos de la API.

Cree una función de IAM para invocar los destinos de la EventBridge API (paso único y de API) AWS CLI

Si utilizas Security Lake a través de la API o AWS CLI, crea un rol en AWS Identity and Access Management (IAM) que conceda EventBridge permisos a Amazon para invocar los destinos de la API y enviar notificaciones de objetos a los puntos de enlace HTTPS correctos.

Tras crear este rol de IAM, necesitará el nombre de recurso de Amazon (ARN) del rol para crear el suscriptor. Esta función de IAM no es necesaria si el suscriptor sondea datos de una cola de Amazon Simple Queue Service (Amazon SQS) o consulta datos directamente desde ella. AWS Lake Formation Para obtener más información sobre este tipo de método de acceso a los datos (tipo de acceso), consulte. Administrar el acceso a las consultas para los suscriptores de Security Lake

Adjunte la siguiente política a su función de IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInvokeApiDestination",
            "Effect": "Allow",
            "Action": [
                "events:InvokeApiDestination"
            ],
            "Resource": [
                "arn:aws:events:{us-west-2}:{123456789012}:api-destination/AmazonSecurityLake*/*"
            ]
        }
    ]
}

Adjunta la siguiente política de confianza a tu función de IAM EventBridge para poder asumirla:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEventBridgeToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Mostrar másMostrar menos

Security Lake crea automáticamente una función de IAM que permite al suscriptor leer los datos del lago de datos (o sondear los eventos de una cola de Amazon SQS si ese es el método de notificación preferido). Este rol está protegido con una política AWS administrada llamada. AmazonSecurityLakePermissionsBoundary