Création d'un abonné avec accès aux requêtes dans Security Lake - Amazon Security Lake
Configuration du partage de tables entre comptes (étape réservée aux abonnés)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un abonné avec accès aux requêtes dans Security Lake

Choisissez votre méthode préférée pour créer un abonné avec accès aux requêtes en cours Région AWS. Un abonné ne peut interroger des données qu'à partir du Région AWS fichier dans lequel elles ont été créées. Pour créer un abonné, vous devez disposer de l' Compte AWS identifiant et de l'identifiant externe de l'abonné. L'identifiant externe est un identifiant unique que l'abonné vous fournit. Pour plus d'informations sur l'utilisation d'un identifiant externeIDs, consultez la section Comment utiliser un identifiant externe lorsque vous accordez l'accès à vos AWS ressources à un tiers dans le guide de IAM l'utilisateur.

Note

Security Lake ne prend pas en charge le partage de données entre comptes Lake Formation version 1. Vous devez mettre à jour le partage de données entre comptes de Lake Formation vers la version 2 ou la version 3. Pour connaître les étapes de mise à jour des paramètres de version entre comptes via la AWS Lake Formation console ou le AWS CLI, voir Pour activer la nouvelle version dans le guide du AWS Lake Formation développeur.

Console

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

    Connectez-vous au compte d'administrateur délégué.

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez créer l'abonné.

  3. Dans le volet de navigation, choisissez Subscribers.

  4. Sur la page Abonnés, choisissez Créer un abonné.

  5. Pour les détails de l'abonné, entrez un nom d'abonné et une description facultative.

    La région est automatiquement renseignée comme vous l'avez actuellement sélectionnée Région AWS et ne peut pas être modifiée.

  6. Pour les sources de journaux et d'événements, choisissez les sources que Security Lake doit inclure lors du renvoi des résultats de requête.

  7. Pour la méthode d'accès aux données, choisissez Lake Formation pour créer un accès aux requêtes pour l'abonné.

  8. Pour les informations d'identification de l'abonné, fournissez l' Compte AWS identifiant de l'abonné et l'identifiant externe.

  9. (Facultatif) Pour Tags, entrez jusqu'à 50 tags à attribuer à l'abonné.

    Un tag est un label que vous pouvez définir et attribuer à certains types de AWS ressources. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Les balises peuvent vous aider à identifier, à classer et à gérer les ressources de différentes manières. Pour en savoir plus, consultez Balisage des ressources de Security Lake.

  10. Sélectionnez Create (Créer).

API

Pour créer un abonné avec accès aux requêtes par programmation, utilisez le CreateSubscriberfonctionnement du Security Lake. API Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la commande create-subscriber.

Dans votre demande, utilisez ces paramètres pour définir les paramètres suivants pour l'abonné :

  • Pour accessTypes, spécifiez LAKEFORMATION.

  • Poursources, spécifiez chaque source que vous souhaitez que Security Lake inclue lors du renvoi des résultats de requête.

  • PoursubscriberIdentity, spécifiez l' AWS identité et l'ID externe que l'abonné utilise pour interroger les données source.

L'exemple suivant crée un abonné avec un accès aux requêtes dans la AWS région actuelle pour l'identité d'abonné spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

Configuration du partage de tables entre comptes (étape réservée aux abonnés)

Security Lake utilise le partage de tables entre comptes de Lake Formation pour faciliter l'accès aux requêtes des abonnés. Lorsque vous créez un abonné avec accès aux requêtes dans la console Security LakeAPI, ou AWS CLI, Security Lake partage des informations sur les tables Lake Formation pertinentes avec l'abonné en créant un partage de ressources dans AWS Resource Access Manager (AWS RAM).

Lorsque vous apportez certains types de modifications à un abonné ayant accès aux requêtes, Security Lake crée un nouveau partage de ressources. Pour de plus amples informations, veuillez consulter Modification d'un abonné avec accès aux requêtes dans Security Lake.

L'abonné doit suivre les étapes suivantes pour utiliser les données de vos tables de Lake Formation :

  1. Accepter le partage de ressources — L'abonné doit accepter le partage de ressources qui contient le resourceShareArn et resourceShareName qui est généré lorsque vous créez ou modifiez l'abonné. Choisissez l'une des méthodes d'accès suivantes :

    L'invitation au partage de ressources expire dans 12 heures. Vous devez donc valider et accepter l'invitation dans les 12 heures. Si l'invitation expire, vous continuez à la voir dans son PENDING état actuel, mais l'accepter ne vous donnera pas accès aux ressources partagées. Lorsque plus de 12 heures se sont écoulées, supprimez l'abonné de Lake Formation et recréez-le pour recevoir une nouvelle invitation à partager des ressources.

  2. Créer un lien de ressource vers la base de données partagée — L'abonné doit créer un lien de ressource vers la base de données partagée de Lake Formation dans AWS Lake Formation (s'il utilise la console) ou AWS Glue (s'il utiliseAPI/AWSCLI). Ce lien de ressource pointe le compte de l'abonné vers la base de données partagée. Choisissez l'une des méthodes d'accès suivantes :

  3. Interrogez les tables partagées : des services tels qu'Amazon Athena peuvent se référer directement aux tables, et les nouvelles données collectées par Security Lake sont automatiquement disponibles pour être consultées. Les requêtes sont exécutées chez l'abonné Compte AWS, et les frais liés aux requêtes sont facturés à l'abonné. Vous pouvez contrôler l'accès en lecture aux ressources dans votre propre compte Security Lake.

Pour plus d'informations sur l'octroi d'autorisations entre comptes, consultez la section Partage de données entre comptes dans Lake Formation dans le guide du AWS Lake Formation développeur.