Création d'un abonné avec accès aux données dans Security Lake - Amazon Security Lake
Exemple de message de notification d'objet

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un abonné avec accès aux données dans Security Lake

Choisissez l'une des méthodes d'accès suivantes pour créer un abonné ayant accès aux données actuelles Région AWS.

Console

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez créer l'abonné.

  3. Dans le volet de navigation, choisissez Subscribers.

  4. Sur la page Abonnés, choisissez Créer un abonné.

  5. Pour les détails de l'abonné, entrez le nom de l'abonné et une description facultative.

    La région est automatiquement renseignée comme vous l'avez actuellement sélectionnée Région AWS et ne peut pas être modifiée.

  6. Pour les sources de journaux et d'événements, choisissez les sources que l'abonné est autorisé à utiliser.

  7. Pour la méthode d'accès aux données, choisissez S3 pour configurer l'accès aux données pour l'abonné.

  8. Pour les informations d'identification de l'abonné, fournissez l' Compte AWS identifiant de l'abonné et l'identifiant externe.

  9. (Facultatif) Pour les détails des notifications, si vous souhaitez que Security Lake crée une SQS file d'attente Amazon que l'abonné peut interroger pour obtenir des notifications d'objets, sélectionnez SQSfile d'attente. Si vous souhaitez que Security Lake envoie des notifications EventBridge à un HTTPS point de terminaison, sélectionnez Subscription endpoint.

    Si vous sélectionnez Point de terminaison d'abonnement, effectuez également les opérations suivantes :

    1. Entrez le point de terminaison de l'abonnement. Voici des exemples de formats de point de terminaison valideshttp://example.com. Facultativement, vous pouvez également fournir un HTTPSnom et une valeur de HTTPS clé.

    2. Pour l'accès aux services, créez un nouveau IAM rôle ou utilisez un IAM rôle existant qui EventBridge autorise à appeler des API destinations et à envoyer des notifications d'objets aux points de terminaison appropriés.

      Pour plus d'informations sur la création d'un nouveau IAM rôle, voir Créer un IAM rôle pour appeler des EventBridge API destinations.

  10. (Facultatif) Pour Tags, entrez jusqu'à 50 tags à attribuer à l'abonné.

    Un tag est un label que vous pouvez définir et attribuer à certains types de AWS ressources. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Les balises peuvent vous aider à identifier, à classer et à gérer les ressources de différentes manières. Pour en savoir plus, consultez Balisage des ressources de Security Lake.

  11. Sélectionnez Create (Créer).

API

Pour créer un abonné avec accès aux données par programmation, utilisez le CreateSubscriberfonctionnement du Security Lake. API Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la commande create-subscriber.

Dans votre demande, utilisez ces paramètres pour définir les paramètres suivants pour l'abonné :

  • Poursources, spécifiez chaque source à laquelle vous souhaitez que l'abonné accède.

  • PoursubscriberIdentity, spécifiez l'ID de AWS compte et l'ID externe que l'abonné utilisera pour accéder aux données sources.

  • Poursubscriber-name, spécifiez le nom de l'abonné.

  • Pour accessTypes, spécifiez S3.

Exemple 1

L'exemple suivant crée un abonné ayant accès aux données de la AWS région actuelle pour l'identité d'abonné spécifiée pour une AWS source.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types S3

Exemple 2

L'exemple suivant crée un abonné ayant accès aux données de la AWS région actuelle pour l'identité d'abonné spécifiée pour une source personnalisée.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"customLogSource": {"sourceName": custom-source-name, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name
--access-types S3

Les exemples précédents sont formatés pour Linux, macOS ou Unix, et ils utilisent le caractère de continuation de ligne inversée (\) pour améliorer la lisibilité.

(Facultatif) Après avoir créé un abonné, utilisez l'CreateSubscriberNotificationopération pour spécifier comment l'avertir lorsque de nouvelles données sont écrites dans le lac de données pour les sources auxquelles vous souhaitez que l'abonné accède. Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la create-subscriber-notificationcommande.

  • Pour remplacer la méthode de notification par défaut (HTTPSpoint de terminaison) et créer une SQS file d'attente Amazon, spécifiez des valeurs pour les sqsNotificationConfiguration paramètres.

  • Si vous préférez une notification avec un HTTPS point de terminaison, spécifiez des valeurs pour les httpsNotificationConfiguration paramètres.

  • Pour le targetRoleArn champ, spécifiez le ARN IAM rôle que vous avez créé pour appeler des EventBridge API destinations.

$ aws securitylake create-subscriber-notification \
--subscriber-id "12345ab8-1a34-1c34-1bd4-12345ab9012" \
--configuration httpsNotificationConfiguration={"targetRoleArn"="arn:aws:iam::XXX:role/service-role/RoleName", "endpoint"="https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"}

Pour l'obtenirsubscriberID, utilisez le ListSubscribersfonctionnement du lac de sécuritéAPI. Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la commande list-subscriber. 

$ aws securitylake list-subscribers

Pour modifier ultérieurement la méthode de notification (SQSfile d'attente Amazon ou HTTPS point de terminaison) pour l'abonné, utilisez l'UpdateSubscriberNotificationopération ou, si vous utilisez le AWS CLI, exécutez la update-subscriber-notificationcommande. Vous pouvez également modifier le mode de notification à l'aide de la console Security Lake : sélectionnez l'abonné sur la page Abonnés, puis choisissez Modifier.

Exemple de message de notification d'objet

L'exemple suivant montre la notification d'événement sous forme de JSON structure pour l'CreateSubscriberNotificationopération. 

{
  "source": "aws.s3",
  "time": "2021-11-12T00:00:00Z",
  "account": "123456789012",
  "region": "ca-central-1",
  "resources": [
    "arn:aws:s3:::amzn-s3-demo-bucket"
  ],
  "detail": {
    "bucket": {
      "name": "amzn-s3-demo-bucket"
    },
    "object": {
      "key": "example-key",
      "size": 5,
      "etag": "b57f9512698f4b09e608f4f2a65852e5"
    },
    "request-id": "N4N7GDK58NMKJ12R",
    "requester": "securitylake.amazonaws.com"
  }
}