Activation de Security Lake par programmation - Amazon Security Lake
Étape 1 : créer des rôles IAMÉtape 2 : activer Amazon Security LakeÉtape 3 : Configuration des sourcesÉtape 4 : Configuration des paramètres de stockage et des régions cumulatives (facultatif)Étape 5 : Afficher et interroger vos propres donnéesÉtape 6 : créer des abonnés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation de Security Lake par programmation

Ce didacticiel explique comment activer et commencer à utiliser Security Lake par programmation. L'API Amazon Security Lake vous donne un accès complet et programmatique à votre compte, à vos données et à vos ressources Security Lake. Vous pouvez également utiliser les outils de ligne de AWS commande (AWS Command Line Interfaceou les AWS outils pour PowerShell) ou pour accéder AWS SDKsà Security Lake.

Étape 1 : créer des rôles IAM

Si vous accédez à Security Lake par programmation, il est nécessaire de créer des rôles AWS Identity and Access Management (IAM) afin de configurer votre lac de données.

Important

Il n'est pas nécessaire de créer ces rôles IAM si vous utilisez la console Security Lake pour activer et configurer Security Lake.

Vous devez créer des rôles dans IAM si vous comptez effectuer une ou plusieurs des actions suivantes (cliquez sur les liens pour obtenir plus d'informations sur les rôles IAM pour chaque action) :

Après avoir créé les rôles mentionnés précédemment, joignez le AmazonSecurityLakeAdministrator AWS politique gérée pour le rôle que vous utilisez pour activer Security Lake. Cette politique accorde des autorisations administratives qui permettent à un mandant d'intégrer Security Lake et d'accéder à toutes les actions de Security Lake.

Joignez le AmazonSecurityLakeMetaStoreManager AWS politique gérée pour créer votre lac de données ou interroger des données depuis Security Lake. Cette politique est nécessaire pour que Security Lake puisse prendre en charge les tâches d'extraction, de transformation et de chargement (ETL) sur les données brutes des journaux et des événements qu'il reçoit des sources.

Étape 2 : activer Amazon Security Lake

Pour activer Security Lake par programmation, utilisez CreateDataLakefonctionnement de l'API Security Lake. Si vous utilisez le AWS CLI, exécutez la create-data-lakecommande. Dans votre demande, utilisez le region champ de l'configurationsobjet pour spécifier le code de région dans lequel vous souhaitez activer Security Lake. Pour obtenir la liste des codes de région, consultez la section Points de terminaison Amazon Security Lake dans le Références générales AWS.

Exemple 1

L'exemple de commande suivant active Security Lake dans les us-east-2 régions us-east-1 et. Dans les deux régions, ce lac de données est chiffré avec des clés gérées par Amazon S3. Les objets expirent au bout de 365 jours et passent à la classe de stockage ONEZONE_IA S3 au bout de 60 jours. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Exemple 2

L'exemple de commande suivant active Security Lake dans la us-east-2 région. Ce lac de données est chiffré à l'aide d'une clé gérée par le client créée dans AWS Key Management Service (AWS KMS). Les objets expirent au bout de 500 jours et passent à la classe de stockage GLACIER S3 au bout de 30 jours. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
Note

Si vous avez déjà activé Security Lake et que vous souhaitez mettre à jour les paramètres de configuration d'une région ou d'une source, utilisez UpdateDataLakeopération, ou si vous utilisez la AWS CLIupdate-data-lakecommande. N'utilisez pas l'CreateDataLakeopération.

Étape 3 : Configuration des sources

Security Lake collecte les données des journaux et des événements à partir de diverses sources et sur votre Comptes AWS territoire Régions AWS. Suivez ces instructions pour identifier les données que vous souhaitez que Security Lake collecte. Vous ne pouvez utiliser ces instructions que pour ajouter une source prise en charge nativement Service AWS . Pour plus d'informations sur l'ajout d'une source personnalisée, consultezCollecte de données à partir de sources personnalisées dans Security Lake.

Pour définir une ou plusieurs sources de collecte par programmation, utilisez le CreateAwsLogSourcefonctionnement de l'API Security Lake. Pour chaque source, spécifiez une valeur unique régionale pour le sourceName paramètre. Utilisez éventuellement des paramètres supplémentaires pour limiter la portée de la source à des comptes spécifiques (accounts) ou à une version spécifique (sourceVersion).

Note

Si vous n'incluez aucun paramètre facultatif dans votre demande, Security Lake applique votre demande à tous les comptes ou à toutes les versions de la source spécifiée, en fonction du paramètre que vous excluez. Par exemple, si vous êtes l'administrateur délégué de Security Lake pour une organisation et que vous excluez le accounts paramètre, Security Lake applique votre demande à tous les comptes de votre organisation. De même, si vous excluez le sourceVersion paramètre, Security Lake applique votre demande à toutes les versions de la source spécifiée.

Si votre demande indique une région dans laquelle vous n'avez pas activé Security Lake, une erreur se produit. Pour corriger cette erreur, assurez-vous que le regions tableau indique uniquement les régions dans lesquelles vous avez activé Security Lake. Vous pouvez également activer Security Lake dans la région, puis soumettre à nouveau votre demande.

Lorsque vous activez Security Lake dans un compte pour la première fois, toutes les sources de journaux et d'événements sélectionnées feront l'objet d'une période d'essai gratuite de 15 jours. Pour plus d'informations sur les statistiques d'utilisation, consultezRévision de l'utilisation et des coûts estimés.

Étape 4 : Configuration des paramètres de stockage et des régions cumulatives (facultatif)

Vous pouvez spécifier la classe de stockage Amazon S3 dans laquelle vous souhaitez que Security Lake stocke vos données et pendant combien de temps. Vous pouvez également spécifier une région cumulative pour consolider les données de plusieurs régions. Il s'agit d'étapes facultatives. Pour de plus amples informations, veuillez consulter Gestion du cycle de vie dans Security Lake.

Pour définir un objectif cible par programmation lorsque vous activez Security Lake, utilisez le CreateDataLakefonctionnement de l'API Security Lake. Si vous avez déjà activé Security Lake et que vous souhaitez définir un objectif cible, utilisez le UpdateDataLakeopération, pas l'CreateDataLakeopération.

Quelle que soit l'opération, utilisez les paramètres pris en charge pour spécifier les paramètres de configuration souhaités :

  • Pour spécifier une région de cumul, utilisez le region champ pour spécifier la région dans laquelle vous souhaitez fournir des données aux régions de cumul. Dans le regions tableau de l'replicationConfigurationobjet, spécifiez le code de région pour chaque région cumulative. Pour obtenir la liste des codes de région, consultez la section Points de terminaison Amazon Security Lake dans le Références générales AWS.

  • Pour définir les paramètres de conservation de vos données, utilisez les lifecycleConfiguration paramètres suivants :

    • Pourtransitions, spécifiez le nombre total de jours (days) pendant lesquels vous souhaitez stocker des objets S3 dans une classe de stockage Amazon S3 spécifique (storageClass).

    • Pourexpiration, spécifiez le nombre total de jours pendant lesquels vous souhaitez stocker des objets dans Amazon S3, en utilisant n'importe quelle classe de stockage, après la création des objets. Lorsque cette période de rétention prend fin, les objets expirent et Amazon S3 les supprime.

    Security Lake applique les paramètres de rétention spécifiés à la région que vous spécifiez dans le region champ de l'configurationsobjet.

Par exemple, la commande suivante crée un lac de données ap-northeast-2 sous forme de région cumulative. La us-east-1 Région fournira des données à la ap-northeast-2 Région. Cet exemple établit également une période d'expiration de 10 jours pour les objets ajoutés au lac de données.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Vous avez maintenant créé votre lac de données. Utilisation de la ListDataLakesfonctionnement de l'API Security Lake pour vérifier l'activation de Security Lake et des paramètres de votre lac de données dans chaque région.

Si des problèmes ou des erreurs surviennent lors de la création de votre lac de données, vous pouvez consulter la liste des exceptions à l'aide du ListDataLakeExceptionsopération, et informez les utilisateurs des exceptions à l'aide du CreateDataLakeExceptionSubscriptionopération. Pour de plus amples informations, veuillez consulter Résolution des problèmes liés à l'état des lacs.

Étape 5 : Afficher et interroger vos propres données

Après avoir créé votre lac de données, vous pouvez utiliser Amazon Athena ou des services similaires pour afficher et interroger vos données à partir de AWS Lake Formation bases de données et de tables. Lorsque vous activez Security Lake par programmation, les autorisations d'affichage de la base de données ne sont pas accordées automatiquement. Le compte administrateur du lac de données AWS Lake Formation doit accorder SELECT des autorisations au rôle IAM que vous souhaitez utiliser pour interroger les bases de données et les tables pertinentes. Le rôle doit au minimum disposer des autorisations d'analyste de données. Pour plus d'informations sur les niveaux d'autorisation, consultez les sections Personnas de Lake Formation et Référence des autorisations IAM. Pour obtenir des instructions sur l'octroi d'SELECTautorisations, consultez la section Octroi d'autorisations au catalogue de données à l'aide de la méthode des ressources nommées dans le guide du AWS Lake Formation développeur.

Étape 6 : créer des abonnés

Après avoir créé votre lac de données, vous pouvez ajouter des abonnés pour consommer vos données. Les abonnés peuvent consommer des données en accédant directement aux objets de vos compartiments Amazon S3 ou en interrogeant le lac de données. Pour plus d'informations sur les abonnés, consultezGestion des abonnés dans Security Lake.