Conditions requises pour créer un abonné ayant accès aux données dans Security Lake - Amazon Security Lake
Vérifier les autorisationsObtenez l'identifiant externe de l'abonnéCréer un IAM rôle pour invoquer des EventBridge API destinations (APIet étape AWS CLI uniquement)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conditions requises pour créer un abonné ayant accès aux données dans Security Lake

Vous devez remplir les conditions préalables suivantes avant de pouvoir créer un abonné ayant accès aux données dans Security Lake.

Vérifier les autorisations

Pour vérifier vos autorisations, utilisez cette option IAM pour consulter les IAM politiques associées à votre IAM identité. Comparez ensuite les informations contenues dans ces politiques à la liste suivante des actions (autorisations) que vous devez effectuer pour informer les abonnés lorsque de nouvelles données sont écrites dans le lac de données.

Vous aurez besoin d'une autorisation pour effectuer les actions suivantes :

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

Outre la liste précédente, vous devez également être autorisé à effectuer les actions suivantes :

  • events:CreateApiDestination

  • events:CreateConnection

  • events:DescribeRule

  • events:ListApiDestinations

  • events:ListConnections

  • events:PutRule

  • events:PutTargets

  • s3:GetBucketNotification

  • s3:PutBucketNotification

  • sqs:CreateQueue

  • sqs:DeleteQueue

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:SetQueueAttributes

Obtenez l'identifiant externe de l'abonné

Pour créer un abonné, outre son Compte AWS identifiant, vous devez également obtenir son identifiant externe. L'identifiant externe est un identifiant unique que l'abonné vous fournit. Security Lake ajoute l'ID externe au IAM rôle d'abonné qu'il crée. Vous utilisez l'ID externe lorsque vous créez un abonné dans la console Security Lake, via leAPI, ou AWS CLI.

Pour plus d'informations sur l'utilisation d'un identifiant externeIDs, consultez la section Comment utiliser un identifiant externe lorsque vous accordez l'accès à vos AWS ressources à un tiers dans le guide de IAM l'utilisateur.

Important

Si vous prévoyez d'utiliser la console Security Lake pour ajouter un abonné, vous pouvez ignorer l'étape suivante et passer àCréation d'un abonné avec accès aux données dans Security Lake. La console Security Lake propose un processus de démarrage simplifié et crée tous les IAM rôles nécessaires ou utilise les rôles existants en votre nom.

Si vous prévoyez d'utiliser Security Lake API ou d' AWS CLI ajouter un abonné, passez à l'étape suivante pour créer un IAM rôle permettant d'appeler des EventBridge API destinations.

Créer un IAM rôle pour invoquer des EventBridge API destinations (APIet étape AWS CLI uniquement)

Si vous utilisez Security Lake via API ou AWS CLI, créez un rôle dans AWS Identity and Access Management (IAM) qui autorise Amazon EventBridge à appeler des API destinations et à envoyer des notifications d'objets aux HTTPS points de terminaison appropriés.

Après avoir créé ce IAM rôle, vous aurez besoin du nom de ressource Amazon (ARN) du rôle pour créer l'abonné. Ce IAM rôle n'est pas nécessaire si l'abonné interroge les données d'une file d'attente Amazon Simple Queue Service (AmazonSQS) ou interroge directement les données auprès de celle-ci AWS Lake Formation. Pour plus d'informations sur ce type de méthode d'accès aux données (type d'accès), consultezGestion de l'accès aux requêtes pour les abonnés de Security Lake.

Associez la politique suivante à votre IAM rôle :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInvokeApiDestination",
            "Effect": "Allow",
            "Action": [
                "events:InvokeApiDestination"
            ],
            "Resource": [
                "arn:aws:events:{us-west-2}:{123456789012}:api-destination/AmazonSecurityLake*/*"
            ]
        }
    ]
}

Attachez la politique de confiance suivante à votre IAM rôle pour vous EventBridge permettre d'assumer ce rôle :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEventBridgeToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Afficher plusAfficher moins

Security Lake crée automatiquement un IAM rôle qui permet à l'abonné de lire les données du lac de données (ou d'interroger les événements d'une SQS file d'attente Amazon s'il s'agit de la méthode de notification préférée). Ce rôle est protégé par une politique AWS gérée appelée AmazonSecurityLakePermissionsBoundary.