Conditions requises pour créer un abonné ayant accès aux données dans Security Lake - Amazon Security Lake
Vérifier les autorisationsObtenez l'identifiant externe de l'abonnéCréer un rôle IAM pour appeler des destinations EventBridge d'API (API et étape AWS CLI uniquement)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conditions requises pour créer un abonné ayant accès aux données dans Security Lake

Vous devez remplir les conditions préalables suivantes avant de pouvoir créer un abonné ayant accès aux données dans Security Lake.

Vérifier les autorisations

Pour vérifier vos autorisations, utilisez IAM pour passer en revue les politiques IAM associées à votre identité IAM. Comparez ensuite les informations contenues dans ces politiques à la liste suivante des actions (autorisations) que vous devez effectuer pour informer les abonnés lorsque de nouvelles données sont écrites dans le lac de données.

Vous aurez besoin d'une autorisation pour effectuer les actions suivantes :

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

Outre la liste précédente, vous devez également être autorisé à effectuer les actions suivantes :

  • events:CreateApiDestination

  • events:CreateConnection

  • events:DescribeRule

  • events:ListApiDestinations

  • events:ListConnections

  • events:PutRule

  • events:PutTargets

  • s3:GetBucketNotification

  • s3:PutBucketNotification

  • sqs:CreateQueue

  • sqs:DeleteQueue

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:SetQueueAttributes

Obtenez l'identifiant externe de l'abonné

Pour créer un abonné, outre son Compte AWS identifiant, vous devez également obtenir son identifiant externe. L'identifiant externe est un identifiant unique que l'abonné vous fournit. Security Lake ajoute l'ID externe au rôle IAM d'abonné qu'il crée. Vous utilisez l'ID externe lorsque vous créez un abonné dans la console Security Lake, via l'API, ou AWS CLI.

Pour plus d'informations sur l'utilisation d'un identifiant externe IDs, consultez la section Comment utiliser un identifiant externe lorsque vous accordez l'accès à vos AWS ressources à un tiers dans le guide de l'utilisateur IAM.

Important

Si vous prévoyez d'utiliser la console Security Lake pour ajouter un abonné, vous pouvez ignorer l'étape suivante et passer àCréation d'un abonné avec accès aux données dans Security Lake. La console Security Lake propose un processus de démarrage rationalisé et crée tous les rôles IAM nécessaires ou utilise les rôles existants en votre nom.

Si vous prévoyez d'utiliser l'API Security Lake ou d' AWS CLI ajouter un abonné, passez à l'étape suivante qui consiste à créer un rôle IAM pour appeler les destinations d' EventBridge API.

Créer un rôle IAM pour appeler des destinations EventBridge d'API (API et étape AWS CLI uniquement)

Si vous utilisez Security Lake via une API ou AWS CLI si vous créez un rôle dans AWS Identity and Access Management (IAM) qui autorise Amazon à invoquer des destinations EventBridge d'API et à envoyer des notifications d'objets aux points de terminaison HTTPS appropriés.

Après avoir créé ce rôle IAM, vous aurez besoin du nom de ressource Amazon (ARN) du rôle pour créer l'abonné. Ce rôle IAM n'est pas nécessaire si l'abonné interroge les données d'une file d'attente Amazon Simple Queue Service (Amazon SQS) ou interroge directement les données auprès de celle-ci. AWS Lake Formation Pour plus d'informations sur ce type de méthode d'accès aux données (type d'accès), consultezGestion de l'accès aux requêtes pour les abonnés de Security Lake.

Associez la politique suivante à votre rôle IAM :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInvokeApiDestination",
            "Effect": "Allow",
            "Action": [
                "events:InvokeApiDestination"
            ],
            "Resource": [
                "arn:aws:events:{us-west-2}:{123456789012}:api-destination/AmazonSecurityLake*/*"
            ]
        }
    ]
}

Associez la politique de confiance suivante à votre rôle IAM pour vous EventBridge permettre d'assumer ce rôle :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEventBridgeToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Afficher plusAfficher moins

Security Lake crée automatiquement un rôle IAM qui permet à l'abonné de lire les données du lac de données (ou d'interroger les événements d'une file d'attente Amazon SQS s'il s'agit de la méthode de notification préférée). Ce rôle est protégé par une politique AWS gérée appelée AmazonSecurityLakePermissionsBoundary.