Membuat pelanggan dengan akses kueri di Security Lake - Danau Keamanan Amazon
Menyiapkan berbagi tabel lintas akun (langkah pelanggan)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat pelanggan dengan akses kueri di Security Lake

Pilih metode pilihan Anda untuk membuat pelanggan dengan akses kueri saat ini Wilayah AWS. Pelanggan dapat meminta data hanya dari Wilayah AWS yang dibuat. Untuk membuat pelanggan, Anda harus memiliki Akun AWS ID dan ID eksternal pelanggan. ID eksternal adalah pengidentifikasi unik yang disediakan pelanggan kepada Anda. Untuk informasi selengkapnya tentang eksternalIDs, lihat Cara menggunakan ID eksternal saat memberikan akses ke AWS sumber daya Anda kepada pihak ketiga dalam Panduan IAM Pengguna.

catatan

Security Lake tidak mendukung berbagi data lintas akun Lake Formation versi 1. Anda harus memperbarui berbagi data lintas akun Lake Formation ke versi 2 atau versi 3. Untuk langkah-langkah memperbarui pengaturan versi Cross account melalui AWS Lake Formation konsol atau AWS CLI, lihat Untuk mengaktifkan versi baru di Panduan AWS Lake Formation Pengembang.

Console

  1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

    Masuk ke akun administrator yang didelegasikan.

  2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin membuat pelanggan.

  3. Di panel navigasi, pilih Pelanggan.

  4. Pada halaman Pelanggan, pilih Buat pelanggan.

  5. Untuk detail Pelanggan, masukkan nama Pelanggan dan Deskripsi opsional.

    Wilayah terisi otomatis seperti yang Anda pilih saat ini Wilayah AWS dan tidak dapat diubah.

  6. Untuk sumber Log dan peristiwa, pilih sumber mana yang ingin disertakan Security Lake saat mengembalikan hasil kueri.

  7. Untuk metode akses Data, pilih Lake Formation untuk membuat akses kueri bagi pelanggan.

  8. Untuk kredensi Pelanggan, berikan ID pelanggan dan Akun AWS ID eksternal.

  9. (Opsional) Untuk Tag, masukkan sebanyak 50 tag untuk ditetapkan ke pelanggan.

    Tag adalah label yang dapat Anda tentukan dan tetapkan ke jenis AWS sumber daya tertentu. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Tag dapat membantu Anda mengidentifikasi, mengkategorikan, dan mengelola sumber daya dengan berbagai cara. Untuk mempelajari selengkapnya, lihat Menandai sumber daya Danau Keamanan.

  10. Pilih Buat.

API

Untuk membuat pelanggan dengan akses kueri secara terprogram, gunakan CreateSubscriberpengoperasian Danau Keamanan. API Jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan perintah create-subscriber.

Dalam permintaan Anda, gunakan parameter ini untuk menentukan pengaturan berikut untuk pelanggan:

  • Untuk accessTypes, tentukan LAKEFORMATION.

  • Untuksources, tentukan setiap sumber yang ingin disertakan Security Lake saat mengembalikan hasil kueri.

  • UntuksubscriberIdentity, tentukan AWS identitas dan ID eksternal yang digunakan pelanggan untuk menanyakan data sumber.

Contoh berikut membuat pelanggan dengan akses query di AWS Wilayah saat ini untuk identitas pelanggan yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

Menyiapkan berbagi tabel lintas akun (langkah pelanggan)

Security Lake menggunakan berbagi tabel lintas akun Lake Formation untuk mendukung akses kueri pelanggan. Saat Anda membuat pelanggan dengan akses kueri di konsol Security Lake, API AWS CLI, atau Security Lake membagikan informasi tentang tabel Lake Formation yang relevan dengan pelanggan dengan membuat pembagian sumber daya di AWS Resource Access Manager ()AWS RAM.

Saat Anda membuat jenis pengeditan tertentu ke pelanggan dengan akses kueri, Security Lake membuat pembagian sumber daya baru. Untuk informasi selengkapnya, lihat Mengedit pelanggan dengan akses kueri di Security Lake.

Pelanggan harus mengikuti langkah-langkah ini untuk mengkonsumsi data dari tabel Lake Formation Anda:

  1. Terima pembagian sumber daya — Pelanggan harus menerima pembagian sumber daya yang memiliki resourceShareArn dan resourceShareName yang dihasilkan saat Anda membuat atau mengedit pelanggan. Pilih salah satu metode akses berikut:

    Undangan berbagi sumber daya kedaluwarsa dalam 12 jam, jadi Anda harus memvalidasi dan menerima undangan dalam waktu 12 jam. Jika undangan kedaluwarsa, Anda terus melihatnya dalam PENDING status, tetapi menerimanya tidak akan memberi Anda akses ke sumber daya bersama. Ketika lebih dari 12 jam telah berlalu, hapus pelanggan Lake Formation dan buat ulang pelanggan untuk mendapatkan undangan berbagi sumber daya baru.

  2. Buat tautan sumber daya ke database bersama — Pelanggan harus membuat tautan sumber daya ke database Lake Formation bersama di AWS Lake Formation (jika menggunakan konsol) atau AWS Glue (jika menggunakanAPI/AWSCLI). Tautan sumber daya ini mengarahkan akun pelanggan ke database bersama. Pilih salah satu metode akses berikut:

  3. Kueri tabel bersama — Layanan seperti Amazon Athena dapat merujuk ke tabel secara langsung, dan data baru yang dikumpulkan Security Lake secara otomatis tersedia untuk kueri. Kueri berjalan di pelanggan Akun AWS, dan biaya yang dikeluarkan dari kueri ditagih ke pelanggan. Anda dapat mengontrol akses baca ke sumber daya di akun Security Lake Anda sendiri.

Untuk informasi selengkapnya tentang pemberian izin lintas akun, lihat Berbagi data lintas akun di Lake Formation di Panduan Pengembang.AWS Lake Formation