Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengaktifkan Security Lake secara terprogram
Tutorial ini menjelaskan cara mengaktifkan dan mulai menggunakan Security Lake secara terprogram. Amazon Security Lake API memberi Anda akses terprogram yang komprehensif ke akun, data, dan sumber daya Security Lake Anda. Atau, Anda dapat menggunakan alat baris AWS perintah — AWS Command Line Interfaceatau AWS Alat untuk PowerShell —atau AWS SDKs
Langkah 1: Buat IAM peran
Jika Anda mengakses Security Lake secara terprogram, Anda perlu membuat beberapa peran AWS Identity and Access Management (IAM) untuk mengonfigurasi data lake Anda.
penting
Tidak perlu membuat IAM peran ini jika Anda menggunakan konsol Security Lake untuk mengaktifkan dan mengkonfigurasi Security Lake.
Anda harus membuat peran IAM jika Anda akan mengambil satu atau beberapa tindakan berikut (pilih tautan untuk melihat informasi selengkapnya tentang IAM peran untuk setiap tindakan):
-
Membuat sumber kustom — Sumber kustom adalah sumber selain yang didukung secara asli Layanan AWS yang mengirim data ke Security Lake.
-
Membuat pelanggan dengan akses data — Pelanggan dengan izin dapat langsung mengakses objek S3 dari danau data Anda.
-
Membuat pelanggan dengan akses kueri — Pelanggan dengan izin dapat meminta data dari Security Lake menggunakan layanan seperti Amazon Athena.
-
Mengkonfigurasi Wilayah rollup — Wilayah rollup mengkonsolidasikan data dari beberapa. Wilayah AWS
Setelah membuat peran yang disebutkan sebelumnya, lampirkan AmazonSecurityLakeAdministrator AWS kebijakan terkelola untuk peran yang Anda gunakan untuk mengaktifkan Security Lake. Kebijakan ini memberikan izin administratif yang memungkinkan kepala sekolah untuk masuk ke Security Lake dan mengakses semua tindakan Security Lake.
Lampirkan AmazonSecurityLakeMetaStoreManager AWS kebijakan terkelola untuk membuat data lake atau data kueri dari Security Lake. Kebijakan ini diperlukan untuk Security Lake untuk mendukung mengekstrak, mengubah, dan memuat (ETL) pekerjaan pada log mentah dan data peristiwa yang diterimanya dari sumber.
Langkah 2: Aktifkan Amazon Security Lake
Untuk mengaktifkan Security Lake secara terprogram, gunakan CreateDataLakeOperasi Danau API Keamanan Jika Anda menggunakan AWS CLI, jalankan create-data-lakeregion
bidang configurations
objek untuk menentukan kode Wilayah untuk Wilayah untuk mengaktifkan Danau Keamanan. Untuk daftar kode Wilayah, lihat titik akhir Amazon Security Lake di. Referensi Umum AWS
Contoh 1
Contoh perintah berikut memungkinkan Security Lake in the us-east-1
and us-east-2
Regions. Di kedua Wilayah, danau data ini dienkripsi dengan kunci terkelola Amazon S3. Objek kedaluwarsa setelah 365 hari, dan objek bertransisi ke kelas penyimpanan ONEZONE_IA
S3 setelah 60 hari. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.
$
aws securitylake create-data-lake \ --configurations '[{"encryptionConfiguration": {"kmsKeyId":"
S3_MANAGED_KEY
"},"region":"us-east-1
","lifecycleConfiguration": {"expiration":{"days":365
},"transitions":[{"days":60
,"storageClass":"ONEZONE_IA
"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY
"},"region":"us-east-2
","lifecycleConfiguration": {"expiration":{"days":365
},"transitions":[{"days":60
,"storageClass":"ONEZONE_IA
"}]}}]' \ --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager
"
Contoh 2
Contoh perintah berikut memungkinkan Security Lake in the us-east-2
Region. Data lake ini dienkripsi dengan kunci terkelola pelanggan yang dibuat di
AWS Key Management Service ()AWS KMS. Objek kedaluwarsa setelah 500 hari, dan objek beralih ke kelas penyimpanan GLACIER
S3 setelah 30 hari. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.
$
aws securitylake create-data-lake \ --configurations '[{"encryptionConfiguration": {"kmsKeyId":"
1234abcd-12ab-34cd-56ef-1234567890ab
"},"region":"us-east-2
","lifecycleConfiguration": {"expiration":{"days":500
},"transitions":[{"days":30
,"storageClass":"GLACIER
"}]}}]' \ --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager
"
catatan
Jika Anda telah mengaktifkan Security Lake dan ingin memperbarui pengaturan konfigurasi untuk Wilayah atau sumber, gunakan UpdateDataLakeoperasi, atau jika menggunakan AWS CLI, update-data-lakeCreateDataLake
operasi.
Langkah 3: Konfigurasikan sumber
Security Lake mengumpulkan data log dan peristiwa dari berbagai sumber dan di seluruh Anda Akun AWS dan Wilayah AWS. Ikuti petunjuk ini untuk mengidentifikasi data mana yang ingin dikumpulkan Security Lake. Anda hanya dapat menggunakan petunjuk ini untuk menambahkan sumber yang didukung secara asli Layanan AWS . Untuk informasi tentang menambahkan sumber kustom, lihatMengumpulkan data dari sumber khusus di Security Lake.
Untuk menentukan satu atau lebih sumber koleksi secara terprogram, gunakan CreateAwsLogSourcepengoperasian Danau Keamanan. API Untuk setiap sumber, tentukan nilai unik Regional untuk sourceName
parameter. Secara opsional gunakan parameter tambahan untuk membatasi ruang lingkup sumber ke akun tertentu (accounts
) atau versi tertentu (sourceVersion
).
catatan
Jika Anda tidak menyertakan parameter opsional dalam permintaan Anda, Security Lake menerapkan permintaan Anda ke semua akun atau semua versi sumber yang ditentukan, tergantung pada parameter yang Anda kecualikan. Misalnya, jika Anda adalah administrator Security Lake yang didelegasikan untuk organisasi dan Anda mengecualikan accounts
parameternya, Security Lake menerapkan permintaan Anda ke semua akun di organisasi Anda. Demikian pula, jika Anda mengecualikan sourceVersion
parameter, Security Lake menerapkan permintaan Anda ke semua versi sumber yang ditentukan.
Jika permintaan Anda menentukan Wilayah di mana Anda belum mengaktifkan Security Lake, terjadi kesalahan. Untuk mengatasi kesalahan ini, pastikan bahwa regions
array hanya menentukan Wilayah di mana Anda telah mengaktifkan Security Lake. Atau, Anda dapat mengaktifkan Danau Keamanan di Wilayah, dan kemudian mengirimkan permintaan Anda lagi.
Saat Anda mengaktifkan Security Lake di akun untuk pertama kalinya, semua log dan sumber peristiwa yang dipilih akan menjadi bagian dari periode uji coba gratis 15 hari. Untuk informasi selengkapnya tentang statistik penggunaan, lihatMeninjau penggunaan dan perkiraan biaya.
Langkah 4: Konfigurasikan pengaturan penyimpanan dan rollup Regions (opsional)
Anda dapat menentukan kelas penyimpanan Amazon S3 di mana Anda ingin Security Lake menyimpan data Anda dan untuk berapa lama. Anda juga dapat menentukan Wilayah rollup untuk mengkonsolidasikan data dari beberapa Wilayah. Ini adalah langkah opsional. Untuk informasi selengkapnya, lihat Manajemen siklus hidup di Security Lake.
Untuk menentukan tujuan target secara terprogram saat Anda mengaktifkan Security Lake, gunakan CreateDataLakeOperasi Danau API Keamanan Jika Anda sudah mengaktifkan Security Lake dan ingin menentukan tujuan target, gunakan UpdateDataLakeoperasi, bukan CreateDataLake
operasi.
Untuk operasi mana pun, gunakan parameter yang didukung untuk menentukan pengaturan konfigurasi yang Anda inginkan:
-
Untuk menentukan Wilayah rollup, gunakan
region
bidang untuk menentukan Wilayah yang ingin Anda sumbangkan data ke Wilayah rollup. Dalamregions
larikreplicationConfiguration
objek, tentukan kode Wilayah untuk setiap Wilayah rollup. Untuk daftar kode Wilayah, lihat titik akhir Amazon Security Lake di. Referensi Umum AWS -
Untuk menentukan pengaturan retensi untuk data Anda, gunakan
lifecycleConfiguration
parameter:-
Untuk
transitions
, tentukan jumlah total days (days
) yang ingin Anda simpan objek S3 di kelasstorageClass
penyimpanan Amazon S3 tertentu (). -
Untuk
expiration
, tentukan jumlah hari yang ingin Anda simpan objek di Amazon S3, menggunakan kelas penyimpanan apa pun, setelah objek dibuat. Ketika periode retensi ini berakhir, objek kedaluwarsa dan Amazon S3 menghapusnya.
Security Lake menerapkan pengaturan retensi yang ditentukan ke Wilayah yang Anda tentukan di
region
bidangconfigurations
objek. -
Misalnya, perintah berikut membuat data lake dengan ap-northeast-2
sebagai Region rollup. us-east-1
Wilayah akan menyumbangkan data ke ap-northeast-2
Wilayah. Contoh ini juga menetapkan periode kedaluwarsa 10 hari untuk objek yang ditambahkan ke danau data.
$
aws securitylake create-data-lake \ --configurations '[{"encryptionConfiguration": {"kmsKeyId":"
S3_MANAGED_KEY
"},"region":"us-east-1
","replicationConfiguration": {"regions": ["ap-northeast-2
"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole
"},"lifecycleConfiguration": {"expiration":{"days":10
}}}]' \ --meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager
"
Anda sekarang telah membuat danau data Anda. Gunakan ListDataLakespengoperasian Danau Keamanan API untuk memverifikasi pemberdayaan Danau Keamanan dan pengaturan danau data Anda di setiap Wilayah.
Jika masalah atau kesalahan muncul dalam pembuatan data lake Anda, Anda dapat melihat daftar pengecualian dengan menggunakan ListDataLakeExceptionsoperasi, dan memberi tahu pengguna tentang pengecualian dengan CreateDataLakeExceptionSubscriptionoperasi. Untuk informasi selengkapnya, lihat Memecahkan masalah status danau data.
Langkah 5: Lihat dan kueri data Anda sendiri
Setelah membuat data lake Anda, Anda dapat menggunakan Amazon Athena atau layanan serupa untuk melihat dan menanyakan data Anda dari AWS Lake Formation database dan tabel. Saat Anda mengaktifkan Security Lake secara terprogram, izin tampilan database tidak diberikan secara otomatis. Akun administrator data lake AWS Lake Formation harus memberikan SELECT
izin ke IAM peran yang ingin Anda gunakan untuk menanyakan database dan tabel yang relevan. Minimal, peran tersebut harus memiliki izin analis data. Untuk informasi selengkapnya tentang tingkat izin, lihat personas Lake Formation dan referensi IAM izin. Untuk petunjuk tentang pemberian SELECT
izin, lihat Memberikan izin Katalog Data menggunakan metode sumber daya bernama di Panduan Pengembang.AWS Lake Formation
Langkah 6: Buat pelanggan
Setelah membuat data lake Anda, Anda dapat menambahkan pelanggan untuk mengkonsumsi data Anda. Pelanggan dapat menggunakan data dengan langsung mengakses objek di bucket Amazon S3 Anda atau dengan menanyakan data lake. Untuk informasi selengkapnya tentang pelanggan, lihatManajemen pelanggan di Security Lake.