Mengaktifkan Security Lake secara terprogram - Danau Keamanan Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan Security Lake secara terprogram

Tutorial ini menjelaskan cara mengaktifkan dan mulai menggunakan Security Lake secara terprogram. Amazon Security Lake API memberi Anda akses terprogram yang komprehensif ke akun, data, dan sumber daya Security Lake Anda. Atau, Anda dapat menggunakan alat baris AWS perintah — AWS Command Line Interfaceatau AWS Alat untuk PowerShell —atau AWS SDKsuntuk mengakses Security Lake.

Langkah 1: Buat IAM peran

Jika Anda mengakses Security Lake secara terprogram, Anda perlu membuat beberapa peran AWS Identity and Access Management (IAM) untuk mengonfigurasi data lake Anda.

penting

Tidak perlu membuat IAM peran ini jika Anda menggunakan konsol Security Lake untuk mengaktifkan dan mengkonfigurasi Security Lake.

Anda harus membuat peran IAM jika Anda akan mengambil satu atau beberapa tindakan berikut (pilih tautan untuk melihat informasi selengkapnya tentang IAM peran untuk setiap tindakan):

Setelah membuat peran yang disebutkan sebelumnya, lampirkan AmazonSecurityLakeAdministrator AWS kebijakan terkelola untuk peran yang Anda gunakan untuk mengaktifkan Security Lake. Kebijakan ini memberikan izin administratif yang memungkinkan kepala sekolah untuk masuk ke Security Lake dan mengakses semua tindakan Security Lake.

Lampirkan AmazonSecurityLakeMetaStoreManager AWS kebijakan terkelola untuk membuat data lake atau data kueri dari Security Lake. Kebijakan ini diperlukan untuk Security Lake untuk mendukung mengekstrak, mengubah, dan memuat (ETL) pekerjaan pada log mentah dan data peristiwa yang diterimanya dari sumber.

Langkah 2: Aktifkan Amazon Security Lake

Untuk mengaktifkan Security Lake secara terprogram, gunakan CreateDataLakeOperasi Danau API Keamanan Jika Anda menggunakan AWS CLI, jalankan create-data-lakeperintah. Dalam permintaan Anda, gunakan region bidang configurations objek untuk menentukan kode Wilayah untuk Wilayah untuk mengaktifkan Danau Keamanan. Untuk daftar kode Wilayah, lihat titik akhir Amazon Security Lake di. Referensi Umum AWS

Contoh 1

Contoh perintah berikut memungkinkan Security Lake in the us-east-1 and us-east-2 Regions. Di kedua Wilayah, danau data ini dienkripsi dengan kunci terkelola Amazon S3. Objek kedaluwarsa setelah 365 hari, dan objek bertransisi ke kelas penyimpanan ONEZONE_IA S3 setelah 60 hari. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securitylake create-data-lake \ --configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \ --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Contoh 2

Contoh perintah berikut memungkinkan Security Lake in the us-east-2 Region. Data lake ini dienkripsi dengan kunci terkelola pelanggan yang dibuat di AWS Key Management Service ()AWS KMS. Objek kedaluwarsa setelah 500 hari, dan objek beralih ke kelas penyimpanan GLACIER S3 setelah 30 hari. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securitylake create-data-lake \ --configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \ --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
catatan

Jika Anda telah mengaktifkan Security Lake dan ingin memperbarui pengaturan konfigurasi untuk Wilayah atau sumber, gunakan UpdateDataLakeoperasi, atau jika menggunakan AWS CLI, update-data-lakeperintah. Jangan gunakan CreateDataLake operasi.

Langkah 3: Konfigurasikan sumber

Security Lake mengumpulkan data log dan peristiwa dari berbagai sumber dan di seluruh Anda Akun AWS dan Wilayah AWS. Ikuti petunjuk ini untuk mengidentifikasi data mana yang ingin dikumpulkan Security Lake. Anda hanya dapat menggunakan petunjuk ini untuk menambahkan sumber yang didukung secara asli Layanan AWS . Untuk informasi tentang menambahkan sumber kustom, lihatMengumpulkan data dari sumber khusus di Security Lake.

Untuk menentukan satu atau lebih sumber koleksi secara terprogram, gunakan CreateAwsLogSourcepengoperasian Danau Keamanan. API Untuk setiap sumber, tentukan nilai unik Regional untuk sourceName parameter. Secara opsional gunakan parameter tambahan untuk membatasi ruang lingkup sumber ke akun tertentu (accounts) atau versi tertentu (sourceVersion).

catatan

Jika Anda tidak menyertakan parameter opsional dalam permintaan Anda, Security Lake menerapkan permintaan Anda ke semua akun atau semua versi sumber yang ditentukan, tergantung pada parameter yang Anda kecualikan. Misalnya, jika Anda adalah administrator Security Lake yang didelegasikan untuk organisasi dan Anda mengecualikan accounts parameternya, Security Lake menerapkan permintaan Anda ke semua akun di organisasi Anda. Demikian pula, jika Anda mengecualikan sourceVersion parameter, Security Lake menerapkan permintaan Anda ke semua versi sumber yang ditentukan.

Jika permintaan Anda menentukan Wilayah di mana Anda belum mengaktifkan Security Lake, terjadi kesalahan. Untuk mengatasi kesalahan ini, pastikan bahwa regions array hanya menentukan Wilayah di mana Anda telah mengaktifkan Security Lake. Atau, Anda dapat mengaktifkan Danau Keamanan di Wilayah, dan kemudian mengirimkan permintaan Anda lagi.

Saat Anda mengaktifkan Security Lake di akun untuk pertama kalinya, semua log dan sumber peristiwa yang dipilih akan menjadi bagian dari periode uji coba gratis 15 hari. Untuk informasi selengkapnya tentang statistik penggunaan, lihatMeninjau penggunaan dan perkiraan biaya.

Langkah 4: Konfigurasikan pengaturan penyimpanan dan rollup Regions (opsional)

Anda dapat menentukan kelas penyimpanan Amazon S3 di mana Anda ingin Security Lake menyimpan data Anda dan untuk berapa lama. Anda juga dapat menentukan Wilayah rollup untuk mengkonsolidasikan data dari beberapa Wilayah. Ini adalah langkah opsional. Untuk informasi selengkapnya, lihat Manajemen siklus hidup di Security Lake.

Untuk menentukan tujuan target secara terprogram saat Anda mengaktifkan Security Lake, gunakan CreateDataLakeOperasi Danau API Keamanan Jika Anda sudah mengaktifkan Security Lake dan ingin menentukan tujuan target, gunakan UpdateDataLakeoperasi, bukan CreateDataLake operasi.

Untuk operasi mana pun, gunakan parameter yang didukung untuk menentukan pengaturan konfigurasi yang Anda inginkan:

  • Untuk menentukan Wilayah rollup, gunakan region bidang untuk menentukan Wilayah yang ingin Anda sumbangkan data ke Wilayah rollup. Dalam regions larik replicationConfiguration objek, tentukan kode Wilayah untuk setiap Wilayah rollup. Untuk daftar kode Wilayah, lihat titik akhir Amazon Security Lake di. Referensi Umum AWS

  • Untuk menentukan pengaturan retensi untuk data Anda, gunakan lifecycleConfiguration parameter:

    • Untuktransitions, tentukan jumlah total days (days) yang ingin Anda simpan objek S3 di kelas storageClass penyimpanan Amazon S3 tertentu ().

    • Untukexpiration, tentukan jumlah hari yang ingin Anda simpan objek di Amazon S3, menggunakan kelas penyimpanan apa pun, setelah objek dibuat. Ketika periode retensi ini berakhir, objek kedaluwarsa dan Amazon S3 menghapusnya.

    Security Lake menerapkan pengaturan retensi yang ditentukan ke Wilayah yang Anda tentukan di region bidang configurations objek.

Misalnya, perintah berikut membuat data lake dengan ap-northeast-2 sebagai Region rollup. us-east-1Wilayah akan menyumbangkan data ke ap-northeast-2 Wilayah. Contoh ini juga menetapkan periode kedaluwarsa 10 hari untuk objek yang ditambahkan ke danau data.

$ aws securitylake create-data-lake \ --configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \ --meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Anda sekarang telah membuat danau data Anda. Gunakan ListDataLakespengoperasian Danau Keamanan API untuk memverifikasi pemberdayaan Danau Keamanan dan pengaturan danau data Anda di setiap Wilayah.

Jika masalah atau kesalahan muncul dalam pembuatan data lake Anda, Anda dapat melihat daftar pengecualian dengan menggunakan ListDataLakeExceptionsoperasi, dan memberi tahu pengguna tentang pengecualian dengan CreateDataLakeExceptionSubscriptionoperasi. Untuk informasi selengkapnya, lihat Memecahkan masalah status danau data.

Langkah 5: Lihat dan kueri data Anda sendiri

Setelah membuat data lake Anda, Anda dapat menggunakan Amazon Athena atau layanan serupa untuk melihat dan menanyakan data Anda dari AWS Lake Formation database dan tabel. Saat Anda mengaktifkan Security Lake secara terprogram, izin tampilan database tidak diberikan secara otomatis. Akun administrator data lake AWS Lake Formation harus memberikan SELECT izin ke IAM peran yang ingin Anda gunakan untuk menanyakan database dan tabel yang relevan. Minimal, peran tersebut harus memiliki izin analis data. Untuk informasi selengkapnya tentang tingkat izin, lihat personas Lake Formation dan referensi IAM izin. Untuk petunjuk tentang pemberian SELECT izin, lihat Memberikan izin Katalog Data menggunakan metode sumber daya bernama di Panduan Pengembang.AWS Lake Formation

Langkah 6: Buat pelanggan

Setelah membuat data lake Anda, Anda dapat menambahkan pelanggan untuk mengkonsumsi data Anda. Pelanggan dapat menggunakan data dengan langsung mengakses objek di bucket Amazon S3 Anda atau dengan menanyakan data lake. Untuk informasi selengkapnya tentang pelanggan, lihatManajemen pelanggan di Security Lake.