Creazione di un abbonato con accesso alle query in Security Lake - Amazon Security Lake
Configurazione della condivisione delle tabelle tra account (fase di sottoscrizione)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un abbonato con accesso alle query in Security Lake

Scegli il tuo metodo preferito per creare un abbonato con accesso alle query tra quelli correnti. Regione AWS Un abbonato può interrogare i dati solo dai dati in Regione AWS cui è stato creato. Per creare un abbonato, è necessario disporre dell' Account AWS ID e dell'ID esterno dell'abbonato. L'ID esterno è un identificatore univoco che l'abbonato ti fornisce. Per ulteriori informazioni sull'utilizzo di un ID esternoIDs, consulta Come utilizzare un ID esterno per concedere l'accesso alle proprie AWS risorse a terzi nella Guida per l'IAMutente.

Nota

Security Lake non supporta la versione 1 di condivisione dei dati tra account di Lake Formation. È necessario aggiornare la condivisione dei dati tra account di Lake Formation alla versione 2 o alla versione 3. Per i passaggi per aggiornare le impostazioni della versione dell'account Cross tramite la AWS Lake Formation console o il AWS CLI, consulta Attivare la nuova versione nella Guida per gli AWS Lake Formation sviluppatori.

Console

  1. Apri la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

    Accedere all'account amministratore delegato.

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri creare l'abbonato.

  3. Nel riquadro di navigazione, scegli Abbonati.

  4. Nella pagina Iscritti, scegli Crea abbonato.

  5. Per i dettagli dell'abbonato, inserisci il nome dell'abbonato e una descrizione opzionale.

    La regione viene compilata automaticamente come quella attualmente selezionata Regione AWS e non può essere modificata.

  6. Per le sorgenti di log ed eventi, scegli quali fonti desideri che Security Lake includa quando restituisci i risultati delle query.

  7. Per Metodo di accesso ai dati, scegli Lake Formation per creare l'accesso alle query per l'abbonato.

  8. Per le credenziali dell'abbonato, fornisci l' Account AWS ID dell'abbonato e l'ID esterno.

  9. (Facoltativo) Per i tag, inserisci fino a 50 tag da assegnare all'abbonato.

    Un tag è un'etichetta che puoi definire e assegnare a determinati tipi di risorse. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. I tag possono aiutarti a identificare, classificare e gestire le risorse in diversi modi. Per ulteriori informazioni, consulta Etichettatura delle risorse di Security Lake.

  10. Scegli Create (Crea) .

API

Per creare un abbonato con accesso alle query a livello di codice, utilizzate il CreateSubscriberfunzionamento di Security Lake. API Se stai usando il AWS Command Line Interface (AWS CLI), esegui il comando create-subscriber.

Nella richiesta, utilizzate questi parametri per specificare le seguenti impostazioni per l'abbonato:

  • Per accessTypes, specificare LAKEFORMATION.

  • Persources, specifica ogni fonte che desideri che Security Lake includa quando restituisce i risultati delle query.

  • PersubscriberIdentity, specifica l' AWS identità e l'ID esterno utilizzati dal sottoscrittore per interrogare i dati di origine.

L'esempio seguente crea un sottoscrittore con accesso tramite query nella AWS regione corrente per l'identità di sottoscrittore specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

Configurazione della condivisione delle tabelle tra account (fase di sottoscrizione)

Security Lake utilizza la condivisione di tabelle tra account di Lake Formation per supportare l'accesso alle query degli abbonati. Quando si crea un sottoscrittore con accesso alle query nella console di Security LakeAPI, oppure AWS CLI, Security Lake condivide le informazioni sulle tabelle Lake Formation pertinenti con l'abbonato creando una condivisione di risorse in AWS Resource Access Manager ()AWS RAM.

Quando si apportano determinati tipi di modifiche a un sottoscrittore con accesso tramite query, Security Lake crea una nuova condivisione di risorse. Per ulteriori informazioni, consulta Modifica di un abbonato con accesso alle query in Security Lake.

L'abbonato deve seguire questi passaggi per consumare i dati dalle tabelle di Lake Formation:

  1. Accetta la condivisione di risorse: il sottoscrittore deve accettare la condivisione di risorse che contiene resourceShareArn e resourceShareName che viene generata quando crei o modifichi il sottoscrittore. Scegli uno dei seguenti metodi di accesso:

    L'invito alla condivisione delle risorse scade tra 12 ore, quindi devi convalidarlo e accettarlo entro 12 ore. Se l'invito scade, continui a vederlo in uno PENDING stato, ma accettandolo non avrai accesso alle risorse condivise. Trascorse più di 12 ore, elimina l'abbonato Lake Formation e ricrea l'abbonato per ricevere un nuovo invito alla condivisione di risorse.

  2. Creare un collegamento di risorsa al database condiviso: l'abbonato deve creare un collegamento alla risorsa al database condiviso di Lake Formation in AWS Lake Formation (se utilizza la console) o AWS Glue (se utilizzaAPI/AWSCLI). Questo collegamento alla risorsa indirizza l'account dell'abbonato al database condiviso. Scegliete uno dei seguenti metodi di accesso:

  3. Interroga le tabelle condivise: servizi come Amazon Athena possono fare riferimento direttamente alle tabelle e i nuovi dati raccolti da Security Lake sono automaticamente disponibili per le query. Le query vengono eseguite presso l'abbonato e i costi sostenuti per esse vengono fatturati all'abbonato. Account AWS Puoi controllare l'accesso in lettura alle risorse nel tuo account Security Lake.

Per ulteriori informazioni sulla concessione delle autorizzazioni tra account, consulta Condivisione dei dati tra account in Lake Formation nella Developer Guide.AWS Lake Formation