Creazione di un abbonato con accesso ai dati in Security Lake - Amazon Security Lake
Esempio di messaggio di notifica dell'oggetto

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un abbonato con accesso ai dati in Security Lake

Scegli uno dei seguenti metodi di accesso per creare un abbonato con accesso ai dati nella versione corrente. Regione AWS

Console

  1. Apri la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, selezionate la regione in cui desiderate creare l'abbonato.

  3. Nel riquadro di navigazione, scegli Abbonati.

  4. Nella pagina Iscritti, scegli Crea abbonato.

  5. Per i dettagli dell'abbonato, inserisci il nome dell'abbonato e una descrizione opzionale.

    La regione viene compilata automaticamente come quella attualmente selezionata Regione AWS e non può essere modificata.

  6. Per le sorgenti di log ed eventi, scegli quali fonti l'abbonato è autorizzato a utilizzare.

  7. Per il metodo di accesso ai dati, scegli S3 per configurare l'accesso ai dati per l'abbonato.

  8. Per le credenziali dell'abbonato, fornisci l'ID dell'abbonato e l'ID esterno. Account AWS

  9. (Facoltativo) Per i dettagli sulle notifiche, se desideri che Security Lake crei una coda Amazon SQS che l'abbonato possa controllare per le notifiche degli oggetti, seleziona la coda SQS. Se desideri che Security Lake invii notifiche a un endpoint HTTPS, seleziona EventBridge Endpoint di sottoscrizione.

    Se selezioni Subscription endpoint, procedi anche come segue:

    1. Inserisci l'endpoint dell'abbonamento. Alcuni esempi di formati di endpoint validi includono. http://example.com Facoltativamente, puoi anche fornire un nome di chiave HTTPS e un valore di chiave HTTPS.

    2. Per Service Access, crea un nuovo ruolo IAM o utilizza un ruolo IAM esistente che EventBridge autorizzi a richiamare le destinazioni API e inviare notifiche sugli oggetti agli endpoint corretti.

      Per informazioni sulla creazione di un nuovo ruolo IAM, consulta Creare un ruolo IAM per richiamare EventBridge le destinazioni API.

  10. (Facoltativo) Per i tag, inserisci fino a 50 tag da assegnare al sottoscrittore.

    Un tag è un'etichetta che puoi definire e assegnare a determinati tipi di risorse. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. I tag possono aiutarti a identificare, classificare e gestire le risorse in diversi modi. Per ulteriori informazioni, consulta Etichettatura delle risorse di Security Lake.

  11. Scegli Create (Crea) .

API

Per creare un abbonato con accesso programmatico ai dati, utilizza il CreateSubscriberfunzionamento dell'API Security Lake. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il comando create-subscriber.

Nella richiesta, utilizzate questi parametri per specificare le seguenti impostazioni per l'abbonato:

  • Persources, specifica ogni fonte a cui desideri che l'abbonato acceda.

  • PersubscriberIdentity, specifica l'ID dell' AWS account e l'ID esterno che l'abbonato utilizzerà per accedere ai dati di origine.

  • Persubscriber-name, specificare il nome del sottoscrittore.

  • Per accessTypes, specificare S3.

Esempio 1

L'esempio seguente crea un sottoscrittore con accesso ai dati nella AWS regione corrente per l'identità di sottoscrittore specificata per un'origine. AWS 

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types S3

Esempio 2

L'esempio seguente crea un abbonato con accesso ai dati nella AWS regione corrente per l'identità di sottoscrittore specificata per un'origine personalizzata.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"customLogSource": {"sourceName": custom-source-name, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name
--access-types S3

Gli esempi precedenti sono formattati per Linux, macOS o Unix e utilizzano il carattere di continuazione di riga rovesciata (\) per migliorare la leggibilità.

(Facoltativo) Dopo aver creato un sottoscrittore, utilizzate l'CreateSubscriberNotificationoperazione per specificare come notificare al sottoscrittore quando vengono scritti nuovi dati nel data lake per le fonti a cui desiderate che l'abbonato acceda. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il comando. create-subscriber-notification

  • Per sovrascrivere il metodo di notifica predefinito (endpoint HTTPS) e creare una coda Amazon SQS, specifica i valori per i parametri. sqsNotificationConfiguration

  • Se preferisci la notifica con un endpoint HTTPS, specifica i valori per i parametri. httpsNotificationConfiguration

  • Per il targetRoleArn campo, specifica l'ARN del ruolo IAM che hai creato per richiamare EventBridge le destinazioni API.

$ aws securitylake create-subscriber-notification \
--subscriber-id "12345ab8-1a34-1c34-1bd4-12345ab9012" \
--configuration httpsNotificationConfiguration={"targetRoleArn"="arn:aws:iam::XXX:role/service-role/RoleName", "endpoint"="https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"}

Per ottenerlosubscriberID, utilizza il ListSubscribersfunzionamento dell'API Security Lake. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il comando list-subscriber. 

$ aws securitylake list-subscribers

Per modificare successivamente il metodo di notifica (coda Amazon SQS o endpoint HTTPS) per l'abbonato, utilizza l'UpdateSubscriberNotificationoperazione o, se utilizzi il, esegui il AWS CLI comando. update-subscriber-notification Puoi anche modificare il metodo di notifica utilizzando la console Security Lake: seleziona l'abbonato nella pagina Sottoscrittori, quindi scegli Modifica.

Esempio di messaggio di notifica dell'oggetto

L'esempio seguente mostra la notifica degli eventi in formato di struttura JSON per l'CreateSubscriberNotificationoperazione. 

{
  "source": "aws.s3",
  "time": "2021-11-12T00:00:00Z",
  "account": "123456789012",
  "region": "ca-central-1",
  "resources": [
    "arn:aws:s3:::amzn-s3-demo-bucket"
  ],
  "detail": {
    "bucket": {
      "name": "amzn-s3-demo-bucket"
    },
    "object": {
      "key": "example-key",
      "size": 5,
      "etag": "b57f9512698f4b09e608f4f2a65852e5"
    },
    "request-id": "N4N7GDK58NMKJ12R",
    "requester": "securitylake.amazonaws.com"
  }
}