Fase 1: Creare ruoli IAM Fase 2: Attivazione di Amazon Security Lake Fase 3: Configurare le fonti Fase 4: Configurazione delle impostazioni di archiviazione e delle regioni di rollup (opzionale)Fase 5: Visualizzare e interrogare i propri dati Fase 6: Creare abbonati

Attivazione di Security Lake a livello di codice

Questo tutorial spiega come abilitare e iniziare a utilizzare Security Lake a livello di codice. Amazon Security Lake ti API offre un accesso completo e programmatico al tuo account, ai dati e alle risorse di Security Lake. In alternativa, puoi utilizzare gli strumenti da riga di AWS comando, AWS Command Line Interfaceovvero gli AWS strumenti per PowerShell, o per accedere AWS SDKsa Security Lake.

Fase 1: Creare ruoli IAM

Se accedi a Security Lake in modo programmatico, è necessario creare alcuni AWS Identity and Access Management (IAM) ruoli per configurare il data lake.

Importante

Non è necessario creare questi IAM ruoli se si utilizza la console di Security Lake per abilitare e configurare Security Lake.

Devi creare ruoli in IAM se intendi intraprendere una o più delle seguenti azioni (scegli i link per visualizzare ulteriori informazioni sui IAM ruoli per ciascuna azione):

Creazione di un'origine personalizzata: le fonti personalizzate sono fonti diverse da quelle supportate nativamente Servizi AWS che inviano dati a Security Lake.
Creazione di un abbonato con accesso ai dati: gli abbonati con autorizzazioni possono accedere direttamente agli oggetti S3 dal data lake.
Creazione di un abbonato con accesso tramite query: gli abbonati con autorizzazioni possono interrogare i dati da Security Lake utilizzando servizi come Amazon Athena.
Configurazione di una regione di rollup: una regione di rollup consolida i dati provenienti da più regioni. Regioni AWS

Dopo aver creato i ruoli menzionati in precedenza, allega il AmazonSecurityLakeAdministrator AWS policy gestita al ruolo che stai utilizzando per abilitare Security Lake. Questa politica concede autorizzazioni amministrative che consentono a un preside di effettuare l'onboarding su Security Lake e accedere a tutte le azioni di Security Lake.

Allega il AmazonSecurityLakeMetaStoreManager AWS policy gestita per creare il tuo data lake o interrogare i dati da Security Lake. Questa policy è necessaria a Security Lake per supportare i processi di estrazione, trasformazione e caricamento (ETL) su dati non elaborati di log ed eventi che riceve dalle fonti.

Fase 2: Attivazione di Amazon Security Lake

Per abilitare Security Lake a livello di codice, usa CreateDataLakefunzionamento del Security Lake. API Se stai usando il AWS CLI, esegui il create-data-lakecomando. Nella richiesta, utilizzate il region campo dell'configurationsoggetto per specificare il codice regionale della regione in cui abilitare Security Lake. Per un elenco dei codici regionali, consulta gli endpoint di Amazon Security Lake nel Riferimenti generali di AWS.

Esempio 1

Il comando di esempio seguente abilita Security Lake nelle us-east-2 regioni us-east-1 e. In entrambe le regioni, questo data lake è crittografato con chiavi gestite di Amazon S3. Gli oggetti scadono dopo 365 giorni e gli oggetti passano alla classe di storage ONEZONE_IA S3 dopo 60 giorni. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.


$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Esempio 2

Il comando di esempio seguente abilita Security Lake nella us-east-2 regione. Questo data lake è crittografato con una chiave gestita dal cliente creata in AWS Key Management Service (AWS KMS). Gli oggetti scadono dopo 500 giorni e gli oggetti passano alla classe di storage GLACIER S3 dopo 30 giorni. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.


$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Nota

Se hai già abilitato Security Lake e desideri aggiornare le impostazioni di configurazione per una regione o una fonte, usa il UpdateDataLakeoperazione o, se si utilizza il AWS CLI, il update-data-lakecomando. Non utilizzare l'CreateDataLakeoperazione.

Fase 3: Configurare le fonti

Security Lake raccoglie dati di log ed eventi da una varietà di fonti e da tutto il tuo Account AWS territorio. Regioni AWS Segui queste istruzioni per identificare quali dati vuoi che Security Lake raccolga. Puoi usare queste istruzioni solo per aggiungere una fonte supportata nativamente Servizio AWS . Per informazioni sull'aggiunta di una fonte personalizzata, consulta. Raccolta di dati da fonti personalizzate in Security Lake

Per definire una o più fonti di raccolta a livello di codice, utilizzate il CreateAwsLogSourcefunzionamento di Security Lake. API Per ogni fonte, specificate un valore unico a livello regionale per il parametro. sourceName Facoltativamente, utilizzate parametri aggiuntivi per limitare l'ambito della fonte a account specifici (accounts) o a una versione specifica (sourceVersion).

Nota

Se non includi un parametro opzionale nella richiesta, Security Lake applica la richiesta a tutti gli account o a tutte le versioni della fonte specificata, a seconda del parametro che escludi. Ad esempio, se sei l'amministratore delegato di Security Lake di un'organizzazione ed escludi il accounts parametro, Security Lake applica la richiesta a tutti gli account dell'organizzazione. Analogamente, se si esclude il sourceVersion parametro, Security Lake applica la richiesta a tutte le versioni della fonte specificata.

Se la richiesta specifica una regione in cui non hai abilitato Security Lake, si verifica un errore. Per risolvere questo errore, assicurati che l'regionsarray specifichi solo le regioni in cui hai abilitato Security Lake. In alternativa, puoi abilitare Security Lake nella regione e quindi inviare nuovamente la richiesta.

Quando abiliti Security Lake in un account per la prima volta, tutte le fonti di registro ed eventi selezionate faranno parte di un periodo di prova gratuito di 15 giorni. Per ulteriori informazioni sulle statistiche di utilizzo, vedereAnalisi dell'utilizzo e dei costi stimati.

Fase 4: Configurazione delle impostazioni di archiviazione e delle regioni di rollup (opzionale)

Puoi specificare la classe di storage Amazon S3 in cui desideri che Security Lake memorizzi i tuoi dati e per quanto tempo. Puoi anche specificare una regione di rollup per consolidare i dati provenienti da più regioni. Questi sono passaggi facoltativi. Per ulteriori informazioni, consulta Gestione del ciclo di vita in Security Lake.

Per definire un obiettivo di destinazione a livello di codice quando abiliti Security Lake, usa CreateDataLakefunzionamento del Security Lake. API Se hai già abilitato Security Lake e desideri definire un obiettivo, usa il UpdateDataLakeoperazione, non CreateDataLake operazione.

Per entrambe le operazioni, utilizzate i parametri supportati per specificare le impostazioni di configurazione desiderate:

Per specificare una regione di rollup, utilizzate il region campo per specificare la regione alla quale desiderate aggiungere dati alle regioni di rollup. Nell'regionsarray dell'replicationConfigurationoggetto, specificate il codice regionale per ogni regione di rollup. Per un elenco dei codici regionali, consulta gli endpoint di Amazon Security Lake nel Riferimenti generali di AWS.
Per specificare le impostazioni di conservazione dei dati, utilizza i lifecycleConfiguration parametri:
- Pertransitions, specifica il numero totale di giorni (days) in cui desideri archiviare gli oggetti S3 in una particolare classe storageClass di storage Amazon S3 ().
- Perexpiration, specifica il numero totale di giorni in cui desideri archiviare gli oggetti in Amazon S3, utilizzando qualsiasi classe di storage, dopo la creazione degli oggetti. Al termine di questo periodo di conservazione, gli oggetti scadono e Amazon S3 li elimina.
Security Lake applica le impostazioni di conservazione specificate alla regione specificata nel region campo dell'oggetto. configurations

Ad esempio, il comando seguente crea un data lake con ap-northeast-2 come regione di rollup. La us-east-1 regione fornirà dati alla ap-northeast-2 regione. Questo esempio stabilisce anche un periodo di scadenza di 10 giorni per gli oggetti che vengono aggiunti al data lake.


$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Ora hai creato il tuo data lake. Utilizzo dell'ListDataLakesfunzionamento del Security Lake API per verificare l'attivazione di Security Lake e delle impostazioni del data lake in ciascuna regione.

Se si verificano problemi o errori nella creazione del data lake, è possibile visualizzare un elenco di eccezioni utilizzando il ListDataLakeExceptionsoperazione e notifica agli utenti le eccezioni con il CreateDataLakeExceptionSubscriptionoperazione. Per ulteriori informazioni, consulta Risoluzione dei problemi relativi allo stato del data lake.

Fase 5: Visualizzare e interrogare i propri dati

Dopo aver creato il tuo data lake, puoi utilizzare Amazon Athena o servizi simili per visualizzare e interrogare i tuoi dati da AWS Lake Formation database e tabelle. Quando abiliti Security Lake a livello di codice, le autorizzazioni di visualizzazione del database non vengono concesse automaticamente. L'account amministratore del data lake in AWS Lake Formation deve concedere SELECT le autorizzazioni al IAM ruolo che desideri utilizzare per interrogare i database e le tabelle pertinenti. Come minimo, il ruolo deve disporre delle autorizzazioni di analista dei dati. Per ulteriori informazioni sui livelli di autorizzazione, consulta il riferimento ai personaggi e alle IAM autorizzazioni di Lake Formation. Per istruzioni sulla concessione SELECT delle autorizzazioni, consulta Concessione delle autorizzazioni di Data Catalog utilizzando il metodo della risorsa denominata nella Guida per gli sviluppatori.AWS Lake Formation

Dopo aver creato il data lake, puoi aggiungere abbonati per utilizzare i tuoi dati. Gli abbonati possono utilizzare i dati accedendo direttamente agli oggetti nei bucket Amazon S3 o interrogando il data lake. Per ulteriori informazioni sugli abbonati, consulta. Gestione degli abbonati in Security Lake

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo della console

Gestione di più account