Prerequisiti per creare un abbonato con accesso ai dati in Security Lake - Amazon Security Lake
Verificare le autorizzazioniOttieni l'ID esterno dell'abbonatoCrea un IAM ruolo per richiamare le EventBridge API destinazioni (APIe AWS CLI solo passaggio)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti per creare un abbonato con accesso ai dati in Security Lake

È necessario completare i seguenti prerequisiti prima di poter creare un abbonato con accesso ai dati in Security Lake.

Verificare le autorizzazioni

Per verificare le tue autorizzazioni, usa IAM per rivedere le IAM politiche allegate alla tua identità. IAM Quindi, confronta le informazioni contenute in tali policy con il seguente elenco di azioni (autorizzazioni) che devi eseguire per notificare agli abbonati quando vengono scritti nuovi dati nel data lake.

È necessaria l'autorizzazione per eseguire le seguenti azioni:

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

Oltre all'elenco precedente, è necessaria anche l'autorizzazione per eseguire le seguenti azioni:

  • events:CreateApiDestination

  • events:CreateConnection

  • events:DescribeRule

  • events:ListApiDestinations

  • events:ListConnections

  • events:PutRule

  • events:PutTargets

  • s3:GetBucketNotification

  • s3:PutBucketNotification

  • sqs:CreateQueue

  • sqs:DeleteQueue

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:SetQueueAttributes

Ottieni l'ID esterno dell'abbonato

Per creare un abbonato, oltre all' Account AWS ID dell'abbonato, dovrai anche ottenere il suo ID esterno. L'ID esterno è un identificatore univoco che l'abbonato ti fornisce. Security Lake aggiunge l'ID esterno al IAM ruolo di sottoscrittore che crea. L'ID esterno viene utilizzato quando si crea un abbonato nella console di Security Lake, tramite, o. API AWS CLI

Per ulteriori informazioni sull'utilizzo di un ID esternoIDs, consulta Come utilizzare un ID esterno per concedere l'accesso alle AWS risorse a terzi nella Guida per l'IAMutente.

Importante

Se prevedi di utilizzare la console Security Lake per aggiungere un abbonato, puoi saltare il passaggio successivo e procedere con. Creazione di un abbonato con accesso ai dati in Security Lake La console Security Lake offre un processo semplificato per iniziare e crea tutti i IAM ruoli necessari o utilizza i ruoli esistenti per conto dell'utente.

Se prevedi di utilizzare Security Lake API o di AWS CLI aggiungere un abbonato, continua con il passaggio successivo per creare un IAM ruolo per EventBridge API richiamare le destinazioni.

Crea un IAM ruolo per richiamare le EventBridge API destinazioni (APIe AWS CLI solo passaggio)

Se utilizzi Security Lake tramite API o AWS CLI, crea un ruolo in AWS Identity and Access Management (IAM) che conceda ad Amazon EventBridge le autorizzazioni per richiamare API destinazioni e inviare notifiche sugli oggetti agli endpoint corretti. HTTPS

Dopo aver creato questo IAM ruolo, avrai bisogno dell'Amazon Resource Name (ARN) del ruolo per creare l'abbonato. Questo IAM ruolo non è necessario se l'abbonato esegue il polling dei dati da una coda di Amazon Simple Queue Service (AmazonSQS) o interroga direttamente i dati da. AWS Lake Formation Per ulteriori informazioni su questo tipo di metodo di accesso ai dati (tipo di accesso), consulta. Gestione dell'accesso alle query per gli abbonati a Security Lake

Allega la seguente politica al tuo IAM ruolo:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInvokeApiDestination",
            "Effect": "Allow",
            "Action": [
                "events:InvokeApiDestination"
            ],
            "Resource": [
                "arn:aws:events:{us-west-2}:{123456789012}:api-destination/AmazonSecurityLake*/*"
            ]
        }
    ]
}

Allega la seguente politica di fiducia al tuo IAM ruolo per EventBridge consentirti di assumere il ruolo:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEventBridgeToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Mostra piùMostra meno

Security Lake crea automaticamente un IAM ruolo che consente all'abbonato di leggere i dati dal data lake (o di sondare gli eventi da una SQS coda Amazon se questo è il metodo di notifica preferito). Questo ruolo è protetto da una policy gestita AWS chiamata. AmazonSecurityLakePermissionsBoundary