Prerequisiti per creare un abbonato con accesso ai dati in Security Lake - Amazon Security Lake
Verificare le autorizzazioniOttieni l'ID esterno dell'abbonatoCrea un ruolo IAM per richiamare le destinazioni EventBridge API (API e AWS CLI-only step)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti per creare un abbonato con accesso ai dati in Security Lake

È necessario completare i seguenti prerequisiti prima di poter creare un abbonato con accesso ai dati in Security Lake.

Verificare le autorizzazioni

Per verificare le tue autorizzazioni, usa IAM per esaminare le policy IAM allegate alla tua identità IAM. Quindi, confronta le informazioni contenute in tali policy con il seguente elenco di azioni (autorizzazioni) necessarie per notificare agli abbonati quando vengono scritti nuovi dati nel data lake.

È necessaria l'autorizzazione per eseguire le seguenti azioni:

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

Oltre all'elenco precedente, è necessaria anche l'autorizzazione per eseguire le seguenti azioni:

  • events:CreateApiDestination

  • events:CreateConnection

  • events:DescribeRule

  • events:ListApiDestinations

  • events:ListConnections

  • events:PutRule

  • events:PutTargets

  • s3:GetBucketNotification

  • s3:PutBucketNotification

  • sqs:CreateQueue

  • sqs:DeleteQueue

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:SetQueueAttributes

Ottieni l'ID esterno dell'abbonato

Per creare un abbonato, oltre all' Account AWS ID dell'abbonato, dovrai anche ottenere il suo ID esterno. L'ID esterno è un identificatore univoco che l'abbonato ti fornisce. Security Lake aggiunge l'ID esterno al ruolo IAM del sottoscrittore che crea. Si utilizza l'ID esterno quando si crea un abbonato nella console di Security Lake, tramite l'API, oppure. AWS CLI

Per ulteriori informazioni sull'utilizzo di un ID esterno IDs, consulta Come utilizzare un ID esterno per concedere l'accesso alle AWS risorse a terzi nella Guida per l'utente IAM.

Importante

Se prevedi di utilizzare la console Security Lake per aggiungere un abbonato, puoi saltare il passaggio successivo e procedere con. Creazione di un abbonato con accesso ai dati in Security Lake La console Security Lake offre un processo semplificato per iniziare e crea tutti i ruoli IAM necessari o utilizza i ruoli esistenti per tuo conto.

Se prevedi di utilizzare l'API Security Lake o di AWS CLI aggiungere un abbonato, continua con il passaggio successivo per creare un ruolo IAM per richiamare EventBridge le destinazioni API.

Crea un ruolo IAM per richiamare le destinazioni EventBridge API (API e AWS CLI-only step)

Se utilizzi Security Lake tramite API oppure AWS CLI crea un ruolo in AWS Identity and Access Management (IAM) che conceda ad Amazon EventBridge le autorizzazioni per richiamare destinazioni API e inviare notifiche di oggetti agli endpoint HTTPS corretti.

Dopo aver creato questo ruolo IAM, avrai bisogno dell'Amazon Resource Name (ARN) del ruolo per creare il sottoscrittore. Questo ruolo IAM non è necessario se l'abbonato esegue il polling dei dati da una coda di Amazon Simple Queue Service (Amazon SQS) o interroga direttamente i dati da. AWS Lake Formation Per ulteriori informazioni su questo tipo di metodo di accesso ai dati (tipo di accesso), consulta. Gestione dell'accesso alle query per gli abbonati a Security Lake

Allega la seguente policy al tuo ruolo IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInvokeApiDestination",
            "Effect": "Allow",
            "Action": [
                "events:InvokeApiDestination"
            ],
            "Resource": [
                "arn:aws:events:{us-west-2}:{123456789012}:api-destination/AmazonSecurityLake*/*"
            ]
        }
    ]
}

Allega la seguente policy di fiducia al tuo ruolo IAM per EventBridge consentirti di assumere il ruolo:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEventBridgeToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Mostra piùMostra meno

Security Lake crea automaticamente un ruolo IAM che consente al sottoscrittore di leggere i dati dal data lake (o di interrogare gli eventi da una coda Amazon SQS se questo è il metodo di notifica preferito). Questo ruolo è protetto da una policy gestita chiamata. AWS AmazonSecurityLakePermissionsBoundary