Security Lake でのロールアップリージョンの設定 - Amazon Security Lake
IAM データレプリケーションの ロールIAM AWS Glue パーティションを登録するロールロールアップリージョンの追加ロールアップリージョンの更新または削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Lake でのロールアップリージョンの設定

ロールアップリージョンは、1 つ以上の寄与リージョンのデータを統合します。ロールアップリージョンを指定すると、リージョンのコンプライアンス要件に準拠しやすくなります。

重要

カスタムソースを作成した場合、カスタムソースデータが宛先に正しくレプリケートされるように、Security Lake では、カスタムソースの取り込みに関するベストプラクティス に記載されているベストプラクティスに従うことをお勧めします。ページで説明されているように、S3 パーティションデータパス形式に従わないデータに対してレプリケーションを実行することはできません。

ロールアップリージョンを追加する前に、まず AWS Identity and Access Management () で 2 つの異なるロールを作成する必要がありますIAM。

注記

Security Lake は、Security Lake コンソールを使用するときに、ユーザーに代わってこれらのIAMロールを作成するか、既存のロールを使用します。ただし、Security Lake APIまたは を使用する場合は、これらのロールを作成する必要があります AWS CLI。

IAM データレプリケーションの ロール

このIAMロールは、ソースログとイベントを複数のリージョンにレプリケートするアクセス許可を Amazon S3 に付与します。

これらのアクセス許可を付与するには、プレフィックス で始まるIAMロールを作成しSecurityLake、次のサンプルポリシーをロールにアタッチします。Security Lake でロールアップリージョンを作成するときは、ロールの Amazon リソースネーム (ARN) が必要です。このポリシーでは、sourceRegions は寄与リージョン、destinationRegions はロールアップ リージョンです。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadS3ReplicationSetting",
      "Action": [
        "s3:ListBucket",
        "s3:GetReplicationConfiguration",
        "s3:GetObjectVersionForReplication",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectRetention",
        "s3:GetObjectLegalHold"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    },
    {
      "Sid": "AllowS3Replication",
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete",
        "s3:ReplicateTags",
        "s3:GetObjectVersionTagging"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    }
  ]
}

次の信頼ポリシーをロールにアタッチして、Amazon S3 がロールを引き受けることを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWS Key Management Service (AWS KMS) のカスタマーマネージドキーを使用して Security Lake データレイクを暗号化する場合は、データレプリケーションポリシーのアクセス許可に加えて、次のアクセス許可を付与する必要があります。

{
    "Action": [
        "kms:Decrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "s3.{sourceRegion1}.amazonaws.com",
                "s3.{sourceRegion2}.amazonaws.com"
                ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
            ]
        }
    },
    "Resource": [
        "{sourceRegion1KmsKeyArn}",
        "{sourceRegion2KmsKeyArn}"
    ]
},
{
    "Action": [
        "kms:Encrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
            "s3.{destinationRegion1}.amazonaws.com",
            ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
            ]
        }
    },
    "Resource": [
            "{destinationRegionKmsKeyArn}"
    ]
}

レプリケーションロールの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「アクセス許可の設定」を参照してください。

IAM AWS Glue パーティションを登録するロール

このIAMロールは、Security Lake が他のリージョンからレプリケートされた S3 オブジェクトの AWS Glue パーティションを登録するために使用するパーティション更新 AWS Lambda 関数のアクセス許可を付与します。このロールを作成しないと、サブスクライバーはそれらのオブジェクトからのイベントをクエリできません。

これらの権限を付与するには、AmazonSecurityLakeMetaStoreManager (Security Lake への登録時にこのロールをすでに作成している場合があります) という名前のロールを作成します。サンプルポリシーを含む、このロールの詳細については、「ステップ 1: IAMロールを作成する」を参照してください。

また、Lake Formation コンソールで、次の手順に従ってデータレイク管理者の AmazonSecurityLakeMetaStoreManager 権限を付与する必要があります。

  1. で Lake Formation コンソールを開きますhttps://console.aws.amazon.com/lakeformation/

  2. 管理ユーザーとしてサインインする

  3. [Lake Formation へようこそ] ウィンドウが表示されたら、ステップ 1 で作成または選択した ユーザーを選択し、[開始する] を選択します。

  4. [Lake Formation へようこそ] ウィンドウが表示されない場合は、以下の手順を実行して Lake Formation 管理者を設定します。

    1. ナビゲーションペインの [許可][管理ロールとタスク] を選択します。コンソールページの [データレイク管理者] セクションで、[管理者を選択] を選択します。

    2. データレイク管理者の管理ダイアログボックスで、IAMユーザーとロールに対して、作成したAmazonSecurityLakeMetaStoreManagerIAMロールを選択し、 の保存 を選択します。

データレイク管理者の権限変更の詳細については、「AWS Lake Formation デベロッパーガイド」の「データレイク管理者の作成」を参照してください。

ロールアップリージョンの追加

お好みのアクセス方法を選択し、次の手順に従ってロールアップリージョンを追加します。

注記

1 つのリージョンは複数のロールアップリージョンにデータを提供できます。ただし、あるロールアップリージョンを別のロールアップリージョンの寄与リージョンにすることはできません。

Console

  1. で Security Lake コンソールを開きますhttps://console.aws.amazon.com/securitylake/

  2. ナビゲーションペインの [設定] で、[ロールアップリージョン] を選択します。

  3. [変更] を選択し、[ロールアップリージョンの追加] を選択します。

  4. ロールアップリージョンと寄与リージョンを指定します。複数のロールアップリージョン を追加する場合は、このステップを繰り返します。

  5. ロールアップリージョンを初めて追加する場合は、サービスアクセス に新しいIAMロールを作成するか、Security Lake に複数のリージョンにデータをレプリケートするアクセス許可を付与する既存のIAMロールを使用します。

  6. 完了したら、保存 を選択します。

Security Lake へのオンボーディング時にロールアップリージョンを追加することもできます。詳細については、「Amazon Security Lake の開始方法」を参照してください。

API

プログラムでロールアップリージョンを追加するには、 UpdateDataLake Security Lake の オペレーションAPI。を使用している場合は AWS CLI、 を実行します。 update-data-lake コマンド。リクエストでは、regionフィールドを使用して、ロールアップリージョンにデータを提供するリージョンを指定します。replicationConfiguration パラメータのregions配列で、各ロールアップリージョンのリージョンコードを指定します。リージョンコードのリストについては、「AWS 全般のリファレンス」の「Amazon Security Lake エンドポイント」を参照してください。

例えば、次のコマンドはロールアップリージョンap-northeast-2として を設定します。us-east-1 リージョンはap-northeast-2、リージョンにデータを提供します。この例では、データレイクに追加されるオブジェクトの 365 日間の有効期間も確立しています。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'

Security Lake へのオンボーディング時にロールアップリージョンを追加することもできます。これを行うには、 CreateDataLake オペレーション (または、 を使用している場合 AWS CLIは create-data-lake コマンド)。オンボーディング中にロールアップリージョンを設定する方法の詳細については、「」を参照してくださいAmazon Security Lake の開始方法

ロールアップリージョンの更新または削除

お好みのアクセス方法を選択し、次の手順に従って Security Lake のロールアップリージョン を更新または削除します。

Console

  1. で Security Lake コンソールを開きますhttps://console.aws.amazon.com/securitylake/

  2. ナビゲーションペインの [設定] で、[ロールアップリージョン] を選択します。

  3. [変更] を選択します。

  4. ロールアップリージョンのコントリビューションリージョンを変更するには、ロールアップリージョンの行に更新されたコントリビューションリージョンを指定します。

  5. ロールアップリージョンを削除するには、ロールアップリージョンの行で [削除] を選択します。

  6. 完了したら、保存 を選択します。

API

プログラムでロールアップリージョンを設定するには、 を使用します。 UpdateDataLake Security Lake の オペレーションAPI。を使用している場合は AWS CLI、 を実行します。 update-data-lake コマンド。リクエストでは、サポートされているパラメータを使用してロールアップ設定を指定します。

  • 寄与リージョンを追加するには、regionフィールドを使用して追加するリージョンのリージョンコードを指定します。replicationConfigurationオブジェクトのregionsアレイで、データを投稿する各ロールアップリージョンのリージョンコードを指定します。リージョンコードのリストについては、「AWS 全般のリファレンス」の「Amazon Security Lake エンドポイント」を参照してください。

  • 寄与リージョンを削除するには、region フィールドを使用して削除するリージョンのリージョンコードを指定します。replicationConfiguration パラメータには値を指定しないでください。

例えば、次のコマンドは、 us-east-1と の両方を寄与リージョンus-east-2として設定します。両方のリージョンがap-northeast-3ロールアップリージョンにデータを提供します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'