Security Lake でのクエリアクセスを持つサブスクライバーの作成

現在のでクエリアクセスを持つサブスクライバーを作成する任意の方法を選択します AWS リージョン。サブスクライバーは、 AWS リージョンそのサブスクライバーが作成されたからのみデータをクエリできます。サブスクライバーを作成するには、サブスクライバーの AWS アカウント ID と外部 ID が必要です。外部 ID は、サブスクライバーが提供する固有の識別子です。外部の詳細についてはIDs、IAM「ユーザーガイド」の AWS 「リソースへのアクセスを第三者に付与するときに外部 ID を使用する方法」を参照してください。

注記

セキュリティレイクは、Lake Formation のクロスアカウントデータ共有バージョン 1 をサポートしていません。Lake Formation のクロスアカウントデータ共有をバージョン 2 またはバージョン 3 に更新する必要があります。 AWS Lake Formation コンソールまたはを使用してクロスアカウントバージョン設定を更新する手順については AWS CLI、「 AWS Lake Formation デベロッパーガイド」の「新しいバージョンを有効にするには」を参照してください。

Console

で Security Lake コンソールを開きますhttps://console.aws.amazon.com/securitylake/。

委任管理者アカウントにサインインします。
ページの右上隅にある AWS リージョンセレクターを使用して、サブスクライバーを作成するリージョンを選択します。
左のナビゲーションペインで [サブスクライバー] を選択します。
「サブスクライバー」ページで、「サブスクライバーを作成」を選択します。
サブスクライバーの詳細には、サブスクライバー名とオプションの説明を入力します。

リージョンは、現在選択されているものとして自動入力 AWS リージョンされるため、変更できません。
[ログとイベントのソース] では、クエリ結果を返すときに Security Lake に含めたいソースを選択します。
[データアクセス方法] では、[Lake Formation] を選択してサブスクライバーのクエリアクセスを作成します。
サブスクライバー認証情報には、サブスクライバーの AWS アカウント ID と外部 ID を指定します。
(オプション) [タグ] には、サブスクライバーに割り当てるタグを 50 個まで入力します。

タグは、特定のタイプの AWS リソースを定義して割り当てることができるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグは、さまざまな方法でリソースの識別、分類、管理に役立ちます。詳細については、「Security Lake リソースのタグ付け」を参照してください。
[Create] (作成) を選択します。

API

プログラムでクエリアクセスを持つサブスクライバーを作成するには、Security Lake の CreateSubscriberオペレーションを使用しますAPI。 AWS Command Line Interface （AWS CLI) を使用している場合は、create-subscriber コマンドを実行します。

リクエストでは、これらのパラメータを使用して、サブスクライバーに次の設定を指定します。

accessTypes の場合、LAKEFORMATION を指定します。
sourcesでは、クエリ結果を返すときに Security Lake に含めたいソースをそれぞれ指定します。
ではsubscriberIdentity、サブスクライバーがソースデータのクエリに使用する AWS ID と外部 ID を指定します。

次の例では、指定されたサブスクライバー ID の現在の AWS リージョンにクエリアクセスを持つサブスクライバーを作成します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。


$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

クロスアカウントテーブル共有セットアップ (サブスクライバーステップ)

Security Lake は、Lake Formation のクロスアカウントテーブル共有を使用してサブスクライバーのクエリアクセスをサポートします。Security Lake コンソール、、またはでクエリアクセスを持つサブスクライバーを作成すると AWS CLI、Security Lake は AWS Resource Access Manager () でリソース共有を作成してAPI、関連する Lake Formation テーブルに関する情報をサブスクライバーと共有しますAWS RAM。

クエリアクセス権限を持つサブスクライバに特定の種類の編集を行うと、Security Lake は新しいリソース共有を作成します。詳細については、「Security Lake でのクエリアクセスを持つサブスクライバーの編集」を参照してください。

サブスクライバーは、次のステップに従って Lake Formation テーブルからデータを取得する必要があります。

リソース共有を受け入れる — サブスクライバーは、サブスクライバーを作成または編集したときに生成される、resourceShareArnとresourceShareNameを含むリソース共有を受け入れる必要があります。次のいずれかのアクセス方法を選択します。
- コンソールとについては AWS CLI、「からのリソース共有招待の承諾 AWS RAM」を参照してください。
- の場合API、 GetResourceShareInvitations を呼び出しますAPI。resourceShareArnとresourceShareNameでフィルタリングして、正しいリソースシェアを見つけてください。で招待を受け入れますAcceptResourceShareInvitationAPI。
リソース共有の招待は 12 時間で期限切れになるため、12 時間以内に招待を検証して承諾する必要があります。招待の有効期限が切れても、引き続き PENDING 状態で表示されますが、招待を受け入れても共有リソースにアクセスできなくなります。12 時間以上経過したら、Lake Formation サブスクライバーを削除し、サブスクライバーを再作成して新しいリソース共有の招待状を取得します。
共有データベースへのリソースリンクを作成する – サブスクライバーは、共有 Lake Formation データベースへのリソースリンクを AWS Lake Formation （コンソールを使用している場合) または AWS Glue （API/AWS を使用している場合) のいずれかで作成する必要がありますCLI。このリソースリンクは、サブスクライバーのアカウントを共有データベースにポイントします。次のいずれかのアクセス方法を選択します。
- コンソールとについては AWS CLI、「デベロッパーガイド」の「共有 Data Catalog データベースへのリソースリンクの作成」を参照してください。 AWS Lake Formation
- サブスクライバーは、リソースリンクテーブルを保存CreateDatabaseAPIするために、を使用して一意のデータベースも作成することをお勧めします。
共有テーブルをクエリする — Amazon Athena などのサービスはテーブルを直接参照でき、Security Lake が収集した新しいデータを自動的にクエリに使用できるようになります。クエリはサブスクライバーので実行され AWS アカウント、クエリによって発生するコストはサブスクライバーに請求されます。自分の Security Lake アカウントのリソースへの読み取りアクセスを制御できます。

クロスアカウント権限の付与について詳しくは、「AWS Lake Formation デベロッパーガイド」の「Lake Formation でのクロスアカウントデータ共有」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

前提条件

クエリアクセス権を持つサブスクライバーの編集