Security Lake でデータアクセス権を持つサブスクライバーを作成する - Amazon Security Lake
サンプル通知メッセージの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Lake でデータアクセス権を持つサブスクライバーを作成する

次のいずれかのアクセス方法を選択して、現在の のデータにアクセスできるサブスクライバーを作成します AWS リージョン。

Console

  1. https://console.aws.amazon.com/securitylake/ で Security Lake コンソールを開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、サブスクライバーを作成するリージョンを選択します。

  3. 左のナビゲーションペインで [サブスクライバー] を選択します。

  4. サブスクライバー」ページで、「サブスクライバーを作成」を選択します。

  5. サブスクライバーの詳細には、サブスクライバー名とオプションで説明を入力します。

    リージョンは、現在選択されている として自動入力 AWS リージョン され、変更できません。

  6. [ログとイベントソース] では、サブスクライバーが使用を許可されているソースを選択します。

  7. [データアクセス方法] では、S3 を選択してサブスクライバーのデータアクセスを設定します。

  8. サブスクライバーの認証情報には、サブスクライバーの AWS アカウント ID と外部 ID を指定します。

  9. (オプション) 通知の詳細で、サブスクライバーがオブジェクト通知をポーリングできる Amazon SQS キューを Security Lake で作成する場合は、SQS キューを選択します。Security Lake が EventBridge を介して HTTPS エンドポイントに通知を送信する場合は、サブスクリプションエンドポイントを選択します。

    [サブスクリプションエンドポイント] を選択した場合は、以下も実行してください。

    1. サブスクリプションエンドポイントを入力します。有効なエンドポイント形式の例には、http://example.comがあります。必要に応じて、HTTPS キー名HTTPS キー値を指定することもできます。

    2. Service Access では、新しい IAM ロールを作成するか、 EventBridge の送信先を呼び出してオブジェクト通知を正しいエンドポイントに送信するアクセス許可を Word に付与する既存の API IAMロールを使用します。

      新しい IAM ロールの作成については、IAM 送信先を呼び出す API EventBridge ロールの作成」を参照してください。

  10. (オプション) [タグ] には、サブスクライバーに割り当てるタグを 50 個まで入力します。

    タグは、特定のタイプの AWS リソースを定義して割り当てることができるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグは、さまざまな方法でリソースの識別、分類、管理に役立ちます。詳細については、「Security Lake リソースのタグ付け」を参照してください。

  11. [Create] (作成) を選択します。

API

データアクセスを持つサブスクライバーをプログラムで作成するには、Security Lake CreateSubscriber の API オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、create-subscriber コマンドを実行します。

リクエストでは、これらのパラメータを使用してサブスクライバーに次の設定を指定します。

  • sources に、サブスクライバーにアクセスさせたいソースをそれぞれ指定します。

  • にはsubscriberIdentity、サブスクライバーがソースデータにアクセスするために使用する AWS アカウント ID と外部 ID を指定します。

  • にはsubscriber-name、サブスクライバーの名前を指定します。

  • accessTypes の場合、S3 を指定します。

例 1

次の例では、 ソースの指定されたサブスクライバー ID AWS の現在の AWS リージョンのデータにアクセスできるサブスクライバーを作成します。

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types S3

例 2

次の例では、カスタムソースの指定されたサブスクライバー ID の現在の AWS リージョンのデータにアクセスできるサブスクライバーを作成します。

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"customLogSource": {"sourceName": custom-source-name, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name
--access-types S3

前述の例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行連結文字を使用しています。

(オプション) サブスクライバーを作成したら、CreateSubscriberNotification オペレーションを使用して、サブスクライバーがアクセスするソースのデータレイクに新しいデータが書き込まれたときにサブスクライバーに通知する方法を指定します。 AWS Command Line Interface (AWS CLI) を使用している場合は、create-subscriber-notification コマンドを実行します。

  • デフォルトの通知方法 (HTTPS エンドポイント) を上書きして Amazon SQS キューを作成するには、sqsNotificationConfigurationパラメータの値を指定します。

  • HTTPS エンドポイントで通知する場合は、httpsNotificationConfigurationパラメータの値を指定します。

  • targetRoleArn フィールドに、ARN の送信先を呼び出すために作成した IAM ロールの API EventBridge を指定します。

$ aws securitylake create-subscriber-notification \
--subscriber-id "12345ab8-1a34-1c34-1bd4-12345ab9012" \
--configuration httpsNotificationConfiguration={"targetRoleArn"="arn:aws:iam::XXX:role/service-role/RoleName", "endpoint"="https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"}

を取得するにはsubscriberID、Security Lake ListSubscribers の API オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、list-subscriber コマンドを実行します。

$ aws securitylake list-subscribers

サブスクライバーの通知方法 (Amazon SQS キューまたは HTTPS エンドポイント) を後で変更するには、UpdateSubscriberNotification オペレーションを使用するか、 を使用している場合は AWS CLIupdate-subscriber-notification コマンドを実行します。Security Lake コンソールを使用して通知方法を変更することもできます。[サブスクライバー] ページでサブスクライバーを選択し、[編集] を選択します。

サンプル通知メッセージの例

次の例は、 CreateSubscriberNotificationオペレーションの JSON 構造形式のイベント通知を示しています。

{
  "source": "aws.s3",
  "time": "2021-11-12T00:00:00Z",
  "account": "123456789012",
  "region": "ca-central-1",
  "resources": [
    "arn:aws:s3:::amzn-s3-demo-bucket"
  ],
  "detail": {
    "bucket": {
      "name": "amzn-s3-demo-bucket"
    },
    "object": {
      "key": "example-key",
      "size": 5,
      "etag": "b57f9512698f4b09e608f4f2a65852e5"
    },
    "request-id": "N4N7GDK58NMKJ12R",
    "requester": "securitylake.amazonaws.com"
  }
}