Security Lake でデータアクセスを持つサブスクライバーを作成するための前提条件 - Amazon Security Lake
アクセス許可の確認サブスクライバーの外部 ID を取得します。送信先を呼び出すIAM EventBridge APIロールを作成する (API および AWS CLIのみのステップ)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Lake でデータアクセスを持つサブスクライバーを作成するための前提条件

Security Lake でデータにアクセスできるサブスクライバーを作成する前に、次の必要条件を満たす必要があります。

アクセス許可の確認

アクセス許可を確認するには、 IAMを使用して IAM ID にアタッチされているIAMポリシーを確認します。次に、それらのポリシーの情報を、データレイクに新しいデータが書き込まれたときにサブスクライバーに通知する必要がある次の (権限) アクションのリストと比較します。

以下のアクションの実行には許可が必要です。

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

上記のリストに加えて、以下のアクションを実行する許可も必要です。

  • events:CreateApiDestination

  • events:CreateConnection

  • events:DescribeRule

  • events:ListApiDestinations

  • events:ListConnections

  • events:PutRule

  • events:PutTargets

  • s3:GetBucketNotification

  • s3:PutBucketNotification

  • sqs:CreateQueue

  • sqs:DeleteQueue

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:SetQueueAttributes

サブスクライバーの外部 ID を取得します。

サブスクライバーを作成するには、サブスクライバーの AWS アカウント ID とは別に、外部 ID を取得する必要があります。外部 ID は、サブスクライバーが提供する固有の識別子です。Security Lake は、作成したサブスクライバーIAMロールに外部 ID を追加します。Security Lake コンソールでサブスクライバーを作成するときに、API、または を使用して外部 ID を使用します AWS CLI。

外部 の詳細についてはIDs、IAM「 ユーザーガイド」の AWS 「 リソースへのアクセスを第三者に付与するときに外部 ID を使用する方法」を参照してください。

重要

Security Lake コンソールを使用してサブスクライバーを追加する予定がある場合は、次の手順をスキップして Security Lake でデータアクセスを持つサブスクライバーを作成する に進むことができます。Security Lake コンソールは、開始するための合理化されたプロセスを提供し、必要なすべてのIAMロールを作成するか、ユーザーに代わって既存のロールを使用します。

Security Lake APIまたは を使用してサブスクライバー AWS CLI を追加する場合は、次のステップに進み、送信先を呼び出すIAM EventBridge APIロールを作成します。

送信先を呼び出すIAM EventBridge APIロールを作成する (API および AWS CLIのみのステップ)

API または を通じて Security Lake を使用している場合は AWS CLI、 AWS Identity and Access Management (IAM) でロールを作成し、Amazon にAPI送信先を呼び出し、オブジェクト通知を正しいHTTPSエンドポイントに送信する EventBridge アクセス許可を付与します。

このIAMロールを作成した後、サブスクライバーを作成するには、ロールの Amazon リソースネーム (ARN) が必要です。このIAMロールは、サブスクライバーが Amazon Simple Queue Service (Amazon SQS) キューからデータをポーリングする場合や、 からデータを直接クエリする場合には必要ありません AWS Lake Formation。この種のデータアクセス方法 (アクセスタイプ) の詳細については、「Security Lake サブスクライバーのクエリアクセスの管理」を参照してください。

IAM ロールに次のポリシーをアタッチします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInvokeApiDestination",
            "Effect": "Allow",
            "Action": [
                "events:InvokeApiDestination"
            ],
            "Resource": [
                "arn:aws:events:{us-west-2}:{123456789012}:api-destination/AmazonSecurityLake*/*"
            ]
        }
    ]
}

次の信頼ポリシー EventBridge をIAMロールにアタッチして、ロールの引き受けを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEventBridgeToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
表示を増やす表示を減らす

Security Lake は、サブスクライバーがデータレイクからデータを読み取ることができるIAMロールを自動的に作成します (または、通知の優先方法である場合は Amazon SQSキューからイベントをポーリングします)。このロールは、 という AWS マネージドポリシーで保護されていますAmazonSecurityLakePermissionsBoundary