Security Lake에서 롤업 리전 구성 - Amazon Security Lake
IAM 데이터 복제 역할IAM AWS Glue 파티션을 등록하는 역할롤업 리전 추가롤업 리전 업데이트 또는 제거

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Lake에서 롤업 리전 구성

롤업 리전은 하나 이상의 기여 리전의 데이터를 통합합니다. 롤업 리전을 지정하면 리전 규정 준수 요구 사항을 준수하는 데 도움이 될 수 있습니다.

중요

사용자 지정 소스를 생성한 경우 사용자 지정 소스 데이터가 대상에 제대로 복제되도록 하려면 사용자 지정 소스 수집 모범 사례 에 설명된 모범 사례를 따르는 것이 좋습니다. 페이지에 설명된 대로 S3 파티션 데이터 경로 형식을 따르지 않는 데이터에 대해서는 복제를 수행할 수 없습니다.

롤업 리전을 추가하기 전에 먼저 AWS Identity and Access Management ()에서 두 가지 역할을 생성해야 합니다IAM.

참고

Security Lake는 Security Lake 콘솔을 사용할 때 이러한 IAM 역할을 생성하거나 사용자를 대신하여 기존 역할을 사용합니다. 그러나 Security Lake API 또는 를 사용할 때는 이러한 역할을 생성해야 합니다 AWS CLI.

IAM 데이터 복제 역할

이 IAM 역할은 Amazon S3에 여러 리전에 소스 로그 및 이벤트를 복제할 수 있는 권한을 부여합니다.

이러한 권한을 부여하려면 접두사 로 시작하는 IAM 역할을 생성하고 다음 샘플 정책을 역할에 SecurityLake연결합니다. Security Lake에서 롤업 리전을 생성할 때 역할의 Amazon 리소스 이름(ARN)이 필요합니다. 이 정책에서 sourceRegions는 기여 destinationRegions 리전이며 롤업 리전입니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadS3ReplicationSetting",
      "Action": [
        "s3:ListBucket",
        "s3:GetReplicationConfiguration",
        "s3:GetObjectVersionForReplication",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectRetention",
        "s3:GetObjectLegalHold"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    },
    {
      "Sid": "AllowS3Replication",
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete",
        "s3:ReplicateTags",
        "s3:GetObjectVersionTagging"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    }
  ]
}

다음 신뢰 정책을 역할에 첨부하여 Amazon S3가 역할을 맡을 수 있도록 허용합니다:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWS Key Management Service (AWS KMS)의 고객 관리형 키를 사용하여 Security Lake 데이터 레이크를 암호화하는 경우 데이터 복제 정책의 권한 외에도 다음 권한을 부여해야 합니다.

{
    "Action": [
        "kms:Decrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "s3.{sourceRegion1}.amazonaws.com",
                "s3.{sourceRegion2}.amazonaws.com"
                ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
            ]
        }
    },
    "Resource": [
        "{sourceRegion1KmsKeyArn}",
        "{sourceRegion2KmsKeyArn}"
    ]
},
{
    "Action": [
        "kms:Encrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
            "s3.{destinationRegion1}.amazonaws.com",
            ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
            ]
        }
    },
    "Resource": [
            "{destinationRegionKmsKeyArn}"
    ]
}

복제 역할에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서권한 설정을 참조하세요.

IAM AWS Glue 파티션을 등록하는 역할

이 IAM 역할은 Security Lake에서 다른 리전에서 복제된 S3 객체에 대한 파티션을 등록하는 데 사용하는 AWS Glue 파티션 업데이터 AWS Lambda 함수에 대한 권한을 부여합니다. 이 역할을 생성하지 않으면 구독자는 해당 객체의 이벤트를 쿼리할 수 없습니다.

이러한 권한을 부여하려면 AmazonSecurityLakeMetaStoreManager라는 이름이 지정된 역할을 생성해야 합니다 (Security Lake에 온보딩하는 동안 이 역할을 이미 생성했을 수 있음). 샘플 정책을 포함하여 이 역할에 대한 자세한 내용은 1단계: IAM 역할 생성을 참조하십시오.

Lake Formation 콘솔에서는 다음 단계에 따라 데이터 레이크 관리자로서 AmazonSecurityLakeMetaStoreManager 권한도 부여해야 합니다.

  1. 에서 Lake Formation 콘솔을 엽니다https://console.aws.amazon.com/lakeformation/.

  2. 관리 사용자로 로그인

  3. Welcome to Lake Formation 창이 나타나면 1단계에서 생성하거나 선택한 사용자를 선택한 다음 시작하기를 선택합니다.

  4. Welcome to Lake Formation 창이 표시되지 않는 경우 다음 단계를 수행하여 Lake Formation 관리자를 구성하십시오.

    1. 탐색 창의 권한 아래에서 관리 역할 및 작업을 선택합니다. 콘솔 페이지의 데이터 레이크 관리자 섹션에서 관리자 선택을 선택합니다.

    2. 데이터 레이크 관리자 관리 대화 상자의 IAM 사용자 및 역할에 대해 생성한 AmazonSecurityLakeMetaStoreManager IAM 역할을 선택한 다음 저장을 선택합니다.

데이터 레이크 관리자의 권한 변경에 대한 자세한 내용은 AWS Lake Formation 개발자 가이드의 데이터 레이크 관리자 생성을 참조하십시오.

롤업 리전 추가

원하는 액세스 방법을 선택하고 다음 단계에 따라 롤업 리전을 추가하세요.

참고

리전은 여러 롤업 리전에 데이터를 제공할 수 있습니다. 하지만 롤업 리전은 다른 롤업 리전의 기여 리전이 될 수 없습니다.

Console

  1. 에서 Security Lake 콘솔을 엽니다https://console.aws.amazon.com/securitylake/.

  2. 탐색 창의 설정 아래에서 롤업 리전을 선택합니다.

  3. 수정을 선택한 다음 롤업 리전 추가를 선택합니다.

  4. 롤업 리전 및 기여 리전을 지정합니다. 여러 롤업 리전을 추가하려면 이 단계를 반복합니다.

  5. 롤업 리전을 처음 추가하는 경우 서비스 액세스 의 경우 새 IAM 역할을 생성하거나 Security Lake에 여러 리전에 걸쳐 데이터를 복제할 수 있는 권한을 부여하는 기존 IAM 역할을 사용합니다.

  6. 마쳤으면 저장을 선택합니다.

Security Lake에 온보딩할 때 롤업 리전을 추가할 수도 있습니다. 자세한 내용은 Amazon Security Lake 시작하기 단원을 참조하십시오.

API

프로그래밍 방식으로 롤업 리전을 추가하려면 UpdateDataLake Security Lake 의 작동API. 를 사용하는 경우 를 AWS CLI실행합니다. update-data-lake 명령. 요청 시 region 필드를 사용하여 롤업 리전에 데이터를 제공할 리전을 지정하십시오. replicationConfiguration 파라미터의 regions 배열에서 각 롤업 리전의 리전 코드를 지정합니다. 리전 코드 목록은 AWS 일반 참조Amazon Security Lake 엔드포인트를 참조하십시오.

예를 들어 다음 명령은 롤업 리전ap-northeast-2으로 설정됩니다. us-east-1 리전은 ap-northeast-2 리전에 데이터를 제공합니다. 또한 이 예제에서는 데이터 레이크에 추가된 객체에 대해 365일의 만료 기간을 설정합니다. 이 예제는 Linux, macOS 또는 Unix용으로 포맷되었으며 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'

Security Lake에 온보딩할 때 롤업 리전을 추가할 수도 있습니다. 이렇게 하려면 CreateDataLake 작업(또는 를 사용하는 경우 AWS CLIcreate-data-lake 명령). 온보딩 중 롤업 리전 구성에 대한 자세한 내용은 섹션을 참조하세요Amazon Security Lake 시작하기.

롤업 리전 업데이트 또는 제거

원하는 액세스 방법을 선택하고 다음 단계에 따라 Security Lake에서 롤업 리전을 업데이트하거나 제거하십시오.

Console

  1. 에서 Security Lake 콘솔을 엽니다https://console.aws.amazon.com/securitylake/.

  2. 탐색 창의 설정 아래에서 롤업 리전을 선택합니다.

  3. 수정을 선택합니다.

  4. 롤업 리전의 기여 리전을 변경하려면 롤업 리전 행에서 업데이트된 기여 리전을 지정하십시오.

  5. 롤업 리전을 제거하려면 롤업 영역 행에서 제거를 선택합니다.

  6. 마쳤으면 저장을 선택합니다.

API

프로그래밍 방식으로 롤업 리전을 구성하려면 UpdateDataLake Security Lake 의 작동API. 를 사용하는 경우 를 AWS CLI실행합니다. update-data-lake 명령. 요청 시 지원되는 파라미터를 사용하여 롤업 설정을 지정하십시오.

  • 기여 리전을 추가하려면 region 필드를 사용하여 추가할 리전의 리전 코드를 지정합니다. replicationConfiguration 객체 regions 배열에서 데이터를 제공할 각 롤업 리전의 리전 코드를 지정합니다. 리전 코드 목록은 AWS 일반 참조Amazon Security Lake 엔드포인트를 참조하십시오.

  • 영향을 주는 리전을 제거하려면 region 필드를 사용하여 제거할 리전의 리전 코드를 지정합니다. 입력 파라미터에 대한 값을 지정합니다.

예를 들어 다음 명령은 us-east-1 및 를 모두 기여 리전us-east-2으로 구성합니다. 두 리전 모두 ap-northeast-3 롤업 리전에 데이터를 제공합니다. 이 예제는 Linux, macOS 또는 Unix용으로 포맷되었으며 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'