Security Lake에서 쿼리 액세스 권한이 있는 구독자 생성 - Amazon Security Lake
계정 간 테이블 공유 설정 (구독자 단계)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Lake에서 쿼리 액세스 권한이 있는 구독자 생성

현재 에서 쿼리 액세스 권한이 있는 구독자를 생성하려면 원하는 방법을 선택합니다 AWS 리전. 구독자는 데이터가 생성된 에서만 데이터를 쿼리 AWS 리전 할 수 있습니다. 구독자를 생성하려면 구독자의 AWS 계정 ID와 외부 ID가 있어야 합니다. 외부 ID는 구독자가 사용자에게 제공하는 고유 식별자입니다. 외부 에 대한 자세한 내용은 IAM 사용 설명서의 리소스에 대한 액세스 권한을 타사에 부여할 때 외부 ID를 사용하는 방법을 IDs참조하세요. AWS

참고

Security Lake는 Lake Formation 계정 간 데이터 공유 버전 1을 지원하지 않습니다. Lake Formation 크로스 계정 데이터 공유를 버전 2 또는 버전 3으로 업데이트해야 합니다. AWS Lake Formation 콘솔 또는 를 통해 크로스 계정 버전 설정을 업데이트하는 단계는 AWS Lake Formation 개발자 안내서새 버전 활성화를 AWS CLI참조하세요.

Console

  1. 에서 Security Lake 콘솔을 엽니다https://console.aws.amazon.com/securitylake/.

    위임된 관리자 계정에 로그인하기

  2. 페이지 오른쪽 상단의 AWS 리전 선택기를 사용하여 구독자를 생성할 리전을 선택합니다.

  3. 탐색 창에서 구독자를 선택합니다.

  4. 구독자 페이지에서 구독자 생성을 선택합니다.

  5. 구독자 세부 정보를 보려면 구독자 이름과 설명 (선택 사항)을 입력합니다.

    리전은 현재 선택한 대로 자동으로 채워 AWS 리전 지며 수정할 수 없습니다.

  6. 로그 및 이벤트 소스의 경우 쿼리 결과를 반환할 때 Security Lake에 포함할 소스를 선택합니다.

  7. 데이터 액세스 방법에서 Lake Formation을 선택하여 구독자에 대한 쿼리 액세스를 생성합니다.

  8. 구독자 자격 증명 에 구독자의 AWS 계정 ID와 외부 ID 를 입력합니다.

  9. (선택 사항) 태그에는 구독자에게 할당할 태그를 50개까지 입력합니다.

    태그는 특정 유형의 AWS 리소스를 정의하고 할당할 수 있는 레이블입니다. 각 태그는 필수 태그 키 및 선택적 태그 값으로 구성됩니다. 태그를 사용하면 다양한 방식으로 리소스를 식별, 분류 및 관리할 수 있습니다. 자세한 내용은 Security Lake 리소스 태그 지정을 참조하십시오.

  10. 생성(Create)을 선택합니다.

API

프로그래밍 방식으로 쿼리 액세스 권한이 있는 구독자를 생성하려면 Security Lake 의 CreateSubscriber 작업을 사용합니다API. AWS Command Line Interface (AWS CLI)를 사용하는 경우 create-subscriber 명령을 실행합니다.

요청 시 이러한 파라미터를 사용하여 구독자에 대해 다음 설정을 지정합니다.

  • accessTypes에서 LAKEFORMATION를 지정합니다.

  • sources에 대해 쿼리 결과를 반환할 때 Security Lake에 포함하려는 각 소스를 지정하십시오.

  • 의 경우 구독자가 소스 데이터를 쿼리하는 데 사용하는 AWS 자격 증명 및 외부 ID를 subscriberIdentity지정합니다.

다음 예제에서는 지정된 구독자 자격 증명에 대해 현재 AWS 리전에 쿼리 액세스 권한이 있는 구독자를 생성합니다. 이 예제는 Linux, macOS 또는 Unix용으로 포맷되었으며 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

계정 간 테이블 공유 설정 (구독자 단계)

Security Lake는 Lake Formation 크로스 계정 테이블 공유를 사용하여 구독자 쿼리 액세스를 지원합니다. Security Lake 콘솔, API또는 에서 쿼리 액세스 권한이 있는 구독자를 생성하면 AWS CLI Security Lake는 AWS Resource Access Manager ()에서 리소스 공유를 생성하여 구독자와 관련 Lake Formation 테이블에 대한 정보를 공유합니다AWS RAM.

쿼리 액세스 권한이 있는 구독자를 특정 유형으로 편집하면 Security Lake에서 새 리소스 공유를 생성합니다. 자세한 내용은 Security Lake에서 쿼리 액세스 권한이 있는 구독자 편집 단원을 참조하십시오.

구독자는 다음 단계에 따라 Lake Formation 테이블의 데이터를 사용해야 합니다.

  1. 리소스 공유 수락 - 구독자는 구독자를 만들거나 편집할 때 생성되는 resourceShareArnresourceShareName을 지닌 해당 리소스 공유를 수락해야 합니다. 다음 방법 중 한 가지를 선택하세요.

    • 콘솔 및 의 경우 에서 리소스 공유 초대 수락을 AWS CLI참조하세요. AWS RAM

    • 의 경우 GetResourceShareInvitations 를 API호출합니다API. resourceShareArnresourceShareName 기준으로 필터링하여 올바른 리소스 공유를 찾아보세요. 로 초대를 수락합니다AcceptResourceShareInvitationAPI.

    리소스 공유 초대는 12시간 후에 만료되므로 12시간 이내에 초대를 확인하고 수락해야 합니다. 초대장이 만료되어도 초대장은 특정 PENDING 상태로 계속 표시되지만 수락해도 공유 리소스에 액세스할 수 있는 권한은 없습니다. 12시간이 지난 경우 Lake Formation 구독자를 삭제하고 구독자를 다시 생성하여 새 리소스 공유 초대장을 받으세요.

  2. 공유 데이터베이스에 대한 리소스 링크 생성 - 구독자는 AWS Lake Formation (콘솔을 사용하는 경우) 또는 AWS Glue (API/AWS를 사용하는 경우)에서 공유 Lake Formation 데이터베이스에 대한 리소스 링크를 생성해야 합니다CLI. 이 리소스 링크는 구독자의 계정을 공유 데이터베이스로 연결합니다. 다음 액세스 방법 중 한 가지를 선택하세요.

  3. 공유 테이블 쿼리 — Amazon Athena와 같은 서비스는 테이블을 직접 참조할 수 있으며 Security Lake가 수집하는 새 데이터를 자동으로 쿼리할 수 있습니다. 쿼리는 구독자의 에서 실행되며 AWS 계정쿼리로 인해 발생한 비용은 구독자에게 청구됩니다. 자신의 Security Lake 계정에 있는 리소스에 대한 읽기 액세스를 제어할 수 있습니다.

계정 간 권한 부여에 대한 자세한 내용은 AWS Lake Formation 개발자 안내서Lake Formation에서의 계정 간 데이터 공유를 참조하십시오.