기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

프로그래밍 방식으로 Security Lake 활성화

이 자습서에서는 프로그래밍 방식으로 Security Lake 사용을 활성화하고 시작하는 방법을 설명합니다. Amazon Security Lake API는 Security Lake 계정, 데이터 및 리소스에 대한 포괄적이고 프로그래밍 방식의 액세스를 제공합니다. 또는 AWS 명령줄 도구인 AWS Command Line Interface 또는 AWS Tools for PowerShell 또는 AWS SDKs를 사용하여 Security Lake에 액세스할 수 있습니다.

1단계: IAM 역할 생성

프로그래밍 방식으로 Security Lake에 액세스하는 경우 데이터 레이크를 구성하려면 일부 AWS Identity and Access Management (IAM) 역할을 생성해야 합니다.

다음 작업 중 하나 이상을 수행할 경우 IAM에서 역할을 생성해야 합니다(각 작업의 IAM 역할에 대한 자세한 내용을 보려면 링크를 선택합니다).

앞서 언급한 역할을 생성한 후 AmazonSecurityLakeAdministrator AWS Security Lake를 활성화하는 데 사용하는 역할에 대한 관리형 정책입니다. 이 정책은 보안 주체가 Security Lake에 온보딩하고 모든 Security Lake 작업에 액세스할 수 있도록 허용하는 관리 권한을 부여합니다.

연결 AmazonSecurityLakeMetaStoreManager AWS 관리형 정책을 사용하여 Security Lake에서 데이터 레이크 또는 쿼리 데이터를 생성합니다. 이 정책은 Security Lake가 소스에서 수신하는 원시 로그 및 이벤트 데이터에 대한 추출, 변환 및 로드(ETL) 작업을 지원하는 데 필요합니다.

2단계: Amazon Security Lake 활성화

프로그래밍 방식으로 Security Lake를 활성화하려면 CreateDataLake Security Lake API의 작업입니다. 를 사용하는 경우 create-data-lake 명령을 AWS CLI실행합니다. 요청 시 configurations 객체의 region 필드를 사용하여 Security Lake를 활성화할 리전의 리전 코드를 지정하십시오. 리전 코드 목록은 AWS 일반 참조의 Amazon Security Lake 엔드포인트를 참조하십시오.

예 1

다음 예제 명령은 us-east-1 및 us-east-2 리전에서 Security Lake를 활성화합니다. 두 리전 모두에서이 데이터 레이크는 Amazon S3 관리형 키로 암호화됩니다. 객체는 365일 후에 만료되고 객체는 60일 후에 ONEZONE_IA S3 스토리지 클래스로 전환됩니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

예제 2

다음 예제 명령은 us-east-2 리전에서 Security Lake를 활성화합니다. 이 데이터 레이크는 AWS Key Management Service ()에서 생성된 고객 관리형 키로 암호화됩니다AWS KMS. 객체는 500일 후에 만료되고 객체는 30일 후에 GLACIER S3 스토리지 클래스로 전환됩니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

3단계: 소스 구성

Security Lake는 다양한 소스와 AWS 계정 및 AWS 리전전반에서 로그 및 이벤트 데이터를 수집합니다. 다음 지침에 따라 Security Lake에서 수집하려는 데이터를 식별하십시오. 기본적으로 지원되는 AWS 서비스 를 소스로 추가할 때만 이 지침을 사용할 수 있습니다. 사용자 지정 소스 추가에 대한 자세한 내용은 Security Lake의 사용자 지정 소스에서 데이터 수집 섹션을 참조하세요.

하나 이상의 컬렉션 소스를 프로그래밍 방식으로 정의하려면 Security Lake CreateAwsLogSource의 API 작업을 사용합니다. 각 소스에 대해 리전별로 고유한 sourceName 파라미터 값을 지정합니다. 선택적으로 추가 파라미터를 사용하여 소스의 범위를 특정 계정 (accounts) 또는 특정 버전 (sourceVersion)으로 제한할 수 있습니다.

요청에 Security Lake를 활성화하지 않은 리전이 지정된 경우 오류가 발생합니다. 이 오류를 해결하려면 Security Lake를 활성화한 리전만 regions 배열에 지정해야 합니다. 또는 리전에서 Security Lake를 활성화한 후 다시 요청을 제출할 수 있습니다.

계정에서 Security Lake를 처음 활성화하면 선택한 모든 로그 및 이벤트 소스가 15일 무료 평가판에 포함됩니다. 사용량 통계에 대한 자세한 내용은 사용량 및 예상 비용 검토 섹션을 참조하세요.

4단계: 스토리지 설정 및 롤업 리전 구성(선택 사항)

Security Lake에서 데이터를 저장할 Amazon S3 스토리지 클래스와 저장 기간을 지정할 수 있습니다. 또한 롤업 리전을 지정하여 여러 리전의 데이터를 통합할 수 있습니다. 이 단계는 선택적 단계입니다. 자세한 내용은 Security Lake의 수명 주기 관리 단원을 참조하십시오.

Security Lake를 활성화할 때 프로그래밍 방식으로 대상 목표를 정의하려면 CreateDataLake Security Lake API의 작업입니다. Security Lake를 이미 활성화했고 대상 목표를 정의하려는 경우 UpdateDataLake 작업이 아니라 CreateDataLake 작업입니다.

어느 작업이든 지원되는 파라미터를 사용하여 원하는 구성 설정을 지정하십시오.

예를 들어 다음 명령은를 롤업 리전ap-northeast-2으로 사용하여 데이터 레이크를 생성합니다. us-east-1 리전은 ap-northeast-2 리전에 데이터를 제공합니다. 또한이 예제에서는 데이터 레이크에 추가된 객체에 대해 10일의 만료 기간을 설정합니다.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

이제 데이터 레이크를 생성했습니다. 사용ListDataLakes 각 리전에서 Security Lake 및 데이터 레이크 설정의 활성화를 확인하기 위한 Security Lake API의 작업입니다.

데이터 레이크 생성 시 문제나 오류가 발생하는 경우를 사용하여 예외 목록을 볼 수 있습니다. ListDataLakeExceptions 작업 및 사용자에게에 대한 예외 사항 알림 CreateDataLakeExceptionSubscription 작업. 자세한 내용은 데이터 레이크 상태 문제 해결 단원을 참조하십시오.

5단계: 자체 데이터 보기 및 쿼리

데이터 레이크를 생성한 후 Amazon Athena 또는 유사한 서비스를 사용하여 AWS Lake Formation 데이터베이스 및 테이블에서 데이터를 보고 쿼리할 수 있습니다. 프로그래밍 방식으로 Security Lake를 활성화하면 데이터베이스 보기 권한이 자동으로 부여되지 않습니다. 의 데이터 레이크 관리자 계정은 관련 데이터베이스 및 테이블을 쿼리하는 데 사용할 IAM 역할에 SELECT 권한을 부여해야 AWS Lake Formation 합니다. 최소한 역할에는 데이터 분석가 권한이 있어야 합니다. 권한 수준에 대한 자세한 내용은 Lake Formation 페르소나 및 IAM 권한 참조를 참조하세요. SELECT 권한 부여에 대한 지침은 AWS Lake Formation 개발자 안내서의 명명된 리소스 방법을 사용하여 데이터 카탈로그 권한 부여를 참조하십시오.

6단계: 구독자 생성

데이터 레이크를 생성한 후 구독자를 추가하여 데이터를 사용할 수 있습니다. 구독자는 Amazon S3 버킷의 객체에 직접 액세스하거나 데이터 레이크를 쿼리하여 데이터를 사용할 수 있습니다. 구독자에 대한 자세한 내용은 Security Lake의 구독자 관리을 참조하십시오.