Security Lake의 수명 주기 관리 - Amazon Security Lake
보존 관리롤업 리전

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Lake의 수명 주기 관리

Security Lake를 사용자 지정하여 원하는 시간 AWS 리전 동안 원하는에 데이터를 저장할 수 있습니다. 수명 주기 관리를 통해 다양한 규정 준수 요구 사항을 준수할 수 있습니다.

보존 관리

데이터를 관리하여 비용 효율적으로 저장하기 위해 데이터에 대한 보존 설정을 구성할 수 있습니다. Security Lake는 Amazon Simple Storage Service(S3) 버킷에 데이터를 객체로 저장하므로 보관 설정은 Amazon S3 수명 주기 구성과 일치합니다. 이러한 설정을 구성하여 선호하는 Amazon S3 스토리지 클래스와 S3 객체가 다른 스토리지 클래스로 전환하거나 만료되기 전에 해당 스토리지 클래스에 머무르는 기간을 지정할 수 있습니다. Amazon S3 수명 주기 구성에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서에서 스토리지 수명 주기 관리를 참조하세요.

Security Lake에서는 리전 수준에서 보존 설정을 지정합니다. 예를 들어 데이터 레이크에 쓰인 후 S30일이 지나면 특정 AWS 리전 의 모든 S3 객체를 S3 Standard-IA 스토리지 클래스로 전환하도록 선택할 수 있습니다. 기본 Amazon S3 스토리지 클래스는 S3 Standard입니다.

중요

Security Lake는 Amazon S3 객체 잠금을 지원하지 않습니다. 데이터 레이크 버킷이 생성되면 S3 객체 잠금이 기본적으로 비활성화됩니다. 기본 보존 모드로 S3 객체 잠금을 활성화하면 정규화된 로그 데이터가 데이터 레이크로 전달되지 않습니다.

Security Lake를 활성화할 때 보존 설정을 구성합니다.

Security Lake에 온보딩할 때 다음 지침에 따라 하나 이상의 리전에 대한 보존 설정을 구성하십시오. 보존 설정을 구성하지 않으면 Security Lake는 Amazon S3 수명 주기 구성의 기본 설정을 사용합니다. 즉, S3 Standard 스토리지 클래스를 사용하여 데이터를 무기한 저장합니다.

중요

보존 설정은 S3 버킷에 저장된 데이터에만 적용됩니다. Apache Iceberg 메타데이터는 보존 정책에서 제외됩니다.

Console

  1. Security Lake 콘솔(https://console.aws.amazon.com/securitylake/)을 엽니다.

  2. 2단계: 온보딩 워크플로의 대상 목표 정의에 도달하면 스토리지 클래스 선택에서 전환 추가를 선택합니다. 그런 다음 S3 객체를 전환하려는 Amazon S3 스토리지 클래스를 선택합니다. (목록에 없는 기본 스토리지 클래스는 S3 Standard입니다.) 또한 해당 스토리지 클래스의 보존 기간 (일) 을 지정하십시오. 해당 기간 이후에 객체를 다른 스토리지 클래스로 전환하려면 전환 추가를 선택하고 후속 스토리지 클래스 및 보존 기간에 대한 설정을 입력합니다.

  3. S3 객체 만료 시기를 지정하려면 전환 추가를 선택합니다. 그런 다음 스토리지 클래스의 경우 만료를 선택합니다. 보존 기간에는 객체 생성 후 임의의 스토리지 클래스를 사용하여 Amazon S3에 객체를 저장할 총 일수를 입력합니다. 이 기간이 끝나면 객체가 만료되고 Amazon S3에서 객체를 삭제합니다.

  4. 마쳤으면 다음을 선택합니다.

변경 사항은 이전 온보딩 단계에서 Security Lake를 활성화한 모든 리전에 적용됩니다.

API

Security Lake에 온보딩할 때 프로그래밍 방식으로 보존 설정을 구성하려면 Security Lake API의 CreateDataLake 작업을 사용합니다. AWS CLI을(를) 사용하는 경우, create-data-lake 명령을 실행합니다. 다음과 같이 lifecycleConfiguration 파라미터에 원하는 보존 설정을 지정합니다.

  • transitions의 경우 특정 Amazon S3 스토리지 클래스 (storageClass)에 S3 객체를 저장할 총 일수 (days)를 지정합니다.

  • expiration의 경우, 객체를 생성한 후 임의의 스토리지 클래스를 사용하여 Amazon S3에 객체를 저장할 총 일수를 지정합니다. 이 기간이 끝나면 객체가 만료되고 Amazon S3에서 객체를 삭제합니다.

Security Lake는 configurations객체의 region 필드에 지정하는 리전에 설정을 적용합니다.

예를 들어 다음 명령은 us-east-1 리전에서 Security Lake를 활성화합니다. 이 리전에서는 객체가 365일 후에 만료되고 객체가 60일 후에 ONEZONE_IA S3 스토리지 클래스로 전환됩니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default"

보존 설정 업데이트

Security Lake를 활성화한 후 다음 지침에 따라 하나 이상의 지역에 대한 보존 설정을 업데이트하십시오.

Console

  1. Security Lake 콘솔(https://console.aws.amazon.com/securitylake/)을 엽니다.

  2. 탐색 창에서 리전을 선택합니다.

  3. 리전을 선택한 다음 편집을 선택합니다.

  4. 스토리지 클래스 선택 섹션에서 원하는 설정을 입력합니다. 스토리지 클래스의 경우, S3 개체를 전환할 Amazon S3 스토리지 클래스를 선택합니다. (목록에 없는 기본 스토리지 클래스는 S3 Standard입니다.) 보관 기간에는 해당 스토리지 클래스에 객체를 저장할 일수를 입력합니다. 여러 전환을 지정할 수 있습니다.

    S3 객체 만료 시기도 지정하려면 스토리지 클래스에 대해 Expire를 선택합니다. 그런 다음, 보관 기간에 객체 생성 후 임의의 스토리지 클래스를 사용하여 Amazon S3에 객체를 저장할 총 일수를 입력합니다. 이 기간이 끝나면 객체가 만료되고 Amazon S3에서 객체를 삭제합니다.

  5. 마쳤으면 저장을 선택합니다.

API

보존 설정을 프로그래밍 방식으로 업데이트하려면 Security Lake API의 UpdateDataLake 작업을 사용합니다. 를 사용하는 경우 update-data-lake 명령을 AWS CLI실행합니다. 요청에서 lifecycleConfiguration 파라미터를 사용하여 새 설정을 지정합니다.

  • 전환 설정을 변경하려면 transitions 파라미터를 사용하여 특정 Amazon S3 스토리지 클래스(storageClass)에 S3 객체를 저장할 각각의 새 기간을 일 (days) 단위로 지정합니다.

  • 전체 보존 기간을 변경하려면 expiration 파라미터를 사용하여 객체 생성 후 스토리지 클래스를 사용하여 S3 객체를 저장할 총 일수를 지정합니다. 이 보존 기간이 끝나면 객체가 만료되고 Amazon S3에서 객체를 삭제합니다.

Security Lake는 configurations 객체의 region 필드에 지정한 리전에 설정을 적용합니다.

Security Lake API의 UpdateDataLake 작업은 지정된 항목 또는 레코드가 없는 경우 삽입을 수행하는 "upsert" 작업으로 작동하거나 이미 있는 경우 업데이트로 작동합니다. Security Lake는 AWS 암호화 솔루션을 사용하여 저장 데이터를 안전하게 저장합니다.

현재 KMS를 사용하는 업데이트 호출에 포함된 리전encryptionConfiguration에서 키를 생략하면 해당 리전의 KMS 키가 그대로 유지되지만 키를 지정하면 동일한 리전에서 키가 재설정됩니다.

예를 들어 다음 AWS CLI 명령은 us-east-1 리전의 데이터 만료 설정 및 스토리지 전환 설정을 업데이트합니다. 이 리전에서는 객체가 500일 후에 만료되고 객체가 30일 후에 ONEZONE_IA S3 스토리지 클래스로 전환됩니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default"

롤업 리전

롤업 리전은 하나 이상의 기여 리전의 데이터를 통합합니다. 이렇게 하면 리전별 데이터 규제 요구 사항을 준수할 수 있습니다.

롤업 리전 구성에 대한 지침은 섹션을 참조하세요Security Lake에서 롤업 리전 구성.