Security Lake에서 데이터 액세스 권한이 있는 구독자를 생성하기 위한 사전 조건 - Amazon Security Lake
권한 확인구독자의 외부 ID 가져오기IAM 역할을 생성하여 EventBridge API Word대상 호출(API 및 AWS CLI전용 단계)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Lake에서 데이터 액세스 권한이 있는 구독자를 생성하기 위한 사전 조건

Security Lake에서 데이터 액세스 권한을 가진 구독자를 생성하려면 먼저 다음 사전 조건을 완료해야 합니다.

권한 확인

권한을 확인하려면 IAM를 사용하여 IAM 자격 증명에 연결된 IAM 정책을 검토합니다. 그런 다음 해당 정책의 정보를 데이터 레이크에 새 데이터가 기록될 때 구독자에게 알려야 하는 다음 (권한) 조치 목록과 비교하십시오.

다음 작업을 수행할 수 있는 권한이 필요합니다.

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

위의 목록 외에도 다음 작업을 수행할 수 있는 권한이 필요합니다.

  • events:CreateApiDestination

  • events:CreateConnection

  • events:DescribeRule

  • events:ListApiDestinations

  • events:ListConnections

  • events:PutRule

  • events:PutTargets

  • s3:GetBucketNotification

  • s3:PutBucketNotification

  • sqs:CreateQueue

  • sqs:DeleteQueue

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:SetQueueAttributes

구독자의 외부 ID 가져오기

구독자를 생성하려면 구독자의 AWS 계정 ID 외에 외부 ID도 가져와야 합니다. 외부 ID는 구독자가 사용자에게 제공하는 고유 식별자입니다. Security Lake는 외부 ID를 생성한 구독자 IAM 역할에 추가합니다. Security Lake 콘솔에서 구독자를 생성할 때 또는 API를 통해 외부 ID를 사용합니다 AWS CLI.

외부 IDs에 대한 자세한 내용은 IAM 사용 설명서외부 ID를 사용하여 AWS 리소스에 대한 액세스 권한을 타사에 부여하는 방법을 참조하세요.

중요

Security Lake 콘솔을 사용하여 구독자를 추가하려는 경우 다음 단계를 건너뛰고 Security Lake에서 데이터 액세스 권한이 있는 구독자 생성 단원으로 진행하면 됩니다. Security Lake 콘솔은 시작하기 위한 간소화된 프로세스를 제공하며, 필요한 모든 IAM 역할을 생성하거나 사용자를 대신하여 기존 역할을 사용합니다.

Security Lake API를 사용하거나 구독자를 AWS CLI 추가하려면 다음 단계를 진행하여 IAM 역할을 생성하여 EventBridge API Word대상을 호출합니다.

IAM 역할을 생성하여 EventBridge API Word대상 호출(API 및 AWS CLI전용 단계)

Security Lake through API 또는를 사용하는 경우 IAM에 Word 대상을 호출하고 올바른 API 엔드포인트로 객체 알림을 보낼 수 있는 권한을 부여하는 역할을 AWS Identity and Access Management (HTTPS)에서 AWS CLI생성합니다. EventBridge

이 IAM 역할을 생성한 후 구독자를 생성하려면 역할의 Amazon 리소스 이름(ARN)이 필요합니다. 구독자가 Amazon Simple Queue Service(Amazon IAM) 대기열에서 데이터를 폴링하거나에서 데이터를 직접 쿼리하는 경우이 SQS 역할은 필요하지 않습니다 AWS Lake Formation. 이런 종류의 데이터 액세스 방법 (액세스 유형) 에 대한 자세한 정보는 구독자를 위한 쿼리 액세스 관리을 참조하십시오.

IAM 역할에 다음 정책을 연결합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInvokeApiDestination",
            "Effect": "Allow",
            "Action": [
                "events:InvokeApiDestination"
            ],
            "Resource": [
                "arn:aws:events:{us-west-2}:{123456789012}:api-destination/AmazonSecurityLake*/*"
            ]
        }
    ]
}

다음 신뢰 정책을 IAM 역할에 연결하여 EventBridge 맡을 수 있도록 허용하세요.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEventBridgeToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
더보기간략히 보기

Security Lake는 구독자가 데이터 레이크에서 데이터를 읽을 수 있도록 허용하는 IAM 역할을 자동으로 생성합니다(또는 선호하는 알림 방법인 경우 Amazon SQS 대기열에서 이벤트를 폴링). 이 역할은 라는 AWS 관리형 정책으로 보호됩니다AmazonSecurityLakePermissionsBoundary.