Configurando regiões cumulativas no Security Lake - Amazon Security Lake
IAMfunção da replicação de dadosIAMfunção para registrar AWS Glue partiçõesComo adicionar regiões de rollupComo atualizar ou remover regiões de rollup

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando regiões cumulativas no Security Lake

Uma região de rollup consolida dados de uma ou mais regiões contribuintes. Especificar uma região de rollup pode ajudá-lo a cumprir os requisitos de conformidade regionais.

Importante

Se você criou uma fonte personalizada, para garantir que os dados da fonte personalizada sejam replicados adequadamente no destino, o Security Lake recomenda seguir as melhores práticas descritas em Práticas recomendadas para ingestão de fontes personalizadas. A replicação não pode ser executada em dados que não seguem o formato do caminho de dados da partição S3, conforme descrito na página.

Antes de adicionar uma região cumulativa, primeiro você precisa criar duas funções diferentes em AWS Identity and Access Management ()IAM:

nota

O Security Lake cria essas IAM funções ou usa funções existentes em seu nome quando você usa o console do Security Lake. No entanto, você deve criar essas funções ao usar o Security Lake API ou AWS CLI.

IAMfunção da replicação de dados

Essa IAM função concede permissão ao Amazon S3 para replicar logs e eventos de origem em várias regiões.

Para conceder essas permissões, crie uma IAM função que comece com o prefixo SecurityLake e anexe o exemplo de política a seguir à função. Você precisará do Amazon Resource Name (ARN) da função ao criar uma região cumulativa no Security Lake. Nesta política, sourceRegions são regiões contribuintes e destinationRegions são regiões de rollup.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadS3ReplicationSetting",
      "Action": [
        "s3:ListBucket",
        "s3:GetReplicationConfiguration",
        "s3:GetObjectVersionForReplication",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectRetention",
        "s3:GetObjectLegalHold"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    },
    {
      "Sid": "AllowS3Replication",
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete",
        "s3:ReplicateTags",
        "s3:GetObjectVersionTagging"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    }
  ]
}

Anexe a política de confiança a seguir à função para permitir que o Amazon S3 assuma a função:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Se você usar uma chave gerenciada pelo cliente de AWS Key Management Service (AWS KMS) para criptografar seu data lake do Security Lake, deverá conceder as seguintes permissões, além das permissões na política de replicação de dados.

{
    "Action": [
        "kms:Decrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "s3.{sourceRegion1}.amazonaws.com",
                "s3.{sourceRegion2}.amazonaws.com"
                ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
            ]
        }
    },
    "Resource": [
        "{sourceRegion1KmsKeyArn}",
        "{sourceRegion2KmsKeyArn}"
    ]
},
{
    "Action": [
        "kms:Encrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
            "s3.{destinationRegion1}.amazonaws.com",
            ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
            ]
        }
    },
    "Resource": [
            "{destinationRegionKmsKeyArn}"
    ]
}

Para obter mais informações sobre funções de replicação, consulte Configuração de permissões no Guia do usuário do Amazon Simple Storage Service.

IAMfunção para registrar AWS Glue partições

Essa IAM função concede permissões para uma AWS Lambda função de atualizador de partições usada pelo Security Lake para registrar AWS Glue partições para os objetos do S3 que foram replicados de outras regiões. Sem criar essa função, os assinantes não podem consultar eventos desses objetos.

Para conceder essas permissões, crie uma função chamada AmazonSecurityLakeMetaStoreManager (talvez você já tenha criado essa função na integração ao Security Lake). Para obter mais informações sobre essa função, incluindo um exemplo de política, consulte Etapa 1: criar IAM funções.

No console do Lake Formation, você também deve conceder permissões AmazonSecurityLakeMetaStoreManager como administrador do data lake seguindo estas etapas:

  1. Abra o console do Lake Formation em https://console.aws.amazon.com/lakeformation/.

  2. Faça login como usuário administrador.

  3. Se a janela Bem-vindo ao Lake Formation for exibida, escolha o usuário que você criou ou selecionou na Etapa 1 e, escolha Começar.

  4. Se você não vir a janela de Boas-vindas ao Lake Formation, execute as etapas a seguir para configurar um administrador do Lake Formation.

    1. No painel de navegação, em Permissões, selecione Perfis e tarefas administrativas. Na seção Administradores do data Lake da página do console, selecione Escolher administradores.

    2. Na caixa de diálogo Gerenciar administradores do data lake, para IAM usuários e funções, escolha a AmazonSecurityLakeMetaStoreManagerIAMfunção que você criou e escolha Salvar.

Para obter mais informações sobre a alteração de permissões para administradores de data lake, consulte Criar um administrador de data lake no Guia do desenvolvedor do AWS Lake Formation .

Como adicionar regiões de rollup

Escolha seu método de acesso preferido e siga estas etapas para adicionar uma região de rollup.

nota

Uma região pode contribuir com dados para várias regiões de rollup. No entanto, uma região de rollup não pode ser uma região contribuinte para outra região de rollup.

Console

  1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

  2. No painel de navegação, em Configurações, selecione Regiões de rollup.

  3. Escolha Modificar e, em seguida, escolha Adicionar região de rollup.

  4. Especifique a região de rollup e as regiões contribuintes. Repita esta etapa se quiser adicionar várias regiões de rollup.

  5. Se esta é a primeira vez que você adiciona uma região cumulativa, para acesso ao serviço, crie uma nova IAM função ou use uma IAM função existente que dê permissão ao Security Lake para replicar dados em várias regiões.

  6. Ao concluir, escolha Salvar.

Você também pode adicionar uma região de rollup na integração do Security Lake. Para obter mais informações, consulte Conceitos básicos do Amazon Security Lake.

API

Para adicionar uma região cumulativa de forma programática, use o UpdateDataLakeoperação do Security LakeAPI. Se você estiver usando o AWS CLI, execute o update-data-lakecomando. Em sua solicitação, use o campo region para especificar a região na qual você deseja contribuir com dados para a região de rollup. Na regions matriz do replicationConfiguration parâmetro, especifique o código da região para cada região cumulativa. Para obter uma lista de códigos de região, consulte Endpoints do Amazon Security Lake na Referência geral da AWS.

Por exemplo, o comando a seguir é definido ap-northeast-2 como uma região cumulativa. A us-east-1 Região contribuirá com dados para a ap-northeast-2 Região. Esse exemplo também estabelece um período de expiração de 365 dias para objetos adicionados ao data lake. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'

Você também pode adicionar uma região de rollup na integração do Security Lake. Para fazer isso, use o CreateDataLakeoperação (ou, se estiver usando o AWS CLI, o create-data-lakecomando). Para obter mais informações sobre como configurar regiões cumulativas durante a integração, consulte. Conceitos básicos do Amazon Security Lake

Como atualizar ou remover regiões de rollup

Escolha seu método de acesso preferido e siga estas etapas para atualizar ou remover regiões de rollup no Security Lake.

Console

  1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

  2. No painel de navegação, em Configurações, selecione Regiões de rollup.

  3. Escolha Modificar.

  4. Para alterar as regiões contribuintes de uma região de rollup, especifique as regiões contribuintes atualizadas na linha da região de rollup.

  5. Para remover uma região de rollup, escolha Remover na linha da Região de rollup.

  6. Ao concluir, escolha Salvar.

API

Para configurar regiões cumulativas de forma programática, use o UpdateDataLakeoperação do Security LakeAPI. Se você estiver usando o AWS CLI, execute o update-data-lakecomando. Em sua solicitação, use os parâmetros compatíveis para especificar as configurações de rollup:

  • Para adicionar uma região contribuinte, use o campo region para especificar o código da região a ser adicionada. Na matriz regions do objeto replicationConfiguration, especifique o código da região para cada região de rollup para a qual contribuir com dados. Para obter uma lista de códigos de região, consulte Endpoints do Amazon Security Lake na Referência geral da AWS.

  • Para remover uma região contribuinte, use o campo region para especificar o código da região a ser removida. Nos parâmetros replicationConfiguration, não especifique nenhum valor.

Por exemplo, o comando a seguir configura ambas us-east-1 e us-east-2 como regiões contribuintes. Ambas as regiões contribuirão com dados para a região ap-northeast-3 cumulativa. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'