Criação de um assinante com acesso a consultas no Security Lake - Amazon Security Lake
Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de um assinante com acesso a consultas no Security Lake

Escolha seu método preferido para criar um assinante com acesso à consulta no atual Região da AWS. Um assinante só pode consultar dados do local em Região da AWS que ele foi criado. Para criar um assinante, você precisará ter o Conta da AWS ID e o ID externo do assinante. O ID externo é um identificador exclusivo que o assinante fornece a você. Para obter mais informações sobre externaIDs, consulte Como usar uma ID externa ao conceder acesso aos seus AWS recursos a terceiros no Guia do IAM usuário.

nota

O Security Lake não é compatível com a versão 1 do compartilhamento de dados entre contas do Lake Formation. Você deve atualizar o compartilhamento de dados entre contas do Lake Formation para a versão 2 ou versão 3. Para ver as etapas para atualizar as configurações da versão de várias contas por meio do AWS Lake Formation console ou do AWS CLI, consulte Para habilitar a nova versão no Guia do AWS Lake Formation desenvolvedor.

Console

  1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

    Faça login na conta do administrador delegado.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja criar o assinante.

  3. No painel de navegação, escolha Assinantes.

  4. Na página Assinantes, escolha Criar assinante.

  5. Para obter Detalhes do assinante, insira um Nome de assinante e uma Descrição opcional.

    A região é preenchida automaticamente conforme sua seleção atual Região da AWS e não pode ser modificada.

  6. Em Fontes de log e eventos, escolha quais fontes você deseja que o Security Lake inclua ao retornar os resultados da consulta.

  7. Em Método de acesso a dados, escolha Lake Formation para criar acesso de consulta para o assinante.

  8. Para as credenciais do assinante, forneça o ID do assinante e o Conta da AWS ID externo.

  9. (Opcional) Em Tags, insira até 50 tags para atribuir ao assinante.

    Uma tag é um rótulo que você pode definir e atribuir a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudar você a identificar, categorizar e gerenciar recursos de diferentes maneiras. Para saber mais, consulte Marcando recursos do Security Lake.

  10. Escolha Criar.

API

Para criar um assinante com acesso à consulta de forma programática, use a CreateSubscriberoperação do Security Lake. API Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando create-subscriber.

Em sua solicitação, use esses parâmetros para especificar as seguintes configurações para o assinante:

  • Em accessTypes, especifique LAKEFORMATION.

  • Para sources, especifique cada fonte que você deseja que o Security Lake inclua ao retornar os resultados da consulta.

  • ParasubscriberIdentity, especifique a AWS identidade e a ID externa que o assinante usa para consultar os dados de origem.

O exemplo a seguir cria um assinante com acesso de consulta na AWS região atual para a identidade de assinante especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)

O Security Lake usa o compartilhamento de tabelas entre contas do Lake Formation para oferecer suporte ao acesso de consultas para assinantes. Quando você cria um assinante com acesso de consulta no console do Security Lake, ou API AWS CLI, o Security Lake compartilha informações sobre as tabelas relevantes do Lake Formation com o assinante criando um compartilhamento de recursos em AWS Resource Access Manager ()AWS RAM.

Quando você faz certos tipos de edições em um assinante com acesso de consulta, o Security Lake cria um novo compartilhamento de recursos. Para obter mais informações, consulte Editando um assinante com acesso à consulta no Security Lake.

O assinante deve seguir estas etapas para consumir dados de suas tabelas do Lake Formation:

  1. Aceitar o compartilhamento de recursos: o assinante deve aceitar o compartilhamento de recursos que tem o resourceShareArn e resourceShareName que é gerado quando você cria ou edita o assinante. Escolha um dos seguintes métodos:

    O convite de compartilhamento de recursos expira em 12 horas, então você deve validar e aceitar o convite em 12 horas. Se o convite expirar, você continuará a vê-lo em um estado PENDING, mas aceitá-lo não lhe dará acesso aos recursos compartilhados. Depois de 12 horas, exclua o assinante do Lake Formation e recrie o assinante para receber um novo convite de compartilhamento de recursos.

  2. Criar um link de recurso para o banco de dados compartilhado — O assinante deve criar um link de recurso para o banco de dados compartilhado do Lake Formation em AWS Lake Formation (se estiver usando o console) ou AWS Glue (se estiver usandoAPI/AWSCLI). Esse link de recurso direciona a conta do assinante para o banco de dados compartilhado. Escolha um dos seguintes métodos:

  3. Consulte as tabelas compartilhadas: serviços como o Amazon Athena podem consultar as tabelas diretamente, e os novos dados que o Security Lake coleta estão automaticamente disponíveis para consulta. As consultas são executadas no assinante e os custos incorridos com as consultas são cobrados do assinante. Conta da AWS Você pode controlar o acesso de leitura aos recursos em sua própria conta do Security Lake.

Para obter mais informações sobre a concessão de permissões entre contas, consulte Compartilhamento de dados entre contas no Lake Formation no Guia do desenvolvedor do AWS Lake Formation .