Etapa 1: criar IAM funções Etapa 2: habilitar o Amazon Security Lake Etapa 3: Configurar fontes Etapa 4: definir as configurações de armazenamento e as regiões cumulativas (opcional)Etapa 5: visualizar e consultar seus próprios dados Etapa 6: criar assinantes

Ativando o Security Lake programaticamente

Este tutorial explica como ativar e começar a usar o Security Lake programaticamente. O Amazon Security Lake API oferece acesso abrangente e programático à sua conta, dados e recursos do Security Lake. Como alternativa, você pode usar ferramentas de linha de AWS comando — AWS Command Line Interfaceou as AWS Ferramentas para PowerShell — ou a AWS SDKspara acessar o Security Lake.

Etapa 1: criar IAM funções

Se você acessar o Security Lake programaticamente, será necessário criar algumas funções AWS Identity and Access Management (IAM) para configurar seu data lake.

Importante

Não é necessário criar essas IAM funções se você usar o console do Security Lake para habilitar e configurar o Security Lake.

Você deve criar funções em IAM se for realizar uma ou mais das seguintes ações (escolha os links para ver mais informações sobre as IAM funções de cada ação):

Como criar uma fonte personalizada: fontes personalizadas são fontes sem suporte nativo nos Serviços da AWS que enviam dados para o Security Lake.
Como criar um assinante com acesso a dados: os assinantes com permissões podem acessar diretamente os objetos do S3 do seu data lake.
Como criar um assinante com acesso de consulta: assinantes com permissões podem consultar dados do Security Lake usando serviços como o Amazon Athena.
Como configurar uma região de rollup: uma região de rollup consolida dados de várias Regiões da AWS.

Depois de criar as funções mencionadas anteriormente, anexe o AmazonSecurityLakeAdministrator AWS política gerenciada para a função que você está usando para habilitar o Security Lake. Essa política concede permissões administrativas que permitem à entidade principal acesso ao Security Lake e acesso total a todas as ações do Security Lake.

Anexe o AmazonSecurityLakeMetaStoreManager AWS política gerenciada para criar seu data lake ou consultar dados do Security Lake. Essa política é necessária para que o Security Lake ofereça suporte a trabalhos de extração, transformação e carregamento (ETL) em dados brutos de log e eventos recebidos das fontes.

Etapa 2: habilitar o Amazon Security Lake

Para ativar o Security Lake programaticamente, use o CreateDataLakeoperação do Security LakeAPI. Se você estiver usando o AWS CLI, execute o create-data-lakecomando. Em sua solicitação, use o campo region do objeto configurations para especificar o código da região na qual o Security Lake será habilitado. Para obter uma lista de códigos de região, consulte Endpoints do Amazon Security Lake na Referência geral da AWS.

Exemplo 1

O comando de exemplo a seguir ativa o Security Lake nas us-east-2 regiões us-east-1 e. Em ambas as regiões, esse data lake é criptografado com chaves gerenciadas do Amazon S3. Os objetos expiram após 365 dias e os objetos passam para a classe de armazenamento ONEZONE_IA S3 após 60 dias. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.


$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Exemplo 2

O comando de exemplo a seguir ativa o Security Lake na us-east-2 região. Esse data lake é criptografado com uma chave gerenciada pelo cliente que foi criada em AWS Key Management Service (AWS KMS). Os objetos expiram após 500 dias, e os objetos passam para a classe de armazenamento GLACIER S3 após 30 dias. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.


$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

nota

Se você já habilitou o Security Lake e deseja atualizar as configurações de uma região ou fonte, use o UpdateDataLakeoperação ou, se estiver usando o AWS CLI, o update-data-lakecomando. Não use a CreateDataLake operação.

Etapa 3: Configurar fontes

O Security Lake coleta dados de logs e de eventos de várias fontes e de todas as suas Contas da AWS e Regiões da AWS. Siga estas instruções para identificar quais dados você deseja que o Security Lake colete. Você só pode usar essas instruções para adicionar um AWS service (Serviço da AWS) com suporte nativo como fonte. Para obter mais informações sobre como adicionar uma fonte personalizada, consulte Coletando dados de fontes personalizadas no Security Lake.

Para definir uma ou mais fontes de coleta programaticamente, use a CreateAwsLogSourceoperação do Security Lake. API Para cada fonte, especifique um valor regionalmente exclusivo para o parâmetro sourceName. Opcionalmente, use parâmetros adicionais para limitar o escopo da fonte a contas específicas (accounts) ou a uma versão específica (sourceVersion).

nota

Se você não incluir um parâmetro opcional em sua solicitação, o Security Lake aplicará sua solicitação a todas as contas ou a todas as versões da fonte especificada, dependendo do parâmetro que você excluir. Por exemplo, se você for o administrador delegado do Security Lake de uma organização e excluir o parâmetro accounts, o Security Lake aplicará sua solicitação a todas as contas da sua organização. Da mesma forma, se você excluir o parâmetro sourceVersion, o Security Lake aplicará sua solicitação a todas as versões da fonte especificada.

Se sua solicitação especificar uma região na qual você não habilitou o Security Lake, ocorrerá um erro. Para resolver esse erro, certifique-se de que a matriz regions especifique somente as regiões nas quais você habilitou o Security Lake. Como alternativa, você pode habilitar o Security Lake na região e enviar sua solicitação novamente.

Quando você habilita o Security Lake em uma conta pela primeira vez, todas as origens de log e eventos selecionadas farão parte de um período de teste gratuito de 15 dias. Para saber mais sobre estatísticas de uso, consulte Como analisar o uso e os custos estimados.

Etapa 4: definir as configurações de armazenamento e as regiões cumulativas (opcional)

Você pode especificar a classe de armazenamento do Amazon S3 na qual deseja que o Security Lake armazene seus dados e por quanto tempo. Você também pode especificar uma região de rollup para consolidar dados de várias regiões. Essas são etapas opcionais. Para obter mais informações, consulte Gerenciamento do ciclo de vida no Security Lake.

Para definir um objetivo alvo programaticamente ao habilitar o Security Lake, use o CreateDataLakeoperação do Security LakeAPI. Se você já habilitou o Security Lake e deseja definir um objetivo alvo, use o UpdateDataLakeoperação, não a CreateDataLake operação.

Para qualquer operação, use os parâmetros suportados para especificar as configurações desejadas:

Para especificar uma região cumulativa, use o region campo para especificar a região na qual você deseja contribuir com dados para as regiões cumulativas. Na regions matriz do replicationConfiguration objeto, especifique o código da região para cada região de rollup. Para obter uma lista de códigos de região, consulte Endpoints do Amazon Security Lake na Referência geral da AWS.
Para especificar as configurações de retenção dos seus dados, use os parâmetros lifecycleConfiguration:
- Para transitions, especifique o número total de dias (days) pelo qual você deseja armazenar objetos do S3 em uma determinada classe de armazenamento do Amazon S3 (storageClass).
- Para expiration, especifique o número total de dias pelo qual você deseja armazenar objetos no Amazon S3, usando qualquer classe de armazenamento, após a criação dos objetos. Quando esse período de retenção termina, os objetos expiram e o Amazon S3 os exclui.
O Security Lake aplica as configurações de retenção especificadas à Região que você especifica no campo region do objeto configurations.

Por exemplo, o comando a seguir cria um data lake com ap-northeast-2 uma região cumulativa. A us-east-1 Região contribuirá com dados para a ap-northeast-2 Região. Esse exemplo também estabelece um período de expiração de 10 dias para objetos adicionados ao data lake.


$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Agora você criou seu data lake. Usar a ListDataLakesoperação do Security Lake API para verificar a ativação do Security Lake e suas configurações de data lake em cada região.

Se surgirem problemas ou erros na criação do seu data lake, você poderá visualizar uma lista de exceções usando o ListDataLakeExceptionsoperação e notifique os usuários sobre exceções com o CreateDataLakeExceptionSubscriptionoperação. Para obter mais informações, consulte Solução de problemas do status do data lake.

Etapa 5: visualizar e consultar seus próprios dados

Depois de criar seu data lake, você pode usar o Amazon Athena ou serviços similares para visualizar e consultar seus dados em AWS Lake Formation bancos de dados e tabelas. Quando você ativa programaticamente o Security Lake, as permissões de visualização do banco de dados não são concedidas automaticamente. A conta de administrador do data lake AWS Lake Formation deve conceder SELECT permissões para a IAM função que você deseja usar para consultar os bancos de dados e tabelas relevantes. No mínimo, a função deve ter permissões de Analista de dados. Para obter mais informações sobre os níveis de permissão, consulte a referência de personas e IAM permissões do Lake Formation. Para obter instruções sobre como conceder permissões SELECT, consulte Como conceder permissões no catálogo de dados usando o método de recurso nomeado no Guia do desenvolvedor do AWS Lake Formation .

Depois de criar seu data lake, você pode adicionar assinantes para consumir seus dados. Os assinantes podem consumir dados acessando diretamente os objetos nos seus buckets do Amazon S3 ou consultando o data lake. Para obter mais informações sobre assinantes, consulte Gerenciamento de assinantes no Security Lake.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Uso do console

Gerenciar várias contas