Pré-requisitos para criar um assinante com acesso a dados no Security Lake - Amazon Security Lake
Verificar permissõesObtenha o ID externo do assinanteCrie uma função do IAM para invocar EventBridge destinos de API (API e AWS CLI etapa somente)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos para criar um assinante com acesso a dados no Security Lake

É necessário concluir os pré-requisitos a seguir antes de criar um assinante com acesso a dados no Security Lake.

Verificar permissões

Para verificar suas permissões, use o IAM para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações dessas políticas com a seguinte lista de ações (de permissões) que você deve ter para notificar os assinantes quando novos dados são gravados no data lake.

Serão necessárias permissões para executar as seguintes ações:

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

Além da lista anterior, você também precisará de permissão para executar as seguintes ações:

  • events:CreateApiDestination

  • events:CreateConnection

  • events:DescribeRule

  • events:ListApiDestinations

  • events:ListConnections

  • events:PutRule

  • events:PutTargets

  • s3:GetBucketNotification

  • s3:PutBucketNotification

  • sqs:CreateQueue

  • sqs:DeleteQueue

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:SetQueueAttributes

Obtenha o ID externo do assinante

Para criar um assinante, além do Conta da AWS ID do assinante, você também precisará obter o ID externo. O ID externo é um identificador exclusivo que o assinante fornece a você. O Security Lake adiciona o ID externo ao perfil do IAM do assinante que ele cria. Você usa o ID externo ao criar um assinante no console do Security Lake, por meio da API ou da AWS CLI.

Para obter mais informações sobre o externo IDs, consulte Como usar um ID externo ao conceder acesso aos seus AWS recursos a terceiros no Guia do usuário do IAM.

Importante

Se você planeja usar o console do Security Lake para adicionar um assinante, você pode pular a próxima etapa e ir para Criação de um assinante com acesso a dados no Security Lake. O console do Security Lake oferece um processo simplificado para começar e cria todos os perfis necessários do IAM ou usa os perfis existentes em seu nome.

Se você planeja usar a API Security Lake ou AWS CLI adicionar um assinante, continue com a próxima etapa para criar uma função do IAM para invocar destinos de EventBridge API.

Crie uma função do IAM para invocar EventBridge destinos de API (API e AWS CLI etapa somente)

Se você estiver usando o Security Lake por meio da API ou AWS CLI, crie uma função no AWS Identity and Access Management (IAM) que conceda à Amazon EventBridge permissões para invocar destinos de API e enviar notificações de objetos para os endpoints HTTPS corretos.

Depois de criar esse perfil do IAM, você precisará do nome do recurso da Amazon (ARN) da função para criar o assinante. Esse perfil do IAM não é necessária se o assinante pesquisar dados de uma fila do Amazon Simple Queue Service (Amazon SQS) ou consultar dados diretamente do AWS Lake Formation. Para obter mais informações sobre esse tipo de método de acesso aos dados (tipo de acesso), consulte Gerenciando o acesso de consulta para assinantes do Security Lake.

Anexe a política a seguir ao seu perfil do IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInvokeApiDestination",
            "Effect": "Allow",
            "Action": [
                "events:InvokeApiDestination"
            ],
            "Resource": [
                "arn:aws:events:{us-west-2}:{123456789012}:api-destination/AmazonSecurityLake*/*"
            ]
        }
    ]
}

Anexe a seguinte política de confiança à sua função do IAM EventBridge para permitir que você assuma a função:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEventBridgeToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Mostrar maisMostrar menos

O Security Lake cria automaticamente um perfil do IAM que permite ao assinante ler dados do data lake (ou pesquisar eventos de uma fila do Amazon SQS, se esse for o método preferido de notificação). Essa função é protegida por uma política AWS gerenciada chamada AmazonSecurityLakePermissionsBoundary.