在 Security Lake 中创建具有查询权限的订阅者

选择您的首选方法来创建当前具有查询访问权限的订阅者 AWS 区域。订阅者只能从中 AWS 区域创建的数据中查询数据。要创建订阅者，您需要拥有订阅者的 AWS 账户 ID 和外部 ID。外部 ID 是订阅用户提供给您的唯一标识符。有关外部的更多信息 IDs，请参阅 IAM 用户指南中的如何在向第三方授予 AWS 资源访问权限时使用外部 ID。

注意

Security Lake 不支持 Lake Formation 跨账户数据共享版本 1。您必须将 Lake Formation 跨账户数据共享更新到版本 2 或版本 3。有关通过 AWS Lake Formation 控制台或 AWS CLI 更新跨账户版本设置的步骤，请参阅AWS Lake Formation 开发者指南中的启用新版本。

Console

在上打开 Security Lake 控制台https://console.aws.amazon.com/securitylake/。

登录委托管理员账户。
使用页面右上角的 AWS 区域选择器，选择要在其中创建订阅者的区域。
在导航窗格中选择订阅用户。
在订阅用户页面上，选择创建订阅用户。
对于订阅用户详细信息，请输入订阅用户名称和可选描述。

该区域将自动填充为您当前选择的区域 AWS 区域，并且无法修改。
对于日志和事件源，请选择您希望 Security Lake 在返回查询结果时包含哪些来源。
对于数据访问方法，请选择 Lake Formation，以便为订阅用户创建查询访问权限。
对于订阅者凭证，请提供订阅者的 AWS 账户 ID 和外部 ID。
（可选）对于标签，最多输入 50 个要分配给订阅用户的标签。

标签是您可以为某些类型的 AWS 资源定义和分配的标签。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理各种资源。要了解更多信息，请参阅为安全湖资源添加标签。
选择创建。

API

要以编程方式创建具有查询访问权限的订阅者，请使用 Security Lake API 的CreateSubscriber操作。如果你使用的是 AWS Command Line Interface (AWS CLI)，请运行 create-subscriber 命令。

在您的请求中，使用这些参数为订阅者指定以下设置：

对于 accessTypes，请指定 LAKEFORMATION。
对于 sources，请指定您希望 Security Lake 在返回查询结果时包含的每个来源。
对于subscriberIdentity，请指定订阅者用于查询源数据的 AWS 身份和外部 ID。

以下示例为指定的订阅者身份创建了在当前 AWS 区域具有查询访问权限的订阅者。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠 (\) 行继续符来提高可读性。


$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

设置跨账户表共享（订阅用户步骤）

Security Lake 使用 Lake Formation 跨账户表共享来支持订阅用户的查询访问权限。当您在 Security Lake 控制台、API 或 AWS CLI中创建具有查询权限的订阅者时，Security Lake 会通过在 AWS Resource Access Manager (AWS RAM) 中创建资源共享来与订阅者共享有关相关 Lake Formation 表的信息。

当您对具有查询访问权限的订阅用户进行某些类型的编辑时，Security Lake 会创建一个新的资源共享。有关更多信息，请参阅在 Security Lake 中编辑具有查询权限的订阅者。

订阅用户应按照以下步骤使用您的 Lake Formation 表中的数据：

接受资源共享 – 订阅用户必须接受在您创建或编辑订阅用户时生成的 resourceShareArn 和 resourceShareName 资源共享。选择以下访问方法之一：
- 有关控制台和 AWS CLI，请参阅接受来自的资源共享邀请 AWS RAM。
- 对于 API，请调用 GetResourceShareInvitationsAPI。按 resourceShareArn 和 resourceShareName 进行筛选，以找到正确的资源共享。AcceptResourceShareInvitation通过 API 接受邀请。
资源共享邀请会在 12 小时后过期，因此您必须在 12 小时内验证并接受邀请。如果邀请过期，您会看到它处于 PENDING 状态，但此时即使您接受邀请也无法访问共享资源。超过 12 小时后，请删除 Lake Formation 订阅用户并重新创建订阅用户，以获得新的资源共享邀请。
创建共享数据库的资源链接-订阅者必须在（如果使用控制台）或 AWS Lake Formation AWS Glue （如果使用 API/AWS CLI）中创建指向共享 Lake Formation 数据库的资源链接。此资源链接将订阅者的账户指向共享数据库。选择以下访问方法之一：
- 有关控制台和的信息 AWS CLI，请参阅创建指向共享数据目录数据库的资源链接。在《AWS Lake Formation 开发人员指南》中。
- 我们建议订阅者还使用 CreateDatabaseAPI 创建唯一的数据库，用于存储资源链接表。
查询共享表 – Amazon Athena 等服务可以直接引用这些表，而 Security Lake 收集的新数据将自动可供查询。查询在订阅者处运行 AWS 账户，查询产生的费用由订阅者计费。您可以在自己的 Security Lake 账户中控制对资源的读取权限。

有关授予跨账户权限的更多信息，请参阅 AWS Lake Formation 开发人员指南中的 Lake Formation 中的跨账户数据共享。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

先决条件

编辑具有查询访问权限的订阅用户