Security Lake 中的生命周期管理 - Amazon Security Lake
留存管理汇总区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Lake 中的生命周期管理

您可以自定义 Security Lake,将数据存储在您首 AWS 区域 选的时间段内。生命周期管理可以帮助您遵守不同的合规性要求。

留存管理

要管理您的数据,以便采用经济高效的方式存储,您可以为数据配置留存设置。Security Lake 将数据存储为 Amazon Simple Storage Service (Amazon S3) 桶中的对象,因此留存设置与 Amazon S3 生命周期配置是相对应的。通过配置这些设置,您可以指定首选 Amazon S3 存储类,以及 S3 对象在转换为其他存储类或过期之前在该存储类中留存的时间段。有关 Amazon S3 生命周期配置的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的管理您的存储生命周期

在 Security Lake 中,您可以在区域级别指定留存设置。例如,您可以选择在特定的 S3 对象写入数据湖 30 天后, AWS 区域 将其转换为 S3 标准-IA 存储类别。默认的 Amazon S3 存储类是 S3 Standard

重要

Security Lake 不支持 Amazon S3 对象锁定。创建数据湖存储桶时,S3 对象锁定默认处于禁用状态。在默认保留模式下启用 S3 对象锁定会中断向数据湖传输标准化日志数据。

启用 Security Lake 时配置留存设置

在开始使用 Security Lake 时,请按照以下说明为一个或多个区域配置留存设置。如果您未配置留存设置,Security Lake 会使用 Amazon S3 生命周期配置的默认设置,即使用 S3 Standard 存储类无限期存储数据。

重要

保留设置仅适用于存储在 S3 存储桶中的数据。Apache Iceberg 元数据不包括在保留政策中。

Console

  1. 在上打开 Security Lake 控制台https://console.aws.amazon.com/securitylake/

  2. 到达入门流程的第 2 步:定义目标后,在选择存储类下选择添加转换。然后选择要将 S3 对象转换为哪个 Amazon S3 存储类。(未列出的默认存储类是 S3 Standard。) 您还要为该存储类指定留存期(以天为单位)。要在该时段后将对象转换为其他存储类,请选择添加转换,然后输入后续存储类和留存期的设置。

  3. 要指定 S3 对象的过期时间,请选择添加转换。然后,对于存储类,选择过期。对于留存期,输入您想在对象创建后使用任意存储类将其存储在 Amazon S3 中的总天数。该时间段结束后,对象将过期,Amazon S3 会将其删除。

  4. 完成后,选择 Next (下一步)

您的更改将适用于您在之前的入门步骤中启用了 Security Lake 的所有区域。

API

要在加入 Security Lake 时以编程方式配置保留设置,请使用 CreateDataLake安全湖 API 的运行。如果你使用的是 AWS CLI,请运行 create-data-lake 命令。在lifecycleConfiguration参数中指定所需的保留设置,如下所示:

  • 对于 transitions,请指定要在特定 Amazon S3 存储类 (storageClass) 中存储 S3 对象的总天数 (days)。

  • 对于 expiration,可以使用任意存储类指定对象创建后在 Amazon S3 中存储对象的总天数。该时间段结束后,对象将过期,Amazon S3 会将其删除。

Security Lake 会将设置应用到您在 configurations 对象的 region 字段中指定的区域。

例如,以下命令在us-east-1区域中启用安全湖。在该区域中,对象在 365 天后过期,对象在 60 天后转换到 ONEZONE_IA S3 存储类别。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default"

更新留存设置

启用 Security Lake 后,请按照以下说明更新一个或多个区域的留存设置。

Console

  1. 在上打开 Security Lake 控制台https://console.aws.amazon.com/securitylake/

  2. 在导航窗格中,选择区域

  3. 选择一个区域,然后选择编辑

  4. 选择存储类部分,输入所需设置。对于存储类,选择要将 S3 对象转换为哪个 Amazon S3 存储类。(未列出的默认存储类是 S3 Standard。) 对于留存期,请输入要将对象存储在该存储类中的天数。您可以指定多个转换。

    要指定 S3 对象的过期时间,请为存储类选择过期。对于留存期,输入您想在对象创建后使用任意存储类将其存储在 Amazon S3 中的总天数。该时间段结束后,对象将过期,Amazon S3 会将其删除。

  5. 完成后,选择保存

API

要以编程方式更新保留设置,请使用 UpdateDataLake安全湖 API 的运行。如果你使用的是 AWS CLI,请运行 update-data-lake 命令。在您的请求中,使用lifecycleConfiguration参数指定新设置:

  • 要更改转换设置,请使用 transitions 参数指定要在特定 Amazon S3 存储类 (days) 中存储 S3 对象的每个新时间段 (storageClass)。

  • 要更改总体留存期,请使用 expiration 参数指定在创建对象后使用任意存储类存储 S3 对象的总天数。此留存期结束后,对象将过期,Amazon S3 会将其删除。

Security Lake 会将设置应用到您在 configurations 对象的 region 字段中指定的区域。

Security Lake API 的UpdateDataLake操作作为 “upsert” 操作,如果指定的项目或记录不存在,则执行插入,如果已存在,则执行更新。Security Lake 使用 AWS 加密解决方案安全地存储您的静态数据。

在当前使用 KMS encryptionConfiguration 的更新调用中包含的区域中省略该密钥将保留该区域的 KMS 密钥,但指定密钥将在同一区域重置该密钥。

例如,以下 AWS CLI 命令更新该us-east-1区域的数据过期设置和存储过渡设置。在该区域中,对象在 500 天后过期,对象在 30 天后转换到 ONEZONE_IA S3 存储类别。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default"

汇总区域

汇总区域整合了来自一个或多个数据提供区域的数据。这可以帮助您遵守区域数据合规性要求。

有关配置汇总区域的说明,请参阅在安全湖中配置汇总区域