在 Security Lake 中创建具有数据访问权限的订阅者的先决条件 - Amazon Security Lake
验证权限获取订阅用户的外部 ID创建用于调用 EventBridge API目标的IAM角色(API以及 AWS CLI仅限于该步骤)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Lake 中创建具有数据访问权限的订阅者的先决条件

您必须实现以下先决条件才能在 Security Lake 中创建具有数据访问权限的订阅用户。

验证权限

要验证您的权限,请使用IAM查看附加到您的IAM身份的IAM策略。然后,将这些策略中的信息与以下(权限)操作列表进行比较。在新数据被写入数据湖时,您必须执行这些操作才能通知订阅用户。

您需要获得执行以下操作的权限:

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

除了上表之外,您还需要获得执行以下操作的权限:

  • events:CreateApiDestination

  • events:CreateConnection

  • events:DescribeRule

  • events:ListApiDestinations

  • events:ListConnections

  • events:PutRule

  • events:PutTargets

  • s3:GetBucketNotification

  • s3:PutBucketNotification

  • sqs:CreateQueue

  • sqs:DeleteQueue

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:SetQueueAttributes

获取订阅用户的外部 ID

要创建订阅者,除了订阅者的 AWS 账户 ID 之外,您还需要获取他们的外部 ID。外部 ID 是订阅用户提供给您的唯一标识符。Security Lake 会将外部 ID 添加到它创建的订阅者IAM角色中。在 Security Lake 控制台中通过或创建订阅者时,您可以使用外部 ID AWS CLI。API

有关外部的更多信息IDs,请参阅《IAM用户指南》中的如何在向第三方授予对 AWS 资源的访问权限时使用外部 ID

重要

如果您打算使用 Security Lake 控制台添加订阅用户,可以跳过下一步,继续执行在 Security Lake 中创建具有数据访问权限的订户。Security Lake 控制台提供了简化的入门流程,可以代表您创建所有必需的IAM角色或使用现有角色。

如果您计划使用 Security Lake API 或 AWS CLI 添加订阅者,请继续执行下一步以创建调用 EventBridge API目标的IAM角色。

创建用于调用 EventBridge API目标的IAM角色(API以及 AWS CLI仅限于该步骤)

如果您通过API或使用 Security Lake AWS CLI,请在 AWS Identity and Access Management (IAM) 中创建一个角色,授予亚马逊调用API目标并向正确的HTTPS终端节点发送对象通知的 EventBridge 权限。

创建此IAM角色后,您需要该角色的 Amazon 资源名称 (ARN) 才能创建订阅者。如果订阅者轮询来自亚马逊简单队列服务 (AmazonSQS) 队列的数据或直接从中查询数据,则不需要此IAM角色 AWS Lake Formation。有关此类型的数据访问方法(访问类型)的更多信息,请参阅管理 Security Lake 订阅用户的查询访问权限

将以下策略附加到您的IAM角色:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInvokeApiDestination",
            "Effect": "Allow",
            "Action": [
                "events:InvokeApiDestination"
            ],
            "Resource": [
                "arn:aws:events:{us-west-2}:{123456789012}:api-destination/AmazonSecurityLake*/*"
            ]
        }
    ]
}

将以下信任策略附加到您的IAM角色 EventBridge 以允许代入该角色:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEventBridgeToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
显示更多显示更少

Security Lake 会自动创建一个IAM角色,允许订阅者从数据湖读取数据(如果这是首选的通知方式,则可以从 Amazon SQS 队列中轮询事件)。此角色受名为的 AWS 托管策略保护AmazonSecurityLakePermissionsBoundary