在 Security Lake 中建立具有查詢存取權的訂閱者 - Amazon Security Lake
設定跨帳戶資料表共用 (訂閱者步驟)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Lake 中建立具有查詢存取權的訂閱者

選擇您偏好的方法,在目前的 中建立具有查詢存取權的訂閱者 AWS 區域。訂閱者只能從 AWS 區域 建立資料的 中查詢資料。若要建立訂閱者,您需要擁有訂閱者的 AWS 帳戶 ID 和外部 ID。外部 ID 是訂閱者提供給您的唯一識別符。如需外部 的詳細資訊IDs,請參閱 IAM 使用者指南 中的將 AWS 資源存取權授予第三方時如何使用外部 ID

注意

Security Lake 不支援 Lake Formation 跨帳戶資料共用第 1 版。您必須將 Lake Formation 跨帳戶資料共用更新為第 2 版或第 3 版。如需透過 AWS Lake Formation 主控台或 更新跨帳戶版本設定的步驟 AWS CLI,請參閱AWS Lake Formation 開發人員指南 中的如何啟用新版本

Console

  1. 在 開啟 Security Lake 主控台https://console.aws.amazon.com/securitylake/

    登入委派的管理員帳戶。

  2. 使用頁面右上角的 AWS 區域 選取器,選取您要建立訂閱者的 區域。

  3. 在導覽窗格中,選擇訂閱者

  4. 訂閱者頁面上,選擇建立訂閱者。

  5. 針對訂閱者詳細資訊 ,輸入訂閱者名稱和選用的描述

    區域會自動填入為您目前選取的區域 AWS 區域 ,且無法修改。

  6. 針對日誌和事件來源 ,選擇您希望 Security Lake 在傳回查詢結果時包含的來源。

  7. 針對資料存取方法 ,選擇 Lake Formation 為訂閱者建立查詢存取權。

  8. 對於訂閱者憑證 ,請提供訂閱者的 AWS 帳戶 ID 和外部 ID。

  9. (選用) 針對標籤 ,輸入最多 50 個標籤來指派給訂閱者。

    標籤是您可以定義並指派給特定類型 AWS 資源的標籤。每個標籤都包含必要的標籤金鑰和選用的標籤值。標籤可協助您以不同方式識別、分類和管理資源。如需進一步了解,請參閱 標記 Security Lake 資源

  10. 選擇 Create (建立)。

API

若要以程式設計方式建立具有查詢存取權的訂閱者,請使用 Security Lake CreateSubscriber的操作API。如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 create-subscriber 命令。

在您的請求中,使用這些參數為訂閱者指定下列設定:

  • 對於 accessTypes,請指定 LAKEFORMATION

  • 對於 sources,請指定您希望 Security Lake 在傳回查詢結果時包含的每個來源。

  • 對於 subscriberIdentity,指定訂閱者用來查詢來源資料的 AWS 身分和外部 ID。

下列範例會建立具有指定訂閱者身分之目前 AWS 區域中查詢存取權的訂閱者。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

設定跨帳戶資料表共用 (訂閱者步驟)

Security Lake 使用 Lake Formation 跨帳戶資料表共用來支援訂閱者查詢存取。當您在 Security Lake 主控台、 API或 中建立具有查詢存取權的訂閱者時 AWS CLI,Security Lake 會透過在 AWS Resource Access Manager () 中建立資源共用,與訂閱者共用有關相關 Lake Formation 資料表的資訊AWS RAM。

當您對具有查詢存取權的訂閱者進行特定類型的編輯時,Security Lake 會建立新的資源共用。如需詳細資訊,請參閱在 Security Lake 中編輯具有查詢存取權的訂閱者

訂閱者應遵循下列步驟來取用 Lake Formation 資料表中的資料:

  1. 接受資源共用 – 訂閱者必須接受在您建立或編輯訂閱者時產生的具有 resourceShareName resourceShareArn和 的資源共用。選擇下列其中一種存取方法:

    資源共用邀請會在 12 小時內過期,因此您必須在 12 小時內驗證並接受邀請。如果邀請過期,您會繼續在 PENDING 狀態中看到,但接受邀請不會授予您共用資源的存取權。超過 12 小時後,請刪除 Lake Formation 訂閱者,然後重新建立訂閱者,以取得新的資源共享邀請。

  2. 建立共用資料庫的資源連結 – 訂閱者必須在 AWS Lake Formation (如果使用主控台) 或 AWS Glue (如果使用 API/AWS ) 中建立共用 Lake Formation 資料庫的資源連結CLI。此資源連結會將訂閱者的帳戶指向共用資料庫。選擇下列其中一種存取方法:

  3. 查詢共用資料表 – Amazon Athena 之類的服務可以直接參考資料表,而 Security Lake 收集的新資料會自動可供查詢。在訂閱者的 中執行的查詢 AWS 帳戶,而查詢產生的成本會向訂閱者收取。您可以控制自己 Security Lake 帳戶中資源的讀取存取權。

如需授予跨帳戶許可的詳細資訊,請參閱 AWS Lake Formation 開發人員指南 中的 Lake Formation 中的跨帳戶資料共用