本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Security Lake 中建立具有查詢存取權的訂閱者
<a name="create-query-subscriber-procedures"></a>

選擇您偏好的方法，以建立目前具有查詢存取權的訂閱者 AWS 區域。訂閱者只能從 AWS 區域 其建立所在的 查詢資料。若要建立訂閱者，您需要有訂閱者的 AWS 帳戶 ID 和外部 ID。外部 ID 是訂閱者提供給您的唯一識別符。如需外部 IDs的詳細資訊，請參閱《*IAM 使用者指南*》中的[如何在將 AWS 資源的存取權授予第三方時使用外部 ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)。

**注意**  
Security Lake 不支援 Lake Formation 跨帳戶資料共用第 1 版。您必須將 Lake Formation 跨帳戶資料共用更新為第 2 版或第 3 版。如需透過 AWS Lake Formation 主控台或 CLI AWS 更新**跨帳戶版本設定**的步驟，請參閱《 *AWS Lake Formation 開發人員指南*》中的[如何啟用新版本](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html#version-update-steps)。

------
#### [ Console ]

1. 開啟位於 https：//[https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) 的 Security Lake 主控台。

   登入委派管理員帳戶。

1. 使用頁面右上角的選擇 AWS 區域 器，選取您要建立訂閱者的區域。

1. 在導覽窗格中，選擇**訂閱者**。

1. 在**訂閱者**頁面上，選擇**建立訂閱者**。

1. 如需**訂閱者詳細資訊**，請輸入**訂閱者名稱**和選用的**描述**。

   **區域**會自動填入為您目前選取的 AWS 區域 區域，且無法修改。

1. 針對**日誌和事件來源**，選擇您希望 Security Lake 在傳回查詢結果時包含的來源。

1. 針對**資料存取方法**，選擇 **Lake Formation** 為訂閱者建立查詢存取。

1. 對於**訂閱者憑證**，請提供訂閱者的 AWS 帳戶 ID 和[外部 ID](https://docs.aws.amazon.com//security-lake/latest/userguide/prereqs-creating-subscriber.html#subscriber-external-id)。

1. （選用） 針對**標籤**，輸入最多 50 個要指派給訂閱者的標籤。

   *標籤*是您可以定義並指派給特定資源類型的標籤 AWS 。每個標籤都包含必要的標籤索引鍵和選用的標籤值。標籤可協助您以不同的方式識別、分類和管理資源。如需詳細資訊，請參閱 [標記 Security Lake 資源](tagging-resources.md)。

1. 選擇**建立**。

------
#### [ API ]

若要以程式設計方式建立具有查詢存取權的訂閱者，請使用 Security Lake API 的 [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [create-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-subscriber.html) 命令。

在您的請求中，使用這些參數為訂閱者指定下列設定：
+ 對於 `accessTypes`，請指定 `LAKEFORMATION`。
+ 針對 `sources`，指定您希望 Security Lake 在傳回查詢結果時包含的每個來源。
+ 針對 `subscriberIdentity`，指定訂閱者用來查詢來源資料的 AWS 身分和外部 ID。

下列範例會為指定的訂閱者身分，在目前 AWS 區域中建立具有查詢存取權的訂閱者。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\\) 行接續字元來改善可讀性。

```
$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": {{129345678912}},"externalId": {{123456789012}}} \
--sources [{"awsLogSource": {"sourceName": {{VPC_FLOW,}} "sourceVersion": {{2.0}}}}] \
--subscriber-name {{subscriber name}} \
--access-types {{LAKEFORMATION}}
```

------

## 設定跨帳戶資料表共用 （訂閱者步驟）
<a name="grant-query-access-subscriber"></a>

Security Lake 使用 Lake Formation 跨帳戶資料表共用來支援訂閱者查詢存取。當您在 Security Lake 主控台、API 或 中建立具有查詢存取權的訂閱者時 AWS CLI，Security Lake 會透過在 AWS Resource Access Manager () 中建立[資源共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-terms-and-concepts.html#term-resource-share)，與訂閱者共用有關相關 Lake Formation 資料表的資訊AWS RAM。

當您對具有查詢存取權的訂閱者進行特定類型的編輯時，Security Lake 會建立新的資源共享。如需詳細資訊，請參閱[在 Security Lake 中編輯具有查詢存取權的訂閱者](editing-query-access-subscriber.md)。

訂閱者應遵循下列步驟來取用 Lake Formation 資料表中的資料：

1. **接受資源共享** – 訂閱者必須接受在您建立或編輯訂閱者時產生具有 `resourceShareName` `resourceShareArn`和 的資源共享。選擇下列其中一種存取方法：
   + 如需主控台和 AWS CLI，請參閱[接受來自 的資源共用邀請 AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html)。
   + 針對 API，叫用 [GetResourceShareInvitations](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourceShareInvitations.html) API。依 `resourceShareArn`和 篩選`resourceShareName`以尋找正確的資源共享。使用 [AcceptResourceShareInvitation](https://docs.aws.amazon.com/ram/latest/APIReference/API_AcceptResourceShareInvitation.html) API 接受邀請。

   資源共享邀請會在 12 小時內過期，因此您必須在 12 小時內驗證並接受邀請。如果邀請過期，您將繼續以 `PENDING` 狀態看到邀請，但接受邀請並不會讓您存取共用資源。超過 12 小時後，請刪除 Lake Formation 訂閱者並重新建立訂閱者，以取得新的資源共享邀請。

1. **建立共用資料庫的資源連結** – 訂閱者必須在 AWS Lake Formation （如果使用主控台） 或 AWS Glue （如果使用 API/AWS CLI) 中建立共用 Lake Formation 資料庫的資源連結。此資源連結會將訂閱者的 帳戶指向共用資料庫。選擇下列其中一種存取方法：
   + 如需 主控台， AWS CLI請參閱《 [開發人員指南》中的建立共用 Data Catalog 資料庫的資源連結](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-database.html)。 *AWS Lake Formation *
   + 我們建議訂閱者也使用 [CreateDatabase](https://docs.aws.amazon.com/glue/latest/webapi/API_CreateDatabase.html) API 建立唯一的資料庫，以存放資源連結資料表。

1. **查詢共用資料表** – Amazon Athena 之類的服務可以直接參考資料表，而且 Security Lake 收集的新資料會自動可供查詢。查詢會在訂閱用戶的 中執行 AWS 帳戶，而查詢產生的成本會向訂閱用戶收費。您可以控制自己 Security Lake 帳戶中資源的讀取存取權。

如需授予跨帳戶許可的詳細資訊，請參閱《 *AWS Lake Formation 開發人員指南*》[中的 Lake Formation 中的跨帳戶資料共用](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html)。