本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Lake 中的生命週期管理
您可以自訂 Security Lake,在偏好的時間長度內將資料存放在 AWS 區域 您偏好的 中。生命週期管理可協助您遵守不同的合規要求。
保留管理
若要管理資料,使其以經濟實惠的方式存放,您可以設定資料的保留設定。由於 Security Lake 會將您的資料儲存為 Amazon Simple Storage Service (Amazon S3) 儲存貯體中的物件,因此保留設定會對應至 Amazon S3 生命週期組態。透過設定這些設定,您可以指定偏好的 Amazon S3 儲存類別,以及 S3 物件在轉換到不同的儲存類別或過期之前,保留在該儲存類別的期間。如需 Amazon S3 生命週期組態的詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的管理您的儲存生命週期。
在 Security Lake 中,您可以在區域層級指定保留設定。例如,您可以選擇在 S3 AWS 區域 S3 Standard-IA 儲存類別的特定物件寫入資料湖 30 天後,將其轉換至該儲存類別。預設 Amazon S3 儲存類別為 S3 Standard。
Security Lake 不支援 Amazon S3 物件鎖定。建立資料湖儲存貯體時,預設會停用 S3 物件鎖定。使用預設保留模式啟用 S3 物件鎖定會中斷將標準化日誌資料交付至資料湖。
當您加入 Security Lake 時,請遵循這些指示來設定一或多個區域的保留設定。如果您不設定保留設定,Security Lake 會使用 Amazon S3 生命週期組態的預設設定,即無限期使用 S3 標準儲存類別存放資料。
保留設定只會套用至存放在 S3 儲存貯體中的資料。Apache Iceberg 中繼資料已從保留政策中排除。
- Console
-
在 https://https://console.aws.amazon.com/securitylake/ 開啟 Security Lake 主控台。
-
當您達到步驟 2:定義加入工作流程的目標時,請選擇選取儲存類別下的新增轉換。然後選擇您要轉換 Amazon S3 S3 儲存類別。(未列出的預設儲存類別為 S3 Standard。) 同時指定該儲存體類別的保留期間 (以天為單位)。若要在這段時間之後將物件轉換到另一個儲存體方案,請選擇新增轉換,然後輸入後續儲存方案和保留期的設定。
-
若要指定您希望 S3 物件過期的時間,請選擇新增轉換。然後,對於儲存體方案,選擇過期。在保留期間,輸入建立物件後,您要使用任何儲存類別將物件存放在 Amazon S3 中的總天數。當這段時間結束時,物件會過期,Amazon S3 會將其刪除。
-
完成後,請選擇下一步。
您的變更將套用至您在先前加入步驟期間在 中啟用 Security Lake 的所有區域。
- API
-
若要在加入 Security Lake 時以程式設計方式設定保留設定,請使用 Security Lake API CreateDataLake的操作。如果您使用的是 AWS CLI,請執行 create-data-lake命令。在lifecycleConfiguration
參數中指定您想要的保留設定,如下所示:
Security Lake 會將設定套用至您在configurations
物件的 region
欄位中指定的區域。
例如,下列命令會在 us-east-1
區域中啟用 Security Lake。在此區域中,物件會在 365 天後過期,而物件會在 60 天後轉換為 ONEZONE_IA
S3 儲存類別。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。
$
aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY
"},"region":"us-east-1
","lifecycleConfiguration": {"expiration":{"days":365
},"transitions":[{"days":60
,"storageClass":"ONEZONE_IA
"}]}}]' \
--meta-store-manager-role-arn "arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default
"
更新保留設定
啟用 Security Lake 後,請遵循這些指示更新一或多個區域的保留設定。
- Console
-
在 https://https://console.aws.amazon.com/securitylake/ 開啟 Security Lake 主控台。
-
在導覽窗格中,選擇區域
-
選取區域,然後選擇編輯。
-
在選取儲存類別區段中,輸入您想要的設定。針對儲存體方案,選擇您要轉換 Amazon S3 S3 儲存體方案。(未列出的預設儲存類別為 S3 Standard。) 針對保留期間,輸入您要在該儲存類別中存放物件的天數。您可以指定多個轉換。
若要指定您希望 S3 物件過期的時間,請選擇儲存體類別的過期。然後,針對保留期間,在建立物件之後,輸入您要在任何儲存類別中將物件存放在 Amazon S3 中的總天數。當這段時間結束時,物件會過期,Amazon S3 會將其刪除。
-
完成後,請選擇儲存。
- API
-
若要以程式設計方式更新保留設定,請使用 Security Lake API UpdateDataLake的操作。如果您使用的是 AWS CLI,請執行 update-data-lake命令。在您的請求中,使用 lifecycleConfiguration
參數來指定新設定:
Security Lake 會將設定套用至您在configurations
物件的 region
欄位中指定的區域。
Security Lake API UpdateDataLake
的操作可做為「upsert」操作,在指定的項目或記錄不存在時執行插入,或在已存在時執行更新。Security Lake 使用 AWS 加密解決方案安全地存放靜態資料。
encryptionConfiguration
從目前使用 KMS 的更新呼叫中包含的區域省略金鑰,會保留該區域的 KMS 金鑰,但指定金鑰會重設相同區域中的金鑰。
例如,下列 AWS CLI 命令會更新 us-east-1
區域的資料過期設定和儲存轉換設定。在此區域中,物件會在 500 天後過期,而物件會在 30 天後轉換為 ONEZONE_IA
S3 儲存類別。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。
$
aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY
"},"region":"us-east-1
","lifecycleConfiguration": {"expiration":{"days":500
},"transitions":[{"days":30
,"storageClass":"ONEZONE_IA
"}]}}]' \
--meta-store-manager-role-arn "arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default
"
彙總區域會合併一或多個貢獻區域的資料。這可協助您遵守區域性資料合規要求。
如需設定彙總區域的指示,請參閱 在 Security Lake 中設定彙總區域。