Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwaltung des Abfragezugriffs für Security Lake-Abonnenten
Abonnenten mit Abfragezugriff können Daten abfragen, die Security Lake sammelt. Diese Abonnenten fragen mit Diensten wie Amazon Athena direkt AWS Lake Formation Tabellen in Ihrem S3-Bucket ab. Obwohl Athena die primäre Abfrage-Engine für Security Lake ist, können Sie auch andere Dienste wie Amazon Redshift Spectrum und Spark SQL verwenden, die in den integriert sind. AWS Glue Data Catalog
Anmerkung
In diesem Abschnitt wird erklärt, wie Sie einem Drittanbieter Abfragezugriff gewähren. Hinweise zum Ausführen von Abfragen für Ihren eigenen Data Lake finden Sie unterSchritt 4: Ihre eigenen Daten anzeigen und abfragen.
Voraussetzungen für die Erstellung eines Abonnenten mit Abfragezugriff
Sie müssen die folgenden Voraussetzungen erfüllen, bevor Sie einen Abonnenten mit Datenzugriff in Security Lake erstellen können.
Themen
Überprüfen der Berechtigungen
Bevor Sie einen Abonnenten mit Abfragezugriff erstellen, stellen Sie sicher, dass Sie berechtigt sind, die folgende Liste von Aktionen auszuführen.
Um Ihre Berechtigungen zu überprüfen, verwenden Sie IAM, um die IAM-Richtlinien zu überprüfen, die mit Ihrer IAM-Identität verknüpft sind. Vergleichen Sie dann die Informationen in diesen Richtlinien mit der folgenden Liste von Aktionen, die Sie ausführen dürfen müssen, um einen Abonnenten mit Abfragezugriff zu erstellen.
-
iam:CreateRole
-
iam:DeleteRolePolicy
-
iam:GetRole
-
iam:PutRolePolicy
-
lakeformation:GrantPermissions
-
lakeformation:ListPermissions
-
lakeformation:RegisterResource
-
lakeformation:RevokePermissions
-
ram:GetResourceShareAssociations
-
ram:GetResourceShares
-
ram:UpdateResourceShare
Wichtig
Nachdem Sie die Berechtigungen überprüft haben:
Wenn Sie die Security Lake-Konsole verwenden möchten, um einen Abonnenten mit Abfragezugriff hinzuzufügen, können Sie den nächsten Schritt überspringen und mit fortfahrenGewähren Sie Lake Formation-Administratorrechte. Security Lake erstellt alle erforderlichen IAM-Rollen oder verwendet vorhandene Rollen in Ihrem Namen.
Wenn Sie die Security Lake-API oder CLI verwenden möchten, um einen Abonnenten mit Abfragezugriff hinzuzufügen, fahren Sie mit dem nächsten Schritt fort, um eine IAM-Rolle für die Abfrage von Security Lake-Daten zu erstellen.
Erstellen Sie eine IAM-Rolle, um Security Lake-Daten abzufragen (API und nur Schritt AWS CLI)
Wenn Sie die Security Lake-API verwenden oder AWS CLI einem Abonnenten Abfragezugriff gewähren möchten, müssen Sie eine Rolle mit dem Namen erstellen. AmazonSecurityLakeMetaStoreManager
Security Lake verwendet diese Rolle, um AWS Glue Partitionen zu registrieren und AWS Glue Tabellen zu aktualisieren. Möglicherweise haben Sie diese Rolle bereits unter Erforderliche IAM-Rollen erstellen erstellt.
Gewähren Sie Lake Formation-Administratorrechte
Außerdem müssen Sie der IAM-Rolle, die Sie für den Zugriff auf die Security Lake-Konsole und das Hinzufügen von Abonnenten verwenden, Lake Formation-Administratorberechtigungen hinzufügen.
Gehen Sie wie folgt vor, um Lake Formation-Administratorberechtigungen für Ihre Rolle zu gewähren:
Öffnen Sie die Lake-Formation-Konsole unter https://console.aws.amazon.com/lakeformation/
. -
Melden Sie sich als Administratorbenutzer an.
-
Wenn das Fenster Willkommen bei Lake Formation angezeigt wird, wählen Sie den Benutzer aus, den Sie in Schritt 1 erstellt oder ausgewählt haben, und wählen Sie dann Erste Schritte aus.
-
Wenn das Fenster Willkommen bei Lake Formation nicht angezeigt wird, führen Sie die folgenden Schritte aus, um einen Lake Formation-Administrator zu konfigurieren.
-
Wählen Sie im Navigationsbereich unter Berechtigungen die Option Administrative Rollen und Aufgaben aus. Wählen Sie im Abschnitt Data Lake-Administratoren die Option Administratoren auswählen aus.
-
Wählen Sie im Dialogfeld Data Lake-Administratoren verwalten für IAM-Benutzer und -Rollen die Administratorrolle aus, die beim Zugriff auf die Security Lake-Konsole verwendet wird, und klicken Sie dann auf Speichern.
-
Weitere Informationen zum Ändern der Berechtigungen für Data Lake-Administratoren finden Sie unter Erstellen eines Data Lake-Administrators im AWS Lake Formation Entwicklerhandbuch.
Die IAM-Rolle muss über SELECT
Berechtigungen für die Datenbank und die Tabellen verfügen, auf die Sie einem Abonnenten Zugriff gewähren möchten. Anweisungen dazu finden Sie im AWS Lake Formation Entwicklerhandbuch unter Gewähren von Datenkatalogberechtigungen mithilfe der benannten Ressourcenmethode.
Einen Abonnenten mit Abfragezugriff erstellen
Wählen Sie Ihre bevorzugte Methode, um einen Abonnenten mit Abfragezugriff in der aktuellen Version zu erstellen AWS-Region. Ein Abonnent kann Daten nur von dem abfragen AWS-Region , in dem er erstellt wurde. Um einen Abonnenten zu erstellen, benötigen Sie die AWS-Konto ID und die externe ID des Abonnenten. Die externe ID ist eine eindeutige Kennung, die Ihnen der Abonnent zur Verfügung stellt. Weitere Informationen zu externen IDs finden Sie im IAM-Benutzerhandbuch unter So verwenden Sie eine externe ID, wenn Sie einem Dritten Zugriff auf Ihre AWS Ressourcen gewähren.
Anmerkung
Security Lake unterstützt die kontoübergreifende Datenfreigabe von Lake Formation Version 1 nicht. Sie müssen Lake Formation Cross-account Data Sharing auf Version 2 oder Version 3 aktualisieren. Die Schritte zum Aktualisieren der kontoübergreifenden Versionseinstellungen über die AWS Lake Formation Konsole oder die AWS CLI finden Sie unter So aktivieren Sie die neue Version im AWS Lake Formation Entwicklerhandbuch.
Einrichtung der kontenübergreifenden gemeinsamen Nutzung von Tabellen (Abonnentenschritt)
Security Lake verwendet die kontenübergreifende Tabellenfreigabe von Lake Formation, um den Zugriff auf Abonnentenabfragen zu unterstützen. Wenn Sie einen Abonnenten mit Abfragezugriff in der Security Lake-Konsole, API oder AWS CLI erstellen, gibt Security Lake Informationen über die entsprechenden Lake Formation-Tabellen an den Abonnenten weiter, indem es eine Ressourcenfreigabe in AWS Resource Access Manager (AWS RAM) erstellt.
Wenn Sie bestimmte Arten von Änderungen an einem Abonnenten mit Abfragezugriff vornehmen, erstellt Security Lake eine neue Ressourcenfreigabe. Weitere Informationen finden Sie unter Einen Abonnenten mit Abfragezugriff bearbeiten.
Der Abonnent sollte die folgenden Schritte ausführen, um Daten aus Ihren Lake Formation-Tabellen zu nutzen:
-
Die Ressourcenfreigabe akzeptieren — Der Abonnent muss die Ressourcenfreigabe akzeptieren, die den
resourceShareArn
und enthält und der generiert wirdresourceShareName
, wenn Sie den Abonnenten erstellen oder bearbeiten. Wählen Sie eine der folgenden Zugriffsmethoden:Informationen zu Konsole und AWS CLI finden Sie unter Eine Einladung zur gemeinsamen Nutzung einer Ressource annehmen von AWS RAM.
-
Rufen Sie für API die GetResourceShareInvitationsAPI auf. Filtern Sie nach
resourceShareArn
undresourceShareName
, um die richtige Ressourcenfreigabe zu finden. Nehmen Sie die Einladung mit der AcceptResourceShareInvitationAPI an.
Die Einladung zur gemeinsamen Nutzung von Ressourcen läuft in 12 Stunden ab. Sie müssen die Einladung also innerhalb von 12 Stunden validieren und annehmen. Wenn die Einladung abläuft, wird sie weiterhin in einem bestimmten
PENDING
Status angezeigt, aber wenn Sie sie annehmen, erhalten Sie keinen Zugriff auf die gemeinsam genutzten Ressourcen. Wenn mehr als 12 Stunden vergangen sind, löschen Sie den Lake Formation Formation-Abonnenten und erstellen Sie den Abonnenten neu, um eine neue Resource Share-Einladung zu erhalten. -
Einen Ressourcenlink zu gemeinsam genutzten Tabellen erstellen — Der Abonnent muss entweder AWS Lake Formation (bei Verwendung der Konsole) oder AWS Glue (bei Verwendung von API/AWS CLI) einen Ressourcenlink zu den gemeinsam genutzten Lake Formation-Tabellen erstellen. Dieser Ressourcenlink verweist das Konto des Abonnenten auf die gemeinsam genutzten Tabellen. Wählen Sie eine der folgenden Zugriffsmethoden:
-
Informationen zur Konsole und AWS CLI finden Sie unter Erstellen eines Ressourcenlinks zu einer gemeinsam genutzten Datenkatalogtabelle im AWS Lake Formation Entwicklerhandbuch.
-
Rufen Sie für API die AWS Glue CreateTableAPI auf. Wir empfehlen Abonnenten, mit der CreateDatabaseAPI auch eine eigene Datenbank zum Speichern von Ressourcenlink-Tabellen zu erstellen.
-
-
Fragen Sie die gemeinsam genutzten Tabellen ab — Dienste wie Amazon Athena können direkt auf die Tabellen verweisen, und neue Daten, die Security Lake sammelt, stehen automatisch für Abfragen zur Verfügung. Abfragen werden beim Abonnenten ausgeführt AWS-Konto, und die durch Abfragen entstehenden Kosten werden dem Abonnenten in Rechnung gestellt. Sie können den Lesezugriff auf Ressourcen in Ihrem eigenen Security Lake-Konto kontrollieren.
Weitere Informationen zur Gewährung kontenübergreifender Berechtigungen finden Sie unter Kontoübergreifender Datenaustausch in Lake Formation im AWS Lake Formation Entwicklerhandbuch.
Einen Abonnenten mit Abfragezugriff bearbeiten
Security Lake unterstützt Änderungen an einem Abonnenten mit Abfragezugriff. Sie können den Namen, die Beschreibung, die externe ID, den Prinzipal (AWS-Konto ID) und die Protokollquellen, die der Abonnent nutzen kann, bearbeiten. Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Bearbeiten eines Abonnenten mit Abfragezugriff in der aktuellen Version AWS-Region.
Anmerkung
Security Lake unterstützt die kontoübergreifende Datenfreigabe von Lake Formation Version 1 nicht. Sie müssen Lake Formation Cross-account Data Sharing auf Version 2 oder Version 3 aktualisieren. Die Schritte zum Aktualisieren der kontoübergreifenden Versionseinstellungen über die AWS Lake Formation Konsole oder die AWS CLI finden Sie unter So aktivieren Sie die neue Version im AWS Lake Formation Entwicklerhandbuch.