Administrar el acceso a las consultas para los suscriptores de Security Lake

Los suscriptores con acceso a consultas pueden consultar los datos que recopila Security Lake. Estos suscriptores consultan directamente AWS Lake Formation las tablas de su bucket de S3 con servicios como Amazon Athena. Aunque el motor de consultas principal de Security Lake es Athena, también puede utilizar otros servicios, como Amazon Redshift Spectrum y Spark SQL, que se integran con. AWS Glue Data Catalog

nota

En esta sección se explica cómo conceder acceso a consultas a un suscriptor externo. Para obtener información sobre cómo ejecutar consultas en su propio lago de datos, consultePaso 4: Vea y consulte sus propios datos.

Requisitos previos para crear un suscriptor con acceso a consultas

Debe cumplir los siguientes requisitos previos antes de poder crear un suscriptor con acceso a los datos en Security Lake.

Verificar permisos

Antes de crear un suscriptor con acceso de consulta, compruebe que tiene permiso para realizar la siguiente lista de acciones.

Para verificar sus permisos, utilice IAM para revisar las políticas de IAM asociadas a su identidad de IAM. A continuación, compare la información de esas políticas con la siguiente lista de acciones que debe poder realizar para crear un suscriptor con acceso de consulta.

• iam:CreateRole

• iam:DeleteRolePolicy

• iam:GetRole

• iam:PutRolePolicy

• lakeformation:GrantPermissions

• lakeformation:ListPermissions

• lakeformation:RegisterResource

• lakeformation:RevokePermissions

• ram:GetResourceShareAssociations

• ram:GetResourceShares

• ram:UpdateResourceShare

importante

Una vez que haya verificado los permisos:

• Si piensa utilizar la consola de Security Lake para añadir un suscriptor con acceso de consulta, puede omitir el siguiente paso y continuar conOtorgue permisos de administrador de Lake Formation. Security Lake crea todas las funciones de IAM necesarias o utiliza las funciones existentes en su nombre.

• Si planea usar la API o la CLI de Security Lake para agregar un suscriptor con acceso de consulta, continúe con el siguiente paso para crear un rol de IAM para consultar los datos de Security Lake.

Cree una función de IAM para consultar los datos de Security Lake (API y solo paso AWS CLI)

Cuando utilice la API de Security Lake o AWS CLI conceda acceso a una consulta a un suscriptor, tendrá que crear un rol denominado. AmazonSecurityLakeMetaStoreManager Security Lake usa esta función para registrar AWS Glue particiones y actualizar AWS Glue tablas. Es posible que ya haya creado este rol al crear los roles de IAM necesarios.

Otorgue permisos de administrador de Lake Formation

También tendrá que añadir permisos de administrador de Lake Formation a la función de IAM que utilice para acceder a la consola de Security Lake y añadir suscriptores.

Puede conceder permisos de administrador de Lake Formation para su función siguiendo estos pasos:

1. Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/.

2. Inicie sesión como usuario administrativo.

3. Si aparece la ventana de bienvenida a Lake Formation, elija el usuario de IAM que creó o seleccionó en el Paso 1 y, a continuación, elija Comenzar.

4. Si no aparece la ventana de bienvenida a Lake Formation, siga estos pasos para configurar un administrador de Lake Formation.

   1. En el panel de navegación, en Permisos, elija Roles y tareas administrativas. En la sección Administradores de lago de datos, elija Elegir administradores.

   2. En el cuadro de diálogo Administrar administradores de data lake, para los usuarios y roles de IAM, elija el rol de administrador que se usa al acceder a la consola de Security Lake y, a continuación, elija Guardar.

Para obtener más información sobre cómo cambiar los permisos de los administradores de lagos de datos, consulte Crear un administrador de lagos de datos en la Guía para AWS Lake Formation desarrolladores.

El rol de IAM debe tener SELECT privilegios en la base de datos y las tablas a las que desee conceder acceso a un suscriptor. Para obtener instrucciones sobre cómo hacerlo, consulte Concesión de permisos para el catálogo de datos mediante el método de recurso indicado en la Guía para AWS Lake Formation desarrolladores.

Crear un suscriptor con acceso a consultas

Elige el método que prefieras para crear un suscriptor con acceso de consulta en el actual Región de AWS. Un suscriptor solo puede consultar datos desde el Región de AWS lugar en el que se creó. Para crear un suscriptor, necesitarás tener el Cuenta de AWS ID y el ID externo del suscriptor. El ID externo es un identificador único que te proporciona el suscriptor. Para obtener más información sobre los identificadores externos, consulte Cómo utilizar un identificador externo al conceder acceso a sus AWS recursos a un tercero en la Guía del usuario de IAM.

nota

Security Lake no admite la versión 1 del uso compartido de datos entre cuentas de Lake Formation. Debe actualizar a la versión 2 o 3 del uso compartido de datos entre cuentas de Lake Formation. Para conocer los pasos para actualizar la configuración de la versión multicuenta a través de la AWS Lake Formation consola o la AWS CLI, consulte Para habilitar la nueva versión en la Guía para AWS Lake Formation desarrolladores.

Console

1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

   Inicie sesión en la cuenta de administrador delegado.

2. Con el Región de AWS selector de la esquina superior derecha de la página, selecciona la región en la que quieres crear el suscriptor.

3. En el panel de navegación izquierdo, elija Suscriptores.

4. En la página Suscriptores, selecciona Crear suscriptor.

5. Para ver los detalles del suscriptor, introduce un nombre de suscriptor y una descripción opcional.

   La región se rellena automáticamente tal y como la has seleccionado actualmente Región de AWS y no se puede modificar.

6. En el caso de las fuentes de registros y eventos, elija las fuentes que desee que Security Lake incluya al devolver los resultados de la consulta.

7. En Método de acceso a datos, elija Lake Formation para crear un acceso de consulta para el suscriptor.

8. Para las credenciales del suscriptor, proporcione el Cuenta de AWS ID del suscriptor y el ID externo.

9. (Opcional) En el caso de las etiquetas, introduce hasta 50 etiquetas para asignarlas al suscriptor.

   Una etiqueta es una etiqueta que puede definir y asignar a determinados tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar los recursos de diferentes maneras. Para obtener más información, consulte Etiquetado de recursos de Amazon Security Lake.

10. Seleccione Crear.

API

Para crear un suscriptor con acceso a consultas mediante programación, utilice el CreateSubscriberfuncionamiento de la API de Security Lake. Si utilizas AWS Command Line Interface (AWS CLI), ejecuta el comando create-subscriber.

En tu solicitud, usa estos parámetros para especificar los siguientes ajustes para el suscriptor:

• En accessTypes, especifique LAKEFORMATION.

• Para sources ello, especifique cada fuente que desee que Security Lake incluya al devolver los resultados de la consulta.

• ParasubscriberIdentity, especifique la AWS identidad y el identificador externo que el suscriptor utiliza para consultar los datos de origen.

En el siguiente ejemplo, se crea un suscriptor con acceso de consulta en la AWS región actual para la identidad del suscriptor especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{awsLogSource: {sourceName: VPC_FLOW, sourceVersion: 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)

Security Lake utiliza el intercambio de tablas entre cuentas de Lake Formation para facilitar el acceso a las consultas de los suscriptores. Al crear un suscriptor con acceso de consulta en la consola, API o API de Security Lake AWS CLI, Security Lake comparte información sobre las tablas de Lake Formation relevantes con el suscriptor mediante la creación de un recurso compartido en AWS Resource Access Manager (AWS RAM).

Al realizar determinados tipos de modificaciones en un suscriptor con acceso a consultas, Security Lake crea un nuevo recurso compartido. Para obtener más información, consulte Edición de un suscriptor con acceso a consultas.

El suscriptor debe seguir estos pasos para consumir datos de las tablas de Lake Formation:

1. Aceptar el recurso compartido: el suscriptor debe aceptar el recurso compartido que contiene resourceShareArn y resourceShareName que se genera al crear o editar el suscriptor. Elija uno de los siguientes métodos de acceso:

   • Para la consola y AWS CLI, consulte Aceptar una invitación para compartir recursos de AWS RAM.

   • Para la API, invoque la GetResourceShareInvitationsAPI. Filtra por resourceShareArn y resourceShareName para encontrar el recurso compartido correcto. Acepta la invitación con la AcceptResourceShareInvitationAPI.

   La invitación para compartir recursos vence en 12 horas, por lo que debes validarla y aceptarla en un plazo de 12 horas. Si la invitación caduca, seguirás viéndola en ese PENDING estado, pero al aceptarla no tendrás acceso a los recursos compartidos. Cuando hayan transcurrido más de 12 horas, elimina al suscriptor de Lake Formation y vuelve a crearlo para recibir una nueva invitación para compartir recursos.

2. Crear un enlace de recursos a las tablas compartidas: el suscriptor debe crear un enlace de recursos a las tablas compartidas de Lake Formation en AWS Lake Formation (si usa la consola) o AWS Glue (si usa API/AWS CLI). Este enlace de recursos dirige la cuenta del suscriptor a las tablas compartidas. Elija uno de los siguientes métodos de acceso:

   • Para la consola y AWS CLI, consulte Crear un enlace de recurso a una tabla de catálogo de datos compartido en la Guía para AWS Lake Formation desarrolladores.

   • Para la API, invoque la AWS Glue CreateTableAPI. Recomendamos que los suscriptores también creen una base de datos única con la CreateDatabaseAPI para almacenar las tablas de enlaces de recursos.

3. Consulte las tablas compartidas: servicios como Amazon Athena pueden hacer referencia a las tablas directamente y los nuevos datos que Security Lake recopila están disponibles automáticamente para consultarlos. Las consultas se ejecutan en el Cuenta de AWS suscriptor y los costos incurridos por las consultas se facturan al suscriptor. Puede controlar el acceso de lectura a los recursos en su propia cuenta de Security Lake.

Para obtener más información sobre la concesión de permisos entre cuentas, consulte Uso compartido de datos entre cuentas en Lake Formation en la Guía para AWS Lake Formation desarrolladores.

Edición de un suscriptor con acceso a consultas

Security Lake permite realizar modificaciones en un suscriptor con acceso a consultas. Puede editar el nombre, la descripción, el identificador externo, el director (Cuenta de AWS ID) y las fuentes de registro que el suscriptor puede utilizar. Elija el método que prefiera y siga los pasos para editar un suscriptor con acceso a las consultas en la Región de AWS actual.

nota

Security Lake no admite la versión 1 del uso compartido de datos entre cuentas de Lake Formation. Debe actualizar a la versión 2 o 3 del uso compartido de datos entre cuentas de Lake Formation. Para conocer los pasos para actualizar la configuración de la versión multicuenta a través de la AWS Lake Formation consola o la AWS CLI, consulte Para habilitar la nueva versión en la Guía para AWS Lake Formation desarrolladores.

Console

En función de los detalles que desee editar, siga los pasos que se indican únicamente para esa acción.

Para editar el nombre del suscriptor

1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

   Inicie sesión en la cuenta de administrador delegado.

2. Con el Región de AWS selector de la esquina superior derecha de la página, selecciona la región en la que deseas editar los detalles del suscriptor.

3. En el panel de navegación izquierdo, elija Suscriptores.

4. En la página Suscriptores, utilice el botón de opción para seleccionar el suscriptor que desee editar. El método de acceso a los datos del suscriptor seleccionado debe ser LAKEFORMATION.

5. Elija Editar.

6. Introduzca el nombre del nuevo suscriptor y seleccione Guardar.

Para editar la descripción del suscriptor

1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

   Inicie sesión en la cuenta de administrador delegado.

2. Con el Región de AWS selector de la esquina superior derecha de la página, selecciona la región en la que quieres editar el suscriptor.

3. En el panel de navegación izquierdo, elija Suscriptores.

4. En la página Suscriptores, utilice el botón de opción para seleccionar el suscriptor que desee editar. El método de acceso a los datos del suscriptor seleccionado debe ser LAKEFORMATION.

5. Elija Editar.

6. Introduzca la nueva descripción del suscriptor y seleccione Guardar.

Para editar el ID externo

1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

   Inicie sesión en la cuenta de administrador delegado.

2. Con el Región de AWS selector de la esquina superior derecha de la página, selecciona la región en la que quieres editar los detalles del suscriptor.

3. En el panel de navegación izquierdo, elija Suscriptores.

4. En la página Suscriptores, utilice el botón de opción para seleccionar el suscriptor que desee editar. El método de acceso a los datos del suscriptor seleccionado debe ser LAKEFORMATION.

5. Elija Editar.

6. Introduzca el nuevo ID externo que ha proporcionado el suscriptor y seleccione Guardar.

   Al guardar el nuevo ID externo, se elimina automáticamente el AWS RAM recurso compartido anterior y se crea un nuevo recurso compartido para el suscriptor.

7. El suscriptor debe aceptar el nuevo recurso compartido siguiendo el paso 1 en Configurar el uso compartido de tablas entre cuentas (paso de suscriptor). Asegúrese de que el nombre de recurso de Amazon (ARN) que aparece en los detalles del suscriptor sea el mismo que el de la consola de Lake Formation. El enlace de recursos a las tablas compartidas no cambia, por lo que el suscriptor no tiene que crear un nuevo enlace de recursos.

Para editar el principal (Cuenta de AWS ID)

1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

   Inicie sesión en la cuenta de administrador delegado.

2. Con el Región de AWS selector de la esquina superior derecha de la página, selecciona la región en la que deseas editar los detalles del suscriptor.

3. En el panel de navegación izquierdo, elija Suscriptores.

4. En la página Suscriptores, utilice el botón de opción para seleccionar el suscriptor que desee editar. El método de acceso a los datos del suscriptor seleccionado debe ser LAKEFORMATION.

5. Elija Editar.

6. Introduzca el ID del Cuenta de AWS del suscriptor y seleccione Guardar.

   Al guardar el nuevo ID de cuenta, se elimina automáticamente el AWS RAM recurso compartido anterior para que el principal anterior no pueda consumir las fuentes de registro y eventos. Security Lake crea un nuevo recurso compartido.

7. Con las credenciales de la nueva entidad principal, el suscriptor debe aceptar el nuevo recurso compartido y crear un enlace de recursos a las tablas compartidas. Esto le da a la nueva entidad principal acceso a los recursos compartidos. Para obtener instrucciones, consulte los pasos 1 y 2 en Configurar el uso compartido de tablas entre cuentas (paso de suscriptor). Asegúrese de que el ARN que aparece en los detalles del suscriptor sea el mismo que el de la consola de Lake Formation.

Para editar los orígenes de registros y eventos

1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

   Inicie sesión en la cuenta de administrador delegado.

2. Con el Región de AWS selector de la esquina superior derecha de la página, selecciona la región en la que deseas editar los detalles del suscriptor.

3. En el panel de navegación izquierdo, elija Suscriptores.

4. En la página Suscriptores, utilice el botón de opción para seleccionar el suscriptor que desee editar. El método de acceso a los datos del suscriptor seleccionado debe ser LAKEFORMATION.

5. Elija Editar.

6. Anule la selección de orígenes existentes o elija las que desea agregar. Si anula la selección de un origen, no tiene que realizar ninguna otra acción por su parte. Si opta por añadir un origen, no se creará ninguna nueva invitación para compartir recursos. Sin embargo, Security Lake actualiza las tablas compartidas de Lake Formation en función de los orígenes añadidos. El suscriptor debe crear un enlace de recursos a las tablas compartidas actualizadas para poder consultar los datos de origen. Para obtener instrucciones, consulte el paso 2 en Configurar el uso compartido de tablas entre cuentas (paso de suscriptor).

7. Seleccione Guardar.

API

Para editar un suscriptor con acceso a consultas mediante programación, utilice el UpdateSubscriberfuncionamiento de la API de Security Lake. Si usa AWS Command Line Interface (AWS CLI), ejecute el comando update-subscriber. En su solicitud, utilice los parámetros compatibles para especificar la siguiente configuración para el suscriptor:

• Para subscriberName, especifique el nombre del nuevo suscriptor.

• Para subscriberDescription, especifique la nueva descripción.

• Para subscriberIdentity ello, especifique el (Cuenta de AWS ID) principal y el ID externo que utilizará el suscriptor para consultar los datos de origen. Debe proporcionar la entidad principal y el ID externo. Si desea mantener uno de estos valores sin cambios, transfiera el valor actual.

  • Actualizar solo el ID externo: esta acción elimina el recurso compartido de AWS RAM anterior y crea uno nuevo para el suscriptor. El suscriptor debe aceptar el nuevo recurso compartido siguiendo el paso 1 en Configurar el uso compartido de tablas entre cuentas (paso de suscriptor). El enlace de recursos a las tablas compartidas no cambia, por lo que el suscriptor no tiene que crear un nuevo enlace de recursos.

  • Actualizar solo el principal: esta acción elimina el AWS RAM recurso compartido anterior para que el principal anterior no pueda consumir las fuentes de registro y eventos. Security Lake crea un nuevo recurso compartido. Con las credenciales de la nueva entidad principal, el suscriptor debe aceptar el nuevo recurso compartido y crear un enlace de recursos a las tablas compartidas. Esto le da a la nueva entidad principal acceso a los recursos compartidos. Para obtener instrucciones, consulte los pasos 1 y 2 en Configurar el uso compartido de tablas entre cuentas (paso de suscriptor).

  Para actualizar el identificador externo y la entidad principal, siga los pasos 1 y 2 en Configurar el uso compartido de tablas entre cuentas (paso de suscriptor).

• Para sources, elimine los orígenes existentes o especifique los orígenes que desee añadir. Si elimina un origen, no tiene que realizar ninguna otra acción por su parte. Si añade un origen, no se creará ninguna nueva invitación para compartir recursos. Sin embargo, Security Lake actualiza las tablas compartidas de Lake Formation en función de los orígenes añadidos. El suscriptor debe crear un enlace de recursos a las tablas compartidas actualizadas para poder consultar los datos de origen. Para obtener instrucciones, consulte el paso 2 en Configurar el uso compartido de tablas entre cuentas (paso de suscriptor).