Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administrar el acceso a las consultas para los suscriptores de Security Lake
Los suscriptores con acceso a consultas pueden consultar los datos que recopila Security Lake. Estos suscriptores consultan directamente AWS Lake Formation las tablas de su bucket de S3 con servicios como Amazon Athena. Aunque el motor de consultas principal de Security Lake es Athena, también puede utilizar otros servicios, como Amazon Redshift Spectrum y Spark SQL, que se integran con. AWS Glue Data Catalog
nota
En esta sección se explica cómo conceder acceso a consultas a un suscriptor externo. Para obtener información sobre cómo ejecutar consultas en su propio lago de datos, consultePaso 4: Vea y consulte sus propios datos.
Requisitos previos para crear un suscriptor con acceso a consultas
Debe cumplir los siguientes requisitos previos antes de poder crear un suscriptor con acceso a los datos en Security Lake.
Temas
Verificar permisos
Antes de crear un suscriptor con acceso de consulta, compruebe que tiene permiso para realizar la siguiente lista de acciones.
Para verificar sus permisos, utilice IAM para revisar las políticas de IAM asociadas a su identidad de IAM. A continuación, compare la información de esas políticas con la siguiente lista de acciones que debe poder realizar para crear un suscriptor con acceso de consulta.
-
iam:CreateRole
-
iam:DeleteRolePolicy
-
iam:GetRole
-
iam:PutRolePolicy
-
lakeformation:GrantPermissions
-
lakeformation:ListPermissions
-
lakeformation:RegisterResource
-
lakeformation:RevokePermissions
-
ram:GetResourceShareAssociations
-
ram:GetResourceShares
-
ram:UpdateResourceShare
importante
Una vez que haya verificado los permisos:
Si piensa utilizar la consola de Security Lake para añadir un suscriptor con acceso de consulta, puede omitir el siguiente paso y continuar conOtorgue permisos de administrador de Lake Formation. Security Lake crea todas las funciones de IAM necesarias o utiliza las funciones existentes en su nombre.
Si planea usar la API o la CLI de Security Lake para agregar un suscriptor con acceso de consulta, continúe con el siguiente paso para crear un rol de IAM para consultar los datos de Security Lake.
Cree una función de IAM para consultar los datos de Security Lake (API y solo paso AWS CLI)
Cuando utilice la API de Security Lake o AWS CLI conceda acceso a una consulta a un suscriptor, tendrá que crear un rol denominado. AmazonSecurityLakeMetaStoreManager
Security Lake usa esta función para registrar AWS Glue particiones y actualizar AWS Glue tablas. Es posible que ya haya creado este rol al crear los roles de IAM necesarios.
Otorgue permisos de administrador de Lake Formation
También tendrá que añadir permisos de administrador de Lake Formation a la función de IAM que utilice para acceder a la consola de Security Lake y añadir suscriptores.
Puede conceder permisos de administrador de Lake Formation para su función siguiendo estos pasos:
Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/
. -
Inicie sesión como usuario administrativo.
-
Si aparece la ventana de bienvenida a Lake Formation, elija el usuario de IAM que creó o seleccionó en el Paso 1 y, a continuación, elija Comenzar.
-
Si no aparece la ventana de bienvenida a Lake Formation, siga estos pasos para configurar un administrador de Lake Formation.
-
En el panel de navegación, en Permisos, elija Roles y tareas administrativas. En la sección Administradores de lago de datos, elija Elegir administradores.
-
En el cuadro de diálogo Administrar administradores de data lake, para los usuarios y roles de IAM, elija el rol de administrador que se usa al acceder a la consola de Security Lake y, a continuación, elija Guardar.
-
Para obtener más información sobre cómo cambiar los permisos de los administradores de lagos de datos, consulte Crear un administrador de lagos de datos en la Guía para AWS Lake Formation desarrolladores.
El rol de IAM debe tener SELECT
privilegios en la base de datos y las tablas a las que desee conceder acceso a un suscriptor. Para obtener instrucciones sobre cómo hacerlo, consulte Concesión de permisos para el catálogo de datos mediante el método de recurso indicado en la Guía para AWS Lake Formation desarrolladores.
Crear un suscriptor con acceso a consultas
Elige el método que prefieras para crear un suscriptor con acceso de consulta en el actual Región de AWS. Un suscriptor solo puede consultar datos desde el Región de AWS lugar en el que se creó. Para crear un suscriptor, necesitarás tener el Cuenta de AWS ID y el ID externo del suscriptor. El ID externo es un identificador único que te proporciona el suscriptor. Para obtener más información sobre los identificadores externos, consulte Cómo utilizar un identificador externo al conceder acceso a sus AWS recursos a un tercero en la Guía del usuario de IAM.
nota
Security Lake no admite la versión 1 del uso compartido de datos entre cuentas de Lake Formation. Debe actualizar a la versión 2 o 3 del uso compartido de datos entre cuentas de Lake Formation. Para conocer los pasos para actualizar la configuración de la versión multicuenta a través de la AWS Lake Formation consola o la AWS CLI, consulte Para habilitar la nueva versión en la Guía para AWS Lake Formation desarrolladores.
Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)
Security Lake utiliza el intercambio de tablas entre cuentas de Lake Formation para facilitar el acceso a las consultas de los suscriptores. Al crear un suscriptor con acceso de consulta en la consola, API o API de Security Lake AWS CLI, Security Lake comparte información sobre las tablas de Lake Formation relevantes con el suscriptor mediante la creación de un recurso compartido en AWS Resource Access Manager (AWS RAM).
Al realizar determinados tipos de modificaciones en un suscriptor con acceso a consultas, Security Lake crea un nuevo recurso compartido. Para obtener más información, consulte Edición de un suscriptor con acceso a consultas.
El suscriptor debe seguir estos pasos para consumir datos de las tablas de Lake Formation:
-
Aceptar el recurso compartido: el suscriptor debe aceptar el recurso compartido que contiene
resourceShareArn
yresourceShareName
que se genera al crear o editar el suscriptor. Elija uno de los siguientes métodos de acceso:Para la consola y AWS CLI, consulte Aceptar una invitación para compartir recursos de AWS RAM.
-
Para la API, invoque la GetResourceShareInvitationsAPI. Filtra por
resourceShareArn
yresourceShareName
para encontrar el recurso compartido correcto. Acepta la invitación con la AcceptResourceShareInvitationAPI.
La invitación para compartir recursos vence en 12 horas, por lo que debes validarla y aceptarla en un plazo de 12 horas. Si la invitación caduca, seguirás viéndola en ese
PENDING
estado, pero al aceptarla no tendrás acceso a los recursos compartidos. Cuando hayan transcurrido más de 12 horas, elimina al suscriptor de Lake Formation y vuelve a crearlo para recibir una nueva invitación para compartir recursos. -
Crear un enlace de recursos a las tablas compartidas: el suscriptor debe crear un enlace de recursos a las tablas compartidas de Lake Formation en AWS Lake Formation (si usa la consola) o AWS Glue (si usa API/AWS CLI). Este enlace de recursos dirige la cuenta del suscriptor a las tablas compartidas. Elija uno de los siguientes métodos de acceso:
-
Para la consola y AWS CLI, consulte Crear un enlace de recurso a una tabla de catálogo de datos compartido en la Guía para AWS Lake Formation desarrolladores.
-
Para la API, invoque la AWS Glue CreateTableAPI. Recomendamos que los suscriptores también creen una base de datos única con la CreateDatabaseAPI para almacenar las tablas de enlaces de recursos.
-
-
Consulte las tablas compartidas: servicios como Amazon Athena pueden hacer referencia a las tablas directamente y los nuevos datos que Security Lake recopila están disponibles automáticamente para consultarlos. Las consultas se ejecutan en el Cuenta de AWS suscriptor y los costos incurridos por las consultas se facturan al suscriptor. Puede controlar el acceso de lectura a los recursos en su propia cuenta de Security Lake.
Para obtener más información sobre la concesión de permisos entre cuentas, consulte Uso compartido de datos entre cuentas en Lake Formation en la Guía para AWS Lake Formation desarrolladores.
Edición de un suscriptor con acceso a consultas
Security Lake permite realizar modificaciones en un suscriptor con acceso a consultas. Puede editar el nombre, la descripción, el identificador externo, el director (Cuenta de AWS ID) y las fuentes de registro que el suscriptor puede utilizar. Elija el método que prefiera y siga los pasos para editar un suscriptor con acceso a las consultas en la Región de AWS actual.
nota
Security Lake no admite la versión 1 del uso compartido de datos entre cuentas de Lake Formation. Debe actualizar a la versión 2 o 3 del uso compartido de datos entre cuentas de Lake Formation. Para conocer los pasos para actualizar la configuración de la versión multicuenta a través de la AWS Lake Formation consola o la AWS CLI, consulte Para habilitar la nueva versión en la Guía para AWS Lake Formation desarrolladores.