Gestion du cycle de vie dans Security Lake

Vous pouvez personnaliser Security Lake pour stocker les données dans votre emplacement préféréRégions AWSpendant la durée que vous préférez. La gestion du cycle de vie peut vous aider à vous conformer aux différentes exigences de conformité.

Gestion de la rétention

Pour gérer vos données de manière à ce qu'elles soient stockées de manière rentable, vous pouvez configurer les paramètres de conservation des données. Comme Security Lake stocke vos données sous forme d'objets dans des compartiments Amazon Simple Storage Service (Amazon S3), les paramètres de conservation correspondent à une configuration Amazon S3 Lifecycle. En configurant ces paramètres, vous pouvez spécifier votre classe de stockage Amazon S3 préférée et la période pendant laquelle les objets S3 doivent rester dans cette classe de stockage avant leur transition vers une autre classe de stockage ou leur expiration. Pour plus d'informations sur les configurations du cycle de vie d'Amazon S3, consultezGestion du cycle de vie de votre stockagedans leGuide de l'utilisateur d'Amazon Simple Storage Service.

Dans Security Lake, vous définissez les paramètres de rétention au niveau de la région. Par exemple, vous pouvez choisir de transférer tous les objets S3 vers un objet spécifiqueRégion AWSauNorme S3 - IAclasse de stockage 30 jours après leur écriture dans le lac de données. La classe de stockage Amazon S3 par défaut estNorme S3.

Configuration des paramètres de rétention lors de l'activation de Security Lake

Suivez ces instructions pour configurer les paramètres de rétention pour une ou plusieurs régions lors de votre intégration à Security Lake. Si vous ne configurez pas les paramètres de conservation, Security Lake utilise les paramètres par défaut pour une configuration Amazon S3 Lifecycle : stockez les données indéfiniment à l'aide duNorme S3classe de stockage.

Console

1. Ouvrez la console Security Lake à l'adressehttps://console.aws.amazon.com/securitylake/.

2. Lorsque vous atteignezÉtape 2 : Définition de l'objectif cibledu flux de travail d'intégration, choisissezAjouter une transitionsousSélectionnez les classes de stockage. Choisissez ensuite la classe de stockage Amazon S3 vers laquelle vous souhaitez effectuer la transition des objets S3. (La classe de stockage par défaut non répertoriée estNorme S3.) Spécifiez également une période de rétention (en jours) pour cette classe de stockage. Pour transférer des objets vers une autre classe de stockage après ce délai, choisissezAjouter une transitionet entrez les paramètres de la classe de stockage et de la période de rétention suivantes.

3. Pour spécifier la date d'expiration des objets S3, choisissezAjouter une transition. Ensuite, pour la classe de stockage, choisissezExpire. Pour la période de rétention, entrez le nombre total de jours pendant lesquels vous souhaitez stocker des objets dans Amazon S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période, les objets expirent et Amazon S3 les supprime.

4. Lorsque vous avez terminé, choisissez Suivant.

Vos modifications s'appliqueront à toutes les régions dans lesquelles vous avez activé Security Lake lors des étapes d'intégration précédentes.

API

Pour configurer les paramètres de rétention par programmation lorsque vous vous connectez à Security Lake, utilisezCreateDataLakefonctionnement de l'API Security Lake. Dans votre demande, utilisez lelifecycleConfigurationparamètres pour spécifier les paramètres souhaités :

• Pourtransitions, spécifiez le nombre total de jours (days) que vous souhaitez stocker des objets S3 dans une classe de stockage Amazon S3 particulière (storageClass).

• Pourexpiration, spécifiez le nombre total de jours pendant lesquels vous souhaitez stocker des objets dans Amazon S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période, les objets expirent et Amazon S3 les supprime.

Security Lake applique les paramètres à la région que vous spécifiez dansregiondomaine duconfigurationsobjet.

AWS CLI

Si vous utilisez leAWS Command Line Interface(AWS CLI) pour monter à bord de Security Lake, lancez lecreate-data-lakecommande. Lorsque vous exécutez la commande, utilisezlifecycleConfigurationparamètres pour spécifier les paramètres de rétention souhaités :

• Pourtransitions, spécifiez le nombre total de jours (days) que vous souhaitez stocker des objets S3 dans une classe de stockage Amazon S3 particulière (storageClass).

• Pourexpiration, spécifiez le nombre total de jours pendant lesquels vous souhaitez stocker des objets dans Amazon S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période, les objets expirent et Amazon S3 les supprime.

Security Lake applique les paramètres à la région que vous spécifiez dansregiondomaine duconfigurationsobjet.

Mettre à jour les paramètres de rétention

Suivez ces instructions pour mettre à jour les paramètres de rétention pour une ou plusieurs régions après avoir activé Security Lake.

Console

1. Ouvrez la console Security Lake à l'adressehttps://console.aws.amazon.com/securitylake/.

2. Dans le volet de navigation, choisissezRégions

3. Sélectionnez une région, puis choisissezModifier.

4. Dans leSélectionnez les classes de stockagesection, entrez les paramètres souhaités. Pour la classe de stockage, choisissez la classe de stockage Amazon S3 vers laquelle vous souhaitez effectuer la transition des objets S3. (La classe de stockage par défaut non répertoriée estNorme S3.) Pour la période de rétention, entrez le nombre de jours pendant lesquels vous souhaitez stocker des objets dans cette classe de stockage. Vous pouvez spécifier plusieurs transitions.

   Pour spécifier également à quel moment vous souhaitez que les objets S3 expirent, choisissezExpirepour la classe de stockage. Ensuite, pour la période de rétention, entrez le nombre total de jours pendant lesquels vous souhaitez stocker des objets dans Amazon S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période, les objets expirent et Amazon S3 les supprime.

5. Lorsque vous avez terminé, choisissez Enregistrer.

API

Pour mettre à jour les paramètres de rétention par programmation, utilisezUpdateDataLakefonctionnement de l'API Security Lake. Dans votre demande, utilisez lelifecycleConfigurationparamètres pour spécifier les nouveaux paramètres :

• Pour modifier les paramètres de transition, utiliseztransitionsparamètres pour spécifier chaque nouvelle période en jours (days) que vous souhaitez stocker des objets S3 dans une classe de stockage Amazon S3 particulière (storageClass).

• Pour modifier la période de conservation globale, utilisez leexpirationparamètre pour spécifier le nombre total de jours pendant lesquels vous souhaitez stocker les objets S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période de rétention, les objets expirent et Amazon S3 les supprime.

Security Lake applique les paramètres à la région que vous spécifiez dansregiondomaine duconfigurationsobjet.

AWS CLI

Pour mettre à jour les paramètres de conservation à l'aide duAWS Command Line Interface(AWS CLI), lancez leupdate-data-lakecommande. Lorsque vous exécutez la commande, utilisezlifecycleConfigurationparamètres pour spécifier les nouveaux paramètres :

• Pour modifier les paramètres de transition, utiliseztransitionsparamètres pour spécifier chaque nouvelle période en jours (days) que vous souhaitez stocker des objets S3 dans une classe de stockage Amazon S3 particulière (storageClass).

• Pour modifier la période de conservation globale, utilisez leexpirationparamètre pour spécifier le nombre total de jours pendant lesquels vous souhaitez stocker les objets S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période de rétention, les objets expirent et Amazon S3 les supprime.

Security Lake applique les paramètres à la région que vous spécifiez dansregiondomaine duconfigurationsobjet.

Régions cumulatives

Une région cumulative consolide les données d'une ou de plusieurs régions contributrices. Cela peut vous aider à vous conformer aux exigences régionales en matière de conformité des données.

Avant d'ajouter une région cumulative, vous devez d'abord créer deux rôles différents dansAWS Identity and Access Management(NOM) :

• Prérequis : rôle IAM pour la réplication des données

• Prérequis : rôle IAM pour s'inscrireAWS Gluedes cloisons

Note

Security Lake crée ces rôles IAM ou utilise des rôles existants en votre nom lorsque vous utilisez la console Security Lake. Toutefois, vous devez créer ces rôles lorsque vous utilisez l'API Security Lake ouAWS CLI.

Prérequis : rôle IAM pour la réplication des données

Ce rôle IAM autorise Amazon S3 à répliquer les journaux sources et les événements dans plusieurs régions.

Pour accorder ces autorisations, créez un rôle IAM commençant par le préfixeSecurityLake, et attachez l'exemple de politique suivant au rôle. Vous aurez besoin du nom de ressource Amazon (ARN) du rôle lorsque vous créez une région cumulative dans Security Lake. Dans cette politique,sourceRegionssont des régions contributrices, etdestinationRegionssont des régions cumulatives.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadS3ReplicationSetting",
      "Action": [
        "s3:ListBucket",
        "s3:GetReplicationConfiguration",
        "s3:GetObjectVersionForReplication",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectRetention",
        "s3:GetObjectLegalHold"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    },
    {
      "Sid": "AllowS3Replication",
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete",
        "s3:ReplicateTags"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    }
  ]
}

Pour plus d'informations sur les rôles de réplication, voirConfiguration des autorisationsdans leGuide de l'utilisateur d'Amazon Simple Storage Service.

Prérequis : rôle IAM pour s'inscrireAWS Gluedes cloisons

Ce rôle IAM accorde des autorisations pour le programme de mise à jour des partitionsAWS Lambdafonction utilisée par Security Lake pour s'enregistrerAWS Gluepartitions pour les objets S3 qui ont été répliqués depuis d'autres régions. Sans créer ce rôle, les abonnés ne peuvent pas interroger les événements à partir de ces objets.

Pour accorder ces autorisations, créez un rôle nomméAmazonSecurityLakeMetaStoreManager(vous avez peut-être déjà créé ce rôle lors de votre intégration à Security Lake). Pour plus d'informations sur ce rôle, y compris un exemple de politique, voirCréez les rôles IAM nécessaires.

Dans la console Lake Formation, vous devez accorderAmazonSecurityLakeMetaStoreManagerautorisation en tant qu'administrateur de lac de données en suivant ces étapes :

1. Ouvrez la console Lake Formation à l'adresse https://console.aws.amazon.com/lakeformation/.

2. Connectez-vous en tant qu'utilisateur administratif.

3. Si unBienvenue chez Lake FormationUne fenêtre s'affiche, choisissez l'utilisateur que vous avez créé ou sélectionné à l'étape 1, puis choisissez Commencer.

4. Si vous ne voyez pas deBienvenue chez Lake Formationfenêtre, puis effectuez les étapes suivantes pour configurer un administrateur de formation de lacs.

   1. Dans le volet de navigation, sousAutorisations, choisissezRôles et tâches administratifs. Dans leAdministrateurs de lacs de donnéesdans la section de la page de la console, choisissezChoisissez les administrateurs.

   2. Dans leGérez les administrateurs de lacs de donnéesboîte de dialogue, pour les utilisateurs et les rôles IAM, choisissezAmazonSecurityLakeMetaStoreManagerRôle IAM que vous avez créé, puis choisissezEnregistrer.

Pour plus d'informations sur la modification des autorisations pour les administrateurs de lacs de données, voirCréation d'un administrateur de lac de donnéesdans leAWS Lake FormationGuide du développeur.

Configuration des régions cumulatives lors de la création de votre lac de données

Suivez ces instructions pour ajouter une région cumulative dans Security Lake lorsque vous vous connectez à Security Lake.

Note

Une région peut fournir des données à plusieurs régions cumulées. Toutefois, une région de cumul ne peut pas contribuer à une autre région de cumul.

Console

1. Lorsque vous atteignezÉtape 2 : Définition de l'objectif cibledu flux de travail d'intégration, choisissezAjouter une région cumulativesousSélectionnez les régions cumulées. Spécifiez la région cumulative et les régions qui y contribueront. Vous pouvez ajouter une ou plusieurs régions cumulatives.

2. PourAccès au service, créez un nouveau rôle IAM ou utilisez un rôle IAM existant qui autorise Security Lake à répliquer des données dans plusieurs régions.

3. Lorsque vous avez terminé, choisissez Suivant.

4. Vérifiez vos paramètres dansÉtape 3 : Révision et création. Ensuite, choisissez Create (Créer).

API

Pour configurer les régions cumulées par programmation lorsque vous vous connectez à Security Lake, utilisez leCreateDataLakefonctionnement de l'API Security Lake.

Dans votre demande, utilisez lereplicationConfigurationparamètres pour spécifier chaque région (regions) que vous souhaitez obtenir dans la région spécifiée (region) pour y apporter des données. Pour la région cumulative, ne spécifiez aucune valeur pourreplicationConfigurationparamètres.

AWS CLI

Si vous utilisez leAWS Command Line Interface(AWS CLI) pour monter à bord de Security Lake, lancez lecreate-data-lakecommande.

Lorsque vous exécutez la commande, utilisezreplicationConfigurationparamètres pour spécifier chaque région (regions) que vous souhaitez obtenir dans la région spécifiée (region) pour y apporter des données. Pour la région cumulative, ne spécifiez aucune valeur pourreplicationConfigurationparamètres.

Mettre à jour ou supprimer des régions cumulatives

Choisissez votre méthode d'accès préférée et procédez comme suit pour mettre à jour ou supprimer des régions cumulées après avoir activé Security Lake.

Console

1. Ouvrez la console Security Lake à l'adressehttps://console.aws.amazon.com/securitylake/.

2. Dans le volet de navigation, sousRéglages, choisissezRégions cumulatives.

3. Sélectionnez Modifier.

4. Pour ajouter une région cumulative, choisissezAjouter une région cumulative, puis spécifiez les régions contributrices.

5. Pour supprimer une région cumulative, choisissezSupprimerà côté de la région.

6. Lorsque vous avez terminé, choisissez Enregistrer.

API

Pour configurer les régions cumulées par programmation, utilisezUpdateDataLakefonctionnement de l'API Security Lake. Dans votre demande, utilisez les paramètres pris en charge pour spécifier les paramètres cumulatifs :

• Pour ajouter une région contributrice, utilisezregionchamp pour spécifier le code de région pour la région à ajouter. Dans leregionstableau desreplicationConfigurationobjet, spécifiez le code de région pour chaque région cumulative à laquelle vous souhaitez apporter des données.

• Pour supprimer une région contributrice, utilisez leregionchamp pour spécifier le code de région pour la région à supprimer. Pour lereplicationConfigurationparamètres, ne spécifiez aucune valeur.

Par exemple, la demande suivante spécifie les éléments suivants :

• Leus-west-2La région doit fournir des données auus-east-1Région.us-east-1est la région cumulative.

• Leeu-west-1La région doit fournir des données aueu-central-1Région.eu-central-1est la région cumulative.

{
    configurations: [
        {
            "region": "us-west-2",
            "replicationConfiguration": {
                "regions": [
                    "us-east-1"
                ],
                "roleArn": "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"
            }
        },
        {
            "region": "eu-west-1",
            "replicationConfiguration": {
                "regions": [
                    "eu-central-1"
                ],
                "roleArn": "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"
            }
        }
    ]
}

Dans l'exemple précédent, Security Lake a déjà été activé et configuré dans les régions cumulatives spécifiées,us-east-1eteu-central-1.

Pour obtenir la liste des codes de région, voirPoints de terminaison Amazon Security Lakedans leRéférences générales AWS.

AWS CLI

Pour configurer des régions cumulatives à l'aide duAWS Command Line Interface(AWS CLI), lancez leupdate-data-lakecommande. Lorsque vous exécutez la commande, utilisez les paramètres pris en charge pour spécifier les paramètres cumulatifs :

• Pour ajouter une région contributrice, utilisezregionchamp pour spécifier le code de région pour la région à ajouter. Dans leregionsliste desreplicationConfigurationobjet, spécifiez le code de région pour chaque région cumulative à laquelle vous souhaitez apporter des données.

• Pour supprimer une région contributrice, utilisez leregionchamp pour spécifier le code de région pour la région à supprimer. Pour lereplicationConfigurationparamètres, ne spécifiez aucune valeur.

Par exemple, la commande suivante spécifie les éléments suivants :

• Leus-west-2La région doit fournir des données auus-east-1Région.us-east-1est la région cumulative.

• Leeu-west-1La région doit fournir des données aueu-central-1Région.eu-central-1est la région cumulative.

$ aws securitylake update-data-lake --configurations file:///update-data-lake.json

Où le contenu duupdate-data-lake.jsonles fichiers sont :

{
    configurations: [
        {
            "region": "us-west-2",
            "replicationConfiguration": {
                "regions": [
                    "us-east-1"
                ],
                "roleArn": "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"
            }
        },
        {
            "region": "eu-west-1",
            "replicationConfiguration": {
                "regions": [
                    "eu-central-1"
                ],
                "roleArn": "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"
            }
        }
    ]
}

Dans l'exemple précédent, Security Lake a déjà été activé et configuré dans les régions cumulatives spécifiées,us-east-1eteu-central-1.

Pour obtenir la liste des codes de région, voirPoints de terminaison Amazon Security Lakedans leRéférences générales AWS.