Amazon Security Lake est en version préliminaire. Votre utilisation de la version préliminaire d'Amazon Security Lake est soumise à la section 2 des Conditions de AWS service
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion du cycle de vie dans Security Lake
Vous pouvez personnaliser Security Lake pour stocker les données dans votre lieu de prédilection Régions AWS pendant la durée que vous souhaitez. La gestion du cycle de vie peut vous aider à vous conformer aux différentes exigences de conformité.
Gestion de la rétention
Pour gérer vos données de manière à ce qu'elles soient stockées de manière rentable, vous pouvez définir des paramètres de conservation. Comme Security Lake stocke vos données sous forme d'objets dans des compartiments Amazon Simple Storage Service (Amazon S3), les paramètres de conservation correspondent à une configuration du cycle de vie Amazon S3, qui vous permet de spécifier votre classe de stockage préférée et la période pendant laquelle les objets resteront dans cette classe de stockage avant de passer à une autre classe de stockage.
Dans Security Lake, vous définissez les paramètres de rétention au niveau de la région. Par exemple, vous pouvez choisir d'effectuer la transition de tous les objets d'une région spécifique vers la classe de stockage S3 Standard-IA 30 jours après leur écriture dans le lac de données. La classe de stockage Amazon S3 par défaut est S3 Standard.
Pour plus d'informations sur la configuration S3 Lifecycle, veuillez consulter la section Gestion de votre cycle de stockage dans le Guide de l'utilisateur Amazon Simple Storage Service.
Configuration des paramètres de rétention lors de l'activation de Security Lake
Suivez ces instructions pour configurer les paramètres de rétention pour une ou plusieurs régions lorsque vous configurez Security Lake. Si vous ne configurez pas les paramètres de rétention, Security Lake utilise le comportement par défaut pour la configuration du cycle de vie d'Amazon S3. En d'autres termes, Security Lake stocke vos données indéfiniment dans la classe de stockage S3 standard.
Mise à jour des paramètres de rétention
Suivez ces instructions pour mettre à jour les paramètres de rétention pour une ou plusieurs régions après avoir activé Security Lake.
Régions cumulatives
Une région de regroupement consolide des données d'une ou plusieurs régions contributrices. Cela peut vous aider à vous conformer aux exigences régionales en matière de conformité des données.
Avant d'ajouter une région cumulative, vous devez d'abord créer deux rôles différents dans AWS Identity and Access Management (IAM) :
Note
Security Lake crée ces rôles IAM ou utilise des rôles existants en votre nom lorsque vous utilisez la console Security Lake. Toutefois, vous devez créer ces rôles lorsque vous utilisez l'API Security Lake ouAWS CLI.
Prérequis : rôle IAM pour la réplication des données
Ce rôle IAM autorise Amazon S3 à répliquer les journaux sources et les événements dans plusieurs régions.
Pour accorder ces autorisations, créez un rôle IAM qui commence par le préfixe SecurityLake
et attachez l'exemple de politique suivant au rôle. Vous aurez besoin d'Amazon Resource Name (ARN) du rôle lorsque vous créez une région de rétention dans Security Lake. Dans cette politique, sourceRegions
sont des régions contributrices et destinationRegions
des régions cumulatives.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowReadS3ReplicationSetting", "Action": [ "s3:ListBucket", "s3:GetReplicationConfiguration", "s3:GetObjectVersionForReplication", "s3:GetObjectVersion", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging", "s3:GetObjectRetention", "s3:GetObjectLegalHold" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-security-data-lake-[[
sourceRegions
]]*", "arn:aws:s3:::aws-security-data-lake-[[sourceRegions
]]*/*" ] }, { "Sid": "AllowS3Replication", "Action": [ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags", "s3:GetObjectVersionTagging" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-security-data-lake-[[destinationRegions
]]*/*" ] } ] }
Associez la politique de confiance suivante à votre rôle pour permettre à Amazon S3 d'assumer ce rôle :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowS3ToAssume", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Pour plus d'informations sur les rôles de réplication, consultez la section Configuration des autorisations dans le Guide de l'utilisateur d'Amazon Simple Storage Service.
Prérequis : rôle IAM pour enregistrer des partitions AWS Glue
Ce rôle IAM accorde des autorisations pour la AWS Lambda fonction de mise à jour des partitions utilisée par Security Lake pour enregistrer les AWS Glue partitions des objets S3 répliqués depuis d'autres régions. Sans créer ce rôle, les abonnés ne peuvent pas interroger les événements à partir de ces objets.
Pour accorder ces autorisations, créez un rôle nommé AmazonSecurityLakeMetaStoreManager
(vous avez peut-être déjà créé ce rôle lors de l'intégration à Security Lake). Pour plus d'informations sur ce rôle, y compris un exemple de politique, consultezCréation des rôles IAM nécessaires.
Dans la console Lake Formation, vous devez accorder l'AmazonSecurityLakeMetaStoreManager
autorisation en tant qu'administrateur du lac de données en procédant comme suit :
Ouvrez la console Lake Formation à l'adresse https://console.aws.amazon.com/lakeformation/
. -
Connexion en tant qu'utilisateur administratif.
-
Si une fenêtre Welcome to Lake Formation s'affiche, choisissez l'utilisateur que vous avez créé ou sélectionné à l'étape 1, puis choisissez Commencer.
-
Si la fenêtre Welcome to Lake Formation ne s'affiche pas, effectuez les étapes suivantes pour configurer un administrateur de Lake Formation.
-
Dans le volet de navigation, sous Autorisations, choisissez Rôles et tâches d'administration. Dans la section Administrateurs du lac de données de la page de la console, sélectionnez Choisir les administrateurs.
-
Dans la boîte de dialogue Gérer les administrateurs du lac de données, pour les utilisateurs et les rôles IAM, choisissez le rôle AmazonSecurityLakeMetaStoreManagerIAM que vous avez créé, puis cliquez sur Enregistrer.
-
Pour plus d'informations sur la modification des autorisations accordées aux administrateurs de lacs de données, consultez la section Créer un administrateur de lac de données dans le Guide du AWS Lake Formation développeur.
Configuration des régions cumulatives lors de la création de votre lac de données
Suivez ces instructions pour ajouter une région cumulative dans Security Lake lorsque vous vous connectez à Security Lake.
Note
Une région peut fournir des données à plusieurs régions cumulées. Toutefois, une région de cumul ne peut pas contribuer à une autre région de cumul.
Pour obtenir des instructions sur l'ajout d'une région cumulative après l'intégration à Security Lake, consultez. Ajouter des régions cumulatives
Mettre à jour ou supprimer des régions cumulatives
Choisissez votre méthode d'accès préférée et procédez comme suit pour mettre à jour ou supprimer des régions cumulées après avoir activé Security Lake.