Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion du cycle de vie dans Security Lake
Vous pouvez personnaliser Security Lake pour stocker les données dans votre emplacement préféréRégions AWSpendant la durée que vous préférez. La gestion du cycle de vie peut vous aider à vous conformer aux différentes exigences de conformité.
Gestion de la rétention
Pour gérer vos données de manière à ce qu'elles soient stockées de manière rentable, vous pouvez configurer les paramètres de conservation des données. Comme Security Lake stocke vos données sous forme d'objets dans des compartiments Amazon Simple Storage Service (Amazon S3), les paramètres de conservation correspondent à une configuration Amazon S3 Lifecycle. En configurant ces paramètres, vous pouvez spécifier votre classe de stockage Amazon S3 préférée et la période pendant laquelle les objets S3 doivent rester dans cette classe de stockage avant leur transition vers une autre classe de stockage ou leur expiration. Pour plus d'informations sur les configurations du cycle de vie d'Amazon S3, consultezGestion du cycle de vie de votre stockagedans leGuide de l'utilisateur d'Amazon Simple Storage Service.
Dans Security Lake, vous définissez les paramètres de rétention au niveau de la région. Par exemple, vous pouvez choisir de transférer tous les objets S3 vers un objet spécifiqueRégion AWSauNorme S3 - IAclasse de stockage 30 jours après leur écriture dans le lac de données. La classe de stockage Amazon S3 par défaut estNorme S3.
Suivez ces instructions pour configurer les paramètres de rétention pour une ou plusieurs régions lors de votre intégration à Security Lake. Si vous ne configurez pas les paramètres de conservation, Security Lake utilise les paramètres par défaut pour une configuration Amazon S3 Lifecycle : stockez les données indéfiniment à l'aide duNorme S3classe de stockage.
- Console
-
Ouvrez la console Security Lake à l'adressehttps://console.aws.amazon.com/securitylake/.
-
Lorsque vous atteignezÉtape 2 : Définition de l'objectif cibledu flux de travail d'intégration, choisissezAjouter une transitionsousSélectionnez les classes de stockage. Choisissez ensuite la classe de stockage Amazon S3 vers laquelle vous souhaitez effectuer la transition des objets S3. (La classe de stockage par défaut non répertoriée estNorme S3.) Spécifiez également une période de rétention (en jours) pour cette classe de stockage. Pour transférer des objets vers une autre classe de stockage après ce délai, choisissezAjouter une transitionet entrez les paramètres de la classe de stockage et de la période de rétention suivantes.
-
Pour spécifier la date d'expiration des objets S3, choisissezAjouter une transition. Ensuite, pour la classe de stockage, choisissezExpire. Pour la période de rétention, entrez le nombre total de jours pendant lesquels vous souhaitez stocker des objets dans Amazon S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période, les objets expirent et Amazon S3 les supprime.
-
Lorsque vous avez terminé, choisissez Suivant.
Vos modifications s'appliqueront à toutes les régions dans lesquelles vous avez activé Security Lake lors des étapes d'intégration précédentes.
- API
-
Pour configurer les paramètres de rétention par programmation lorsque vous vous connectez à Security Lake, utilisezCreateDataLakefonctionnement de l'API Security Lake. Dans votre demande, utilisez lelifecycleConfiguration
paramètres pour spécifier les paramètres souhaités :
-
Pourtransitions
, spécifiez le nombre total de jours (days
) que vous souhaitez stocker des objets S3 dans une classe de stockage Amazon S3 particulière (storageClass
).
-
Pourexpiration
, spécifiez le nombre total de jours pendant lesquels vous souhaitez stocker des objets dans Amazon S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période, les objets expirent et Amazon S3 les supprime.
Security Lake applique les paramètres à la région que vous spécifiez dansregion
domaine duconfigurations
objet.
- AWS CLI
-
Si vous utilisez leAWS Command Line Interface(AWS CLI) pour monter à bord de Security Lake, lancez lecreate-data-lakecommande. Lorsque vous exécutez la commande, utilisezlifecycleConfiguration
paramètres pour spécifier les paramètres de rétention souhaités :
-
Pourtransitions
, spécifiez le nombre total de jours (days
) que vous souhaitez stocker des objets S3 dans une classe de stockage Amazon S3 particulière (storageClass
).
-
Pourexpiration
, spécifiez le nombre total de jours pendant lesquels vous souhaitez stocker des objets dans Amazon S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période, les objets expirent et Amazon S3 les supprime.
Security Lake applique les paramètres à la région que vous spécifiez dansregion
domaine duconfigurations
objet.
Mettre à jour les paramètres de rétention
Suivez ces instructions pour mettre à jour les paramètres de rétention pour une ou plusieurs régions après avoir activé Security Lake.
- Console
-
Ouvrez la console Security Lake à l'adressehttps://console.aws.amazon.com/securitylake/.
-
Dans le volet de navigation, choisissezRégions
-
Sélectionnez une région, puis choisissezModifier.
-
Dans leSélectionnez les classes de stockagesection, entrez les paramètres souhaités. Pour la classe de stockage, choisissez la classe de stockage Amazon S3 vers laquelle vous souhaitez effectuer la transition des objets S3. (La classe de stockage par défaut non répertoriée estNorme S3.) Pour la période de rétention, entrez le nombre de jours pendant lesquels vous souhaitez stocker des objets dans cette classe de stockage. Vous pouvez spécifier plusieurs transitions.
Pour spécifier également à quel moment vous souhaitez que les objets S3 expirent, choisissezExpirepour la classe de stockage. Ensuite, pour la période de rétention, entrez le nombre total de jours pendant lesquels vous souhaitez stocker des objets dans Amazon S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période, les objets expirent et Amazon S3 les supprime.
-
Lorsque vous avez terminé, choisissez Enregistrer.
- API
-
Pour mettre à jour les paramètres de rétention par programmation, utilisezUpdateDataLakefonctionnement de l'API Security Lake. Dans votre demande, utilisez lelifecycleConfiguration
paramètres pour spécifier les nouveaux paramètres :
-
Pour modifier les paramètres de transition, utiliseztransitions
paramètres pour spécifier chaque nouvelle période en jours (days
) que vous souhaitez stocker des objets S3 dans une classe de stockage Amazon S3 particulière (storageClass
).
-
Pour modifier la période de conservation globale, utilisez leexpiration
paramètre pour spécifier le nombre total de jours pendant lesquels vous souhaitez stocker les objets S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période de rétention, les objets expirent et Amazon S3 les supprime.
Security Lake applique les paramètres à la région que vous spécifiez dansregion
domaine duconfigurations
objet.
- AWS CLI
-
Pour mettre à jour les paramètres de conservation à l'aide duAWS Command Line Interface(AWS CLI), lancez leupdate-data-lakecommande. Lorsque vous exécutez la commande, utilisezlifecycleConfiguration
paramètres pour spécifier les nouveaux paramètres :
-
Pour modifier les paramètres de transition, utiliseztransitions
paramètres pour spécifier chaque nouvelle période en jours (days
) que vous souhaitez stocker des objets S3 dans une classe de stockage Amazon S3 particulière (storageClass
).
-
Pour modifier la période de conservation globale, utilisez leexpiration
paramètre pour spécifier le nombre total de jours pendant lesquels vous souhaitez stocker les objets S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période de rétention, les objets expirent et Amazon S3 les supprime.
Security Lake applique les paramètres à la région que vous spécifiez dansregion
domaine duconfigurations
objet.
Une région cumulative consolide les données d'une ou de plusieurs régions contributrices. Cela peut vous aider à vous conformer aux exigences régionales en matière de conformité des données.
Avant d'ajouter une région cumulative, vous devez d'abord créer deux rôles différents dansAWS Identity and Access Management(NOM) :
Security Lake crée ces rôles IAM ou utilise des rôles existants en votre nom lorsque vous utilisez la console Security Lake. Toutefois, vous devez créer ces rôles lorsque vous utilisez l'API Security Lake ouAWS CLI.
Prérequis : rôle IAM pour la réplication des données
Ce rôle IAM autorise Amazon S3 à répliquer les journaux sources et les événements dans plusieurs régions.
Pour accorder ces autorisations, créez un rôle IAM commençant par le préfixeSecurityLake
, et attachez l'exemple de politique suivant au rôle. Vous aurez besoin du nom de ressource Amazon (ARN) du rôle lorsque vous créez une région cumulative dans Security Lake. Dans cette politique,sourceRegions
sont des régions contributrices, etdestinationRegions
sont des régions cumulatives.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowReadS3ReplicationSetting",
"Action": [
"s3:ListBucket",
"s3:GetReplicationConfiguration",
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:GetObjectRetention",
"s3:GetObjectLegalHold"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
"arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{bucketOwnerAccountId}}"
]
}
}
},
{
"Sid": "AllowS3Replication",
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ReplicateTags"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{bucketOwnerAccountId}}"
]
}
}
}
]
}
Pour plus d'informations sur les rôles de réplication, voirConfiguration des autorisationsdans leGuide de l'utilisateur d'Amazon Simple Storage Service.
Prérequis : rôle IAM pour s'inscrireAWS Gluedes cloisons
Ce rôle IAM accorde des autorisations pour le programme de mise à jour des partitionsAWS Lambdafonction utilisée par Security Lake pour s'enregistrerAWS Gluepartitions pour les objets S3 qui ont été répliqués depuis d'autres régions. Sans créer ce rôle, les abonnés ne peuvent pas interroger les événements à partir de ces objets.
Pour accorder ces autorisations, créez un rôle nomméAmazonSecurityLakeMetaStoreManager
(vous avez peut-être déjà créé ce rôle lors de votre intégration à Security Lake). Pour plus d'informations sur ce rôle, y compris un exemple de politique, voirCréez les rôles IAM nécessaires.
Dans la console Lake Formation, vous devez accorderAmazonSecurityLakeMetaStoreManager
autorisation en tant qu'administrateur de lac de données en suivant ces étapes :
Ouvrez la console Lake Formation à l'adresse https://console.aws.amazon.com/lakeformation/.
-
Connectez-vous en tant qu'utilisateur administratif.
-
Si unBienvenue chez Lake FormationUne fenêtre s'affiche, choisissez l'utilisateur que vous avez créé ou sélectionné à l'étape 1, puis choisissez Commencer.
-
Si vous ne voyez pas deBienvenue chez Lake Formationfenêtre, puis effectuez les étapes suivantes pour configurer un administrateur de formation de lacs.
-
Dans le volet de navigation, sousAutorisations, choisissezRôles et tâches administratifs. Dans leAdministrateurs de lacs de donnéesdans la section de la page de la console, choisissezChoisissez les administrateurs.
-
Dans leGérez les administrateurs de lacs de donnéesboîte de dialogue, pour les utilisateurs et les rôles IAM, choisissezAmazonSecurityLakeMetaStoreManagerRôle IAM que vous avez créé, puis choisissezEnregistrer.
Pour plus d'informations sur la modification des autorisations pour les administrateurs de lacs de données, voirCréation d'un administrateur de lac de donnéesdans leAWS Lake FormationGuide du développeur.
Configuration des régions cumulatives lors de la création de votre lac de données
Suivez ces instructions pour ajouter une région cumulative dans Security Lake lorsque vous vous connectez à Security Lake.
Une région peut fournir des données à plusieurs régions cumulées. Toutefois, une région de cumul ne peut pas contribuer à une autre région de cumul.
- Console
-
Lorsque vous atteignezÉtape 2 : Définition de l'objectif cibledu flux de travail d'intégration, choisissezAjouter une région cumulativesousSélectionnez les régions cumulées. Spécifiez la région cumulative et les régions qui y contribueront. Vous pouvez ajouter une ou plusieurs régions cumulatives.
PourAccès au service, créez un nouveau rôle IAM ou utilisez un rôle IAM existant qui autorise Security Lake à répliquer des données dans plusieurs régions.
Lorsque vous avez terminé, choisissez Suivant.
Vérifiez vos paramètres dansÉtape 3 : Révision et création. Ensuite, choisissez Create (Créer).
- API
-
Pour configurer les régions cumulées par programmation lorsque vous vous connectez à Security Lake, utilisez leCreateDataLakefonctionnement de l'API Security Lake.
Dans votre demande, utilisez lereplicationConfiguration
paramètres pour spécifier chaque région (regions
) que vous souhaitez obtenir dans la région spécifiée (region
) pour y apporter des données. Pour la région cumulative, ne spécifiez aucune valeur pourreplicationConfiguration
paramètres.
- AWS CLI
-
Si vous utilisez leAWS Command Line Interface(AWS CLI) pour monter à bord de Security Lake, lancez lecreate-data-lakecommande.
Lorsque vous exécutez la commande, utilisezreplicationConfiguration
paramètres pour spécifier chaque région (regions
) que vous souhaitez obtenir dans la région spécifiée (region
) pour y apporter des données. Pour la région cumulative, ne spécifiez aucune valeur pourreplicationConfiguration
paramètres.
Mettre à jour ou supprimer des régions cumulatives
Choisissez votre méthode d'accès préférée et procédez comme suit pour mettre à jour ou supprimer des régions cumulées après avoir activé Security Lake.
- Console
-
Ouvrez la console Security Lake à l'adressehttps://console.aws.amazon.com/securitylake/.
-
Dans le volet de navigation, sousRéglages, choisissezRégions cumulatives.
-
Sélectionnez Modifier.
-
Pour ajouter une région cumulative, choisissezAjouter une région cumulative, puis spécifiez les régions contributrices.
-
Pour supprimer une région cumulative, choisissezSupprimerà côté de la région.
-
Lorsque vous avez terminé, choisissez Enregistrer.
- API
-
Pour configurer les régions cumulées par programmation, utilisezUpdateDataLakefonctionnement de l'API Security Lake. Dans votre demande, utilisez les paramètres pris en charge pour spécifier les paramètres cumulatifs :
-
Pour ajouter une région contributrice, utilisezregion
champ pour spécifier le code de région pour la région à ajouter. Dans leregions
tableau desreplicationConfiguration
objet, spécifiez le code de région pour chaque région cumulative à laquelle vous souhaitez apporter des données.
-
Pour supprimer une région contributrice, utilisez leregion
champ pour spécifier le code de région pour la région à supprimer. Pour lereplicationConfiguration
paramètres, ne spécifiez aucune valeur.
Par exemple, la demande suivante spécifie les éléments suivants :
Leus-west-2
La région doit fournir des données auus-east-1
Région.us-east-1
est la région cumulative.
Leeu-west-1
La région doit fournir des données aueu-central-1
Région.eu-central-1
est la région cumulative.
{
configurations: [
{
"region": "us-west-2",
"replicationConfiguration": {
"regions": [
"us-east-1"
],
"roleArn": "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"
}
},
{
"region": "eu-west-1",
"replicationConfiguration": {
"regions": [
"eu-central-1"
],
"roleArn": "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"
}
}
]
}
Dans l'exemple précédent, Security Lake a déjà été activé et configuré dans les régions cumulatives spécifiées,us-east-1
eteu-central-1
.
Pour obtenir la liste des codes de région, voirPoints de terminaison Amazon Security Lakedans leRéférences générales AWS.
- AWS CLI
-
Pour configurer des régions cumulatives à l'aide duAWS Command Line Interface(AWS CLI), lancez leupdate-data-lakecommande. Lorsque vous exécutez la commande, utilisez les paramètres pris en charge pour spécifier les paramètres cumulatifs :
-
Pour ajouter une région contributrice, utilisezregion
champ pour spécifier le code de région pour la région à ajouter. Dans leregions
liste desreplicationConfiguration
objet, spécifiez le code de région pour chaque région cumulative à laquelle vous souhaitez apporter des données.
-
Pour supprimer une région contributrice, utilisez leregion
champ pour spécifier le code de région pour la région à supprimer. Pour lereplicationConfiguration
paramètres, ne spécifiez aucune valeur.
Par exemple, la commande suivante spécifie les éléments suivants :
Leus-west-2
La région doit fournir des données auus-east-1
Région.us-east-1
est la région cumulative.
Leeu-west-1
La région doit fournir des données aueu-central-1
Région.eu-central-1
est la région cumulative.
$
aws securitylake update-data-lake --configurations file:///update-data-lake.json
Où le contenu duupdate-data-lake.json
les fichiers sont :
{
configurations: [
{
"region": "us-west-2",
"replicationConfiguration": {
"regions": [
"us-east-1"
],
"roleArn": "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"
}
},
{
"region": "eu-west-1",
"replicationConfiguration": {
"regions": [
"eu-central-1"
],
"roleArn": "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"
}
}
]
}
Dans l'exemple précédent, Security Lake a déjà été activé et configuré dans les régions cumulatives spécifiées,us-east-1
eteu-central-1
.
Pour obtenir la liste des codes de région, voirPoints de terminaison Amazon Security Lakedans leRéférences générales AWS.