Gestion de la rétention Régions cumulatives

Gestion du cycle de vie dans Security Lake

Vous pouvez personnaliser Security Lake pour stocker les données dans votre lieu de prédilection Régions AWS pendant la durée que vous souhaitez. La gestion du cycle de vie peut vous aider à vous conformer aux différentes exigences de conformité.

Gestion de la rétention

Pour gérer vos données de manière à ce qu'elles soient stockées de manière rentable, vous pouvez définir des paramètres de conservation. Comme Security Lake stocke vos données sous forme d'objets dans des compartiments Amazon Simple Storage Service (Amazon S3), les paramètres de conservation correspondent à une configuration du cycle de vie Amazon S3, qui vous permet de spécifier votre classe de stockage préférée et la période pendant laquelle les objets resteront dans cette classe de stockage avant de passer à une autre classe de stockage.

Dans Security Lake, vous définissez les paramètres de rétention au niveau de la région. Par exemple, vous pouvez choisir d'effectuer la transition de tous les objets d'une région spécifique vers la classe de stockage S3 Standard-IA 30 jours après leur écriture dans le lac de données. La classe de stockage Amazon S3 par défaut est S3 Standard.

Pour plus d'informations sur la configuration S3 Lifecycle, veuillez consulter la section Gestion de votre cycle de stockage dans le Guide de l'utilisateur Amazon Simple Storage Service.

Configuration des paramètres de rétention lors de l'activation de Security Lake

Suivez ces instructions pour configurer les paramètres de rétention pour une ou plusieurs régions lorsque vous configurez Security Lake. Si vous ne configurez pas les paramètres de rétention, Security Lake utilise le comportement par défaut pour la configuration du cycle de vie d'Amazon S3. En d'autres termes, Security Lake stocke vos données indéfiniment dans la classe de stockage S3 standard.

Console

Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.
Lorsque vous atteignez l'étape 2 : Définir l'objectif cible, sous Définir les classes de stockage, choisissez une classe de stockage Amazon S3 (la classe de stockage par défaut non répertoriée est S3 Standard). Indiquez une période de conservation (en jours) et choisissez Ajouter une transition si vous souhaitez que les données soient transférées vers une autre classe de stockage après cette période.
Choisissez Suivant. Les modifications s'appliqueront à toutes les régions dans lesquelles vous avez activé Security Lake lors des étapes d'intégration précédentes.

API

Exécutez CreateDatalake.

Renseignez le retentionPeriod champ avec votre période de rétention préférée en jours et renseignez le storageClass champ avec votre classe de stockage Amazon S3 préférée. Les paramètres s'appliqueront aux régions que vous incluez dans le regions paramètre.

Exemple de demande :


{
      regions: ["us-west-2", "us-east-1"],
      configurations: {
       "us-west-2": {
           "retentionSettings": [
            {
              "storageClass": {
                "value": "STANDARD_IA"
              },
              "retentionPeriod":1234567
            },
           ]
       }
}

AWS CLI

Exécutez la commande create-datalake. retention-periodÀ utiliser pour spécifier votre période de rétention préférée en jours et storage-class pour spécifier votre classe de stockage Amazon S3 préférée. Les paramètres s'appliqueront aux régions que vous incluez dans le regions paramètre.



aws securitylake create-datalake [--regions values | --enable-all] [--configurations values]

Exemple de commande pour configurer les paramètres de rétention pour des régions spécifiques :



aws securitylake create-datalake [--regions "us-west-2", "us-east-1"], [--configurations {"us-west-2": {"retention-settings": [{"storage-class": {"value": "STANDARD_IA"}, "retention-period": 60}]}, {"us-east-1": {"storage-class": "GLACIER", "retention-period": 30}}]"

Mise à jour des paramètres de rétention

Suivez ces instructions pour mettre à jour les paramètres de rétention pour une ou plusieurs régions après avoir activé Security Lake.

Régions cumulatives

Une région de regroupement consolide des données d'une ou plusieurs régions contributrices. Cela peut vous aider à vous conformer aux exigences régionales en matière de conformité des données.

Avant d'ajouter une région cumulative, vous devez d'abord créer deux rôles différents dans AWS Identity and Access Management (IAM) :

Prérequis : rôle IAM pour la réplication des données
Prérequis : rôle IAM pour enregistrer des partitions AWS Glue

Note

Security Lake crée ces rôles IAM ou utilise des rôles existants en votre nom lorsque vous utilisez la console Security Lake. Toutefois, vous devez créer ces rôles lorsque vous utilisez l'API Security Lake ouAWS CLI.

Prérequis : rôle IAM pour la réplication des données

Ce rôle IAM autorise Amazon S3 à répliquer les journaux sources et les événements dans plusieurs régions.

Pour accorder ces autorisations, créez un rôle IAM qui commence par le préfixe SecurityLake et attachez l'exemple de politique suivant au rôle. Vous aurez besoin d'Amazon Resource Name (ARN) du rôle lorsque vous créez une région de rétention dans Security Lake. Dans cette politique, sourceRegions sont des régions contributrices et destinationRegions des régions cumulatives.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowReadS3ReplicationSetting",
            "Action": [
                "s3:ListBucket",
                "s3:GetReplicationConfiguration",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionAcl",
                "s3:GetObjectVersionTagging",
                "s3:GetObjectRetention",
                "s3:GetObjectLegalHold"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
                "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
            ]
        },
        {
            "Sid": "AllowS3Replication",
            "Action": [
                "s3:ReplicateObject",
                "s3:ReplicateDelete",
                "s3:ReplicateTags",
                "s3:GetObjectVersionTagging"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
            ]
        }
    ]
}

Associez la politique de confiance suivante à votre rôle pour permettre à Amazon S3 d'assumer ce rôle :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Pour plus d'informations sur les rôles de réplication, consultez la section Configuration des autorisations dans le Guide de l'utilisateur d'Amazon Simple Storage Service.

Prérequis : rôle IAM pour enregistrer des partitions AWS Glue

Ce rôle IAM accorde des autorisations pour la AWS Lambda fonction de mise à jour des partitions utilisée par Security Lake pour enregistrer les AWS Glue partitions des objets S3 répliqués depuis d'autres régions. Sans créer ce rôle, les abonnés ne peuvent pas interroger les événements à partir de ces objets.

Pour accorder ces autorisations, créez un rôle nommé AmazonSecurityLakeMetaStoreManager (vous avez peut-être déjà créé ce rôle lors de l'intégration à Security Lake). Pour plus d'informations sur ce rôle, y compris un exemple de politique, consultezCréation des rôles IAM nécessaires.

Dans la console Lake Formation, vous devez accorder l'AmazonSecurityLakeMetaStoreManagerautorisation en tant qu'administrateur du lac de données en procédant comme suit :

Ouvrez la console Lake Formation à l'adresse https://console.aws.amazon.com/lakeformation/.
Connexion en tant qu'utilisateur administratif.
Si une fenêtre Welcome to Lake Formation s'affiche, choisissez l'utilisateur que vous avez créé ou sélectionné à l'étape 1, puis choisissez Commencer.
Si la fenêtre Welcome to Lake Formation ne s'affiche pas, effectuez les étapes suivantes pour configurer un administrateur de Lake Formation.
1. Dans le volet de navigation, sous Autorisations, choisissez Rôles et tâches d'administration. Dans la section Administrateurs du lac de données de la page de la console, sélectionnez Choisir les administrateurs.
2. Dans la boîte de dialogue Gérer les administrateurs du lac de données, pour les utilisateurs et les rôles IAM, choisissez le rôle AmazonSecurityLakeMetaStoreManagerIAM que vous avez créé, puis cliquez sur Enregistrer.

Pour plus d'informations sur la modification des autorisations accordées aux administrateurs de lacs de données, consultez la section Créer un administrateur de lac de données dans le Guide du AWS Lake Formation développeur.

Configuration des régions cumulatives lors de la création de votre lac de données

Suivez ces instructions pour ajouter une région cumulative dans Security Lake lorsque vous vous connectez à Security Lake.

Note

Une région peut fournir des données à plusieurs régions cumulées. Toutefois, une région de cumul ne peut pas contribuer à une autre région de cumul.

Console

Lorsque vous atteignez l'étape 2 : Définir l'objectif cible, choisissez Sélectionner une région de cumul et Ajouter une région de cumul. Sous Sélectionner une région de cumul, choisissez Ajouter une région de cumul. Spécifiez la région cumulative et les régions qui y contribueront. Vous pouvez configurer une ou plusieurs régions cumulatives.
Pour l'accès au service, créez un nouveau rôle IAM ou utilisez un rôle IAM existant qui autorise Security Lake à répliquer les journaux et les événements dans plusieurs régions.
Choisissez Suivant.
Vérifiez vos paramètres à l'étape 3 : Vérifiez et créez. Sélectionnez Enable (Activer).

API

Exécutez CreateDatalake.
Renseignez le replicationDestinationRegions champ du configurations paramètre pour spécifier la ou les régions qui fourniront des données à la région cumulative. Pour la région cumulative, le replicationDestinationRegions champ doit être vide.

Exemple de demande pour ajouter une région cumulative (ici, us-east-1 rôles allant jusqu'àus-west-2) :
```
{
    regions: ["us-east-1"],
    configurations: {
        "us-east-1": {
            "replicationDestinationRegions": [
                "us-west-2"
        }
    }
}
```

AWS CLI

Exécutez la commande create-datalake. Utilisez le replication-destination-regions champ du lake-configuration paramètre pour spécifier la ou les régions qui fourniront des données à la région cumulative. Pour la région cumulative, le replicationDestinationRegions champ doit être vide.



aws securitylake create-datalake --lake-configuration [--regions values | --enable-all] [--configurations value]

Exemple de commande pour ajouter une région cumulative :



aws securitylake create-datalake --lake-configuration '{"us-west-2": {"replicationDestinationRegions": []},"us-east-1": {"replicationDestinationRegions": ["us-west-2"],"replicationRoleArn": "arn:aws:iam::123456789012:role/SecurityLake_S3ReplicationRole_us-east-1"}}'

Pour obtenir des instructions sur l'ajout d'une région cumulative après l'intégration à Security Lake, consultez. Ajouter des régions cumulatives

Mettre à jour ou supprimer des régions cumulatives

Choisissez votre méthode d'accès préférée et procédez comme suit pour mettre à jour ou supprimer des régions cumulées après avoir activé Security Lake.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples résultats Security Hub

Cadre de schéma de cybersécurité ouvert (OCSF)