Vérification de l'état de la région Modification des paramètres de région Configuration de régions cumulatives

Gestion des régions

Amazon Security Lake peut collecter les journaux de sécurité et Régions AWS les événements pour lesquels vous avez activé le service. Pour chaque région, vos données sont stockées dans un compartiment Amazon S3 différent. Vous pouvez spécifier différentes configurations de lac de données (par exemple, différentes sources et paramètres de rétention) pour différentes régions. Vous pouvez également définir une ou plusieurs régions cumulatives pour consolider les données de plusieurs régions.

Vérification de l'état de la région

Security Lake peut collecter des données sur plusieurs sites Régions AWS. Pour suivre l'état de votre lac de données, il peut être utile de comprendre comment chaque région est actuellement configurée. Choisissez votre méthode d'accès préférée et suivez ces étapes pour connaître le statut actuel d'une région.

Console

Pour vérifier le statut de la région

Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.
Dans le volet de navigation, sélectionnez Regions. La page Régions apparaît et fournit un aperçu des régions dans lesquelles Security Lake est actuellement activé.
Sélectionnez une région, puis choisissez Modifier pour afficher les détails de cette région.

API

Pour connaître l'état de la collecte de logs dans la région actuelle, utilisez le GetDataLakeSourcesfonctionnement de l'API Security Lake. Si vous utilisez le AWS CLI, exécutez la get-data-lake-sourcescommande. Pour le accounts paramètre, spécifiez un ou plusieurs Compte AWS identifiants sous forme de liste. Si votre demande aboutit, Security Lake renvoie un instantané de ces comptes dans la région actuelle, y compris les AWS sources auprès desquelles Security Lake collecte des données et le statut de chaque source. Si vous n'incluez pas le accounts paramètre, la réponse inclut l'état de la collecte des journaux pour tous les comptes dans lesquels Security Lake est configuré dans la région actuelle.

Par exemple, la AWS CLI commande suivante permet de récupérer l'état de collecte des journaux pour les comptes spécifiés dans la région actuelle. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.


$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"

La AWS CLI commande suivante répertorie l'état de collecte des journaux pour tous les comptes et sources activées dans la région spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.


$ aws securitylake get-data-lake-sources \
--regions "us-east-1" \
--query 'dataLakeSources[].[account,sourceName]'

Pour déterminer si vous avez activé Security Lake pour une région, utilisez l'ListDataLakesopération. Si vous utilisez le AWS CLI, exécutez la list-data-lakescommande. Pour le regions paramètre, spécifiez le code de région de la région, par exemple, us-east-1 pour la région de l'est des États-Unis (Virginie du Nord). Pour obtenir la liste des codes de région, consultez la section Points de terminaison Amazon Security Lake dans le Références générales AWS. L'ListDataLakesopération renvoie les paramètres de configuration du lac de données pour chaque région que vous spécifiez dans votre demande. Si vous ne spécifiez aucune région, Security Lake renvoie l'état et les paramètres de configuration de votre lac de données dans chaque région dans laquelle Security Lake est disponible.

Par exemple, la AWS CLI commande suivante indique l'état et les paramètres de configuration de votre lac de données dans la eu-central-1 région. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.


$ aws securitylake list-data-lakes \
--regions "us-east-1" "eu-central-1"

Modification des paramètres de région

Choisissez votre méthode préférée et suivez ces instructions pour mettre à jour les paramètres de votre lac de données dans un ou plusieurs d'entre eux Régions AWS.

Console

Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.
Dans le volet de navigation, sélectionnez Regions.
Sélectionnez une région, puis choisissez Modifier.
Cochez la case Remplacer les sources pour tous les comptes afin <Region>de confirmer que vos sélections ici remplacent les sélections précédentes pour cette région.
Pour Sélectionner les classes de stockage, choisissez Ajouter une transition pour ajouter de nouvelles classes de stockage pour vos données.
Pour les balises, attribuez ou modifiez éventuellement les balises pour la région. Une balise est une étiquette que vous pouvez définir et attribuer à certains types de AWS ressources, y compris la configuration du lac de données Compte AWS pour une région donnée. Pour en savoir plus, veuillez consulter la section Marquage des ressources d'Amazon Security Lake.
Pour transformer une région en région cumulative, choisissez Cumuler les régions (sous Paramètres) dans le volet de navigation. Ensuite, choisissez Modify (Modifier). Dans la section Sélectionner les régions cumulatives, choisissez Ajouter une région cumulative. Sélectionnez les régions contributrices et autorisez Security Lake à répliquer les données dans plusieurs régions. Lorsque vous avez terminé, choisissez Enregistrer pour enregistrer vos modifications.

API

Pour mettre à jour les paramètres régionaux de votre lac de données par programmation, utilisez UpdateDataLakel'API Security Lake. Si vous utilisez le AWS CLI, exécutez la update-data-lakecommande. Pour le region paramètre, spécifiez le code de région pour lequel vous souhaitez modifier les paramètres, par exemple, us-east-1 pour la région USA Est (Virginie du Nord). Pour obtenir la liste des codes de région, consultez la section Points de terminaison Amazon Security Lake dans le Références générales AWS.

Utilisez des paramètres supplémentaires pour spécifier une nouvelle valeur pour chaque paramètre que vous souhaitez modifier, par exemple, la clé de chiffrement (encryptionConfiguration) et les paramètres de rétention (lifecycleConfiguration).

Par exemple, la AWS CLI commande suivante met à jour les paramètres d'expiration des données et de transition de classe de stockage pour la us-east-1 région. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.


$ update-data-lake \
--configurations '[{"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":45,"storageClass":"ONEZONE_IA"}]}}]'

Configuration de régions cumulatives

Une région cumulative consolide les données d'une ou de plusieurs régions contributrices. La spécification d'une région cumulative peut vous aider à vous conformer aux exigences de conformité régionales.

Avant d'ajouter une région cumulative, vous devez d'abord créer deux rôles différents dans AWS Identity and Access Management (IAM) :

Rôle IAM pour la réplication des données
Rôle IAM pour enregistrer des partitions AWS Glue

Note

Security Lake crée ces rôles IAM ou utilise les rôles existants en votre nom lorsque vous utilisez la console Security Lake. Toutefois, vous devez créer ces rôles lorsque vous utilisez l'API Security Lake ou AWS CLI.

Rôle IAM pour la réplication des données

Ce rôle IAM autorise Amazon S3 à répliquer les journaux sources et les événements dans plusieurs régions.

Pour accorder ces autorisations, créez un rôle IAM commençant par le préfixe SecurityLake et associez l'exemple de politique suivant au rôle. Vous aurez besoin du nom de ressource Amazon (ARN) du rôle lorsque vous créerez une région cumulative dans Security Lake. Dans le cadre de cette politique, sourceRegions sont des régions contributrices et destinationRegions des régions cumulatives.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadS3ReplicationSetting",
      "Action": [
        "s3:ListBucket",
        "s3:GetReplicationConfiguration",
        "s3:GetObjectVersionForReplication",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectRetention",
        "s3:GetObjectLegalHold"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    },
    {
      "Sid": "AllowS3Replication",
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete",
        "s3:ReplicateTags",
        "s3:GetObjectVersionTagging"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    }
  ]
}

Associez la politique de confiance suivante à votre rôle pour permettre à Amazon S3 d'assumer ce rôle :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Si vous utilisez une clé gérée par le client provenant de AWS Key Management Service (AWS KMS) pour chiffrer votre lac de données Security Lake, vous devez accorder les autorisations suivantes en plus des autorisations définies dans la politique de réplication des données.


{
    "Action": [
        "kms:Decrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "s3.{sourceRegion1}.amazonaws.com",
                "s3.{sourceRegion2}.amazonaws.com"
                ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
            ]
        }
    },
    "Resource": [
        "{sourceRegion1KmsKeyArn}",
        "{sourceRegion2KmsKeyArn}"
    ]
},
{
    "Action": [
        "kms:Encrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
            "s3.{destinationRegion1}.amazonaws.com",
            ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
            ]
        }
    },
    "Resource": [
            "{destinationRegionKmsKeyArn}"
    ]
}

Pour plus d'informations sur les rôles de réplication, consultez la section Configuration des autorisations dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Rôle IAM pour enregistrer des partitions AWS Glue

Ce rôle IAM accorde des autorisations pour une AWS Lambda fonction de mise à jour de partition utilisée par Security Lake pour enregistrer AWS Glue des partitions pour les objets S3 répliqués depuis d'autres régions. Sans créer ce rôle, les abonnés ne peuvent pas interroger les événements provenant de ces objets.

Pour accorder ces autorisations, créez un rôle nommé AmazonSecurityLakeMetaStoreManager (vous l'avez peut-être déjà créé lors de votre intégration à Security Lake). Pour plus d'informations sur ce rôle, y compris un exemple de politique, consultezÉtape 1 : créer des rôles IAM.

Dans la console Lake Formation, vous devez également accorder AmazonSecurityLakeMetaStoreManager des autorisations en tant qu'administrateur de lac de données en suivant les étapes suivantes :

Ouvrez la console Lake Formation à l’adresse https://console.aws.amazon.com/lakeformation/.
Connectez-vous en tant qu'utilisateur administratif.
Si une fenêtre Welcome to Lake Formation apparaît, choisissez l'utilisateur que vous avez créé ou sélectionné à l'étape 1, puis choisissez Get started.
Si la fenêtre Welcome to Lake Formation ne s'affiche pas, effectuez les étapes suivantes pour configurer un administrateur de Lake Formation.
1. Dans le volet de navigation, sous Autorisations, sélectionnez Administrative Rôles et tâches. Dans la section Administrateurs du lac de données de la page de console, choisissez Choisir les administrateurs.
2. Dans la boîte de dialogue Gérer les administrateurs de lacs de données, pour les utilisateurs et les rôles IAM, choisissez le rôle AmazonSecurityLakeMetaStoreManagerIAM que vous avez créé, puis sélectionnez Enregistrer.

Pour plus d'informations sur la modification des autorisations pour les administrateurs de lacs de données, voir Création d'un administrateur de lac de données dans le guide du AWS Lake Formation développeur.

Ajouter des régions cumulatives

Choisissez votre méthode d'accès préférée et suivez ces étapes pour ajouter une région cumulative.

Note

Une région peut fournir des données à plusieurs régions cumulées. Toutefois, une région cumulative ne peut pas être une région contributrice pour une autre région cumulative.

Console

Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.
Dans le volet de navigation, sous Paramètres, choisissez Rollup Regions.
Choisissez Modifier, puis sélectionnez Ajouter une région cumulative.
Spécifiez la région cumulée et les régions contributrices. Répétez cette étape si vous souhaitez ajouter plusieurs régions cumulatives.
Si c'est la première fois que vous ajoutez une région cumulative, pour accéder au service, créez un nouveau rôle IAM ou utilisez un rôle IAM existant qui autorise Security Lake à répliquer des données dans plusieurs régions.
Lorsque vous avez terminé, choisissez Enregistrer.

Vous pouvez également ajouter une région cumulative lorsque vous embarquez à bord de Security Lake. Pour plus d’informations, consultez Commencer à utiliser Amazon Security Lake.

API

Pour ajouter une région cumulative par programmation, utilisez le UpdateDataLakefonctionnement de l'API Security Lake. Si vous utilisez le AWS CLI, exécutez la update-data-lakecommande. Dans votre demande, utilisez le region champ pour spécifier la région dans laquelle vous souhaitez fournir des données à la région cumulative. Dans le regions tableau du replicationConfiguration paramètre, spécifiez le code de région pour chaque région cumulative. Pour obtenir la liste des codes de région, consultez la section Points de terminaison Amazon Security Lake dans le Références générales AWS.

Par exemple, la commande suivante est définie ap-northeast-2 comme une région cumulative. La us-east-1 Région fournira des données à la ap-northeast-2 Région. Cet exemple établit également une période d'expiration de 365 jours pour les objets ajoutés au lac de données. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.


$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'

Vous pouvez également ajouter une région cumulative lorsque vous embarquez à bord de Security Lake. Pour ce faire, utilisez l'CreateDataLakeopération (ou, si vous utilisez la AWS CLI, la create-data-lakecommande). Pour plus d'informations sur la configuration des régions cumulatives lors de l'intégration, consultez. Commencer à utiliser Amazon Security Lake

Mettre à jour ou supprimer des régions cumulatives

Choisissez votre méthode d'accès préférée et suivez ces étapes pour mettre à jour ou supprimer les régions cumulatives dans Security Lake.

Console

Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.
Dans le volet de navigation, sous Paramètres, choisissez Rollup Regions.
Sélectionnez Modifier.
Pour modifier les régions contributrices d'une région cumulative, spécifiez les régions contributrices mises à jour dans la ligne correspondant à la région cumulative.
Pour supprimer une région de cumul, choisissez Supprimer dans la ligne correspondant à la région de cumul.
Lorsque vous avez terminé, choisissez Enregistrer.

API

Pour configurer les régions cumulatives par programmation, utilisez le UpdateDataLakefonctionnement de l'API Security Lake. Si vous utilisez le AWS CLI, exécutez la update-data-lakecommande. Dans votre demande, utilisez les paramètres pris en charge pour définir les paramètres cumulatifs :

Pour ajouter une région contributrice, utilisez le region champ pour spécifier le code de région de la région à ajouter. Dans le regions tableau de l'replicationConfigurationobjet, spécifiez le code de région pour chaque région cumulative à laquelle vous souhaitez fournir des données. Pour obtenir la liste des codes de région, consultez la section Points de terminaison Amazon Security Lake dans le Références générales AWS.
Pour supprimer une région contributrice, utilisez le region champ pour spécifier le code de région de la région à supprimer. Pour les replicationConfiguration paramètres, ne spécifiez aucune valeur.

Par exemple, la commande suivante configure les deux régions us-east-1 et en tant us-east-2 que régions contributives. Les deux régions fourniront des données à la ap-northeast-3 région récapitulative. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.


$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion de plusieurs comptes

Gestion des sources