Gestion de plusieurs régions - Amazon Security Lake
Vérification de l'état de la régionMet à jour les paramètres d'une régionConfiguration des régions cumulatives

Amazon Security Lake est en version préliminaire. Votre utilisation de la version préliminaire d'Amazon Security Lake est soumise à la section 2 des conditions deAWS service (« versions bêta et versions préliminaires »).

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion de plusieurs régions

Amazon Security Lake peut collecter les journaux de sécurité etRégions AWS les événements pour lesquels vous avez activé le service. Pour chaque région, vos données sont stockées dans un compartiment Amazon S3 différent. Vous pouvez spécifier différentes configurations de lacs de données (par exemple, différentes sources et différents paramètres de conservation) pour différentes régions. Vous pouvez également définir une ou plusieurs régions cumulatives pour consolider les données de plusieurs régions.

Vérification de l'état de la région

Security Lake peut collecter des données sur plusieursRégions AWS. Pour suivre l'état de votre lac de données, il peut être utile de comprendre comment chaque région est actuellement configurée. Choisissez votre méthode d'accès préférée et suivez ces étapes pour obtenir l'état actuel d'une région.

Console

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Dans le panneau de navigation, choisissez Regions. La page Régions apparaît, fournissant une vue d'ensemble des régions dans lesquelles Security Lake est actuellement activé.

  3. Sélectionnez une région, puis choisissez Modifier pour voir les détails de cette région.

API

Exécutez GetDatalakeStatusà partir du compte administrateur délégué de Security Lake. Pour lesaccountSet (un ou plusieursCompte AWS identifiants) que vous fournissez, cette API renverra un instantané de la région actuelle, indiquant notamment si Security Lake est activé pour ces comptes et quelles sources Security Lake collecte les données. Vous pouvez éventuellement utiliser lemaxAccountResults paramètre pour spécifier le nombre maximum de comptes pour lesquels des résultats sont renvoyés.

Note

Exécutez GetDatalakesi vous voulez simplement savoir si vous avez activé Security Lake pour la région actuelle.

AWS CLI

Exécutez laget-datalake-status commande à partir du compte administrateur délégué de Security Lake. Pour lesaccount-set (un ou plusieursCompte AWS identifiants) que vous fournissez, cette API renverra un instantané de la région actuelle, indiquant notamment si Security Lake est activé pour ces comptes et quelles sources Security Lake collecte les données. Vous pouvez éventuellement utiliser lemax-account-results paramètre pour spécifier le nombre maximum de comptes pour lesquels des résultats sont renvoyés.

aws securitylake get-datalake-status [--account-set values] [--max-account-results values]

Exemple de commande pour vérifier l'état d'une région

aws securitylake get-datalake-status [--account-set "123456789012"]
Note

Exécutez laget-datalake commande si vous voulez simplement savoir si vous avez activé Security Lake pour la région actuelle.

Met à jour les paramètres d'une région

Choisissez la méthode de votre choix et suivez ces instructions pour mettre à jour les paramètres de votre lac de données dans une ou plusieurs régions. Vous pouvez mettre à jour la clé de chiffrement, les paramètres de rétention, les balises définies par le client et les paramètres de région cumulée.

Console

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Dans le panneau de navigation, choisissez Regions.

  3. Sélectionnez une région, puis choisissez Modifier.

  4. Choisissez Modifier pour modifier la classe de stockage, les périodes de conservation ou la collection source pour la région.

  5. Pour transformer une région en région cumulée, choisissez Paramètres dans le volet de navigation, puis choisissez Région cumulée.

  6. Choisissez Modifier et ajouter une région de cumul. Sélectionnez les régions contributrices mises à jour et attachez le rôle de réplication Amazon Resource Name (ARN). Pour obtenir des informations sur ce rôle, consultezRôle IAM pour la réplication des données. Choisissez Modifier pour enregistrer les modifications.

API

Exécutez UpdateDatalake.

Exemple de demande d'API :

{
  "configurations": {
    "us-east-1": {
      "encryptionKey": "sample encryption key",
      "partitionUpdaterRoleArn": "example",
      "retentionSettings": [
        {
          "storageClass": {
            "value": "STANDARD_IA"
          },
          "retentionPeriod":1234
        },
      ],
      "tagsMap": {
        "myS3Bucket": "sample_bucket"
      },
      "replicationDestinationRegions": [
        "us-east-1",
        "us-west-2"
      ],
      "replicationRoleArn": "arn:aws:s3:::mybucket"
      }
   }
}
Note

Vous pouvez également mettre à jour les paramètres de région à l'aide de l'CreateDatalakeAPI lorsque vous activez Security Lake.

AWS CLI

Exécutez laupdate-datalake commande pour mettre à jour les paramètres de la région :


aws securitylake update-datalake --lake-configuration {--regions values}

Exemple de commande pour mettre à jour les paramètres de rétention pour une région :


aws securitylake update-datalake --lake-configuration '{"us-east-1": {"retentionSettings": [{"storageClass": "STANDARD_IA", "retentionPeriod":1234567}]}}"
Note

Vous pouvez également mettre à jour les paramètres de région lors de l'exécution de lacreate-datalake commande lorsque vous activez Security Lake.

Configuration des régions cumulatives

Une région cumulée consolide les données d'une ou plusieurs régions contributrices. La spécification d'une région cumulée peut vous aider à vous conformer aux exigences de conformité régionales.

Avant d'ajouter une région cumulée, vous devez d'abord créer deux rôles différents dansAWS Identity and Access Management (IAM) :

Note

Security Lake crée ces rôles IAM ou utilise des rôles existants en votre nom lorsque vous utilisez la console Security Lake. Toutefois, vous devez créer ces rôles lorsque vous utilisez l'API Security Lake ouAWS CLI.

Rôle IAM pour la réplication des données

Ce rôle IAM autorise Amazon S3 à répliquer les journaux sources et les événements dans plusieurs régions.

Pour accorder ces autorisations, créez un rôle IAM qui commence par le préfixeSecurityLake et attachez l'exemple de politique suivant au rôle. Vous aurez besoin de l'Amazon Resource Name (ARN) du rôle lorsque vous créez une région cumulée dans Security Lake. Dans cette politique,sourceRegions sont considérées comme des régionsdestinationRegions contributrices et des régions cumulatives.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowReadS3ReplicationSetting",
            "Action": [
                "s3:ListBucket",
                "s3:GetReplicationConfiguration",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionAcl",
                "s3:GetObjectVersionTagging",
                "s3:GetObjectRetention",
                "s3:GetObjectLegalHold"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
                "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
            ]
        },
        {
            "Sid": "AllowS3Replication",
            "Action": [
                "s3:ReplicateObject",
                "s3:ReplicateDelete",
                "s3:ReplicateTags",
                "s3:GetObjectVersionTagging"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
            ]
        }
    ]
}

Attachez la politique de confiance suivante à votre rôle pour permettre à Amazon S3 d'assumer ce rôle :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Pour plus d'informations sur les rôles de réplication, consultez la section Configuration des autorisations dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Rôle IAM pour enregistrerAWS Glue des partitions

Ce rôle IAM accorde des autorisations pour uneAWS Lambda fonction de mise à jour des partitions utilisée par Security Lake pour enregistrer lesAWS Glue partitions des objets S3 qui ont été répliqués depuis d'autres régions. Sans créer ce rôle, les abonnés ne peuvent pas rechercher d'événements à partir de ces objets.

Pour accorder ces autorisations, créez un rôle nomméAmazonSecurityLakeMetaStoreManager (vous avez peut-être déjà créé ce rôle lors de votre intégration à Security Lake). Pour plus d'informations sur ce rôle, y compris un exemple de politique, consultezCréation des rôles IAM nécessaires.

Dans la console Lake Formation, vous devez également accorderAmazonSecurityLakeMetaStoreManager des autorisations en tant qu'administrateur de lac de données en procédant comme suit :

  1. Ouvrez la console Lake Formation à l'adresse https://console.aws.amazon.com/lakeformation/.

  2. Connexion en tant qu'utilisateur administratif.

  3. Si une fenêtre Welcome to Lake Formation apparaît, choisissez l'utilisateur que vous avez créé ou sélectionné à l'étape 1, puis choisissez Commencer.

  4. Si vous ne voyez pas de fenêtre Welcome to Lake Formation, effectuez les étapes suivantes pour configurer un administrateur de Lake Formation.

    1. Dans le volet de navigation, sous Autorisations, sélectionnez Rôles et tâches d'administration. Dans la section Administrateurs du lac de données de la page de console, choisissez Choisir les administrateurs.

    2. Dans la boîte de dialogue Gérer les administrateurs de lacs de données, pour les utilisateurs et les rôles IAM, choisissez le rôle AmazonSecurityLakeMetaStoreManagerIAM que vous avez créé, puis cliquez sur Enregistrer.

Pour plus d'informations sur la modification des autorisations pour les administrateurs de lacs de données, consultez la section Créer un administrateur de lac de données dans le Guide duAWS Lake Formation développeur.

Ajouter des régions cumulatives

Choisissez votre méthode d'accès préférée et suivez ces étapes pour ajouter une région cumulée.

Note

Une région peut fournir des données à plusieurs régions cumulatives. Toutefois, une région cumulée ne peut pas être une région contributrice pour une autre région cumulée.

Console

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Dans le volet de navigation, choisissez Paramètres et région cumulée.

  3. Choisissez Modifier et ajouter une région de cumul.

  4. Spécifiez la région cumulée et les régions contributrices. Recommencez si vous souhaitez ajouter plusieurs régions cumulatives.

  5. Si c'est la première fois que vous ajoutez une région cumulée, créez un nouveau rôle IAM pour l'accès aux services ou utilisez un rôle IAM existant qui autorise Security Lake à répliquer les journaux et les événements dans plusieurs régions.

  6. Sélectionnez Modifier.

API

  1. Exécutez UpdateDatalakepour ajouter une région cumulée.

  2. Renseignez lereplicationDestinationRegions champ dans leconfigurations paramètre pour spécifier la ou les régions qui fourniront des données à la région cumulée. Pour la région cumulée, lereplicationDestinationRegions champ doit être vide.

Note

Vous pouvez également ajouter une région cumulée à l'aide de l'CreateDatalakeAPI lorsque vous activez Security Lake.

AWS CLI

Exécutez laupdate-datalake commande pour ajouter une région cumulée. Utilisez lereplication-destination-regions champ dulake-configuration paramètre pour spécifier la ou les régions qui fourniront des données à la région cumulée. Pour la région cumulée, lereplicationDestinationRegions champ doit être vide.


aws securitylake update-datalake --lake-configuration '{"us-west-2": {"replicationDestinationRegions": []},"us-east-1": {"replicationDestinationRegions": ["us-west-2"],"replicationRoleArn": "arn:aws:iam::123456789012:role/SecurityLake_S3ReplicationRole_us-east-1"}}'
Note

Vous pouvez également ajouter une région cumulée à l'aide de lacreate-datalake commande lorsque vous activez Security Lake.

Mettre à jour ou supprimer des régions cumulatives

Choisissez votre méthode d'accès préférée et procédez comme suit pour mettre à jour ou supprimer les régions cumulables dans Security Lake.

Console

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Dans le volet de navigation, choisissez Paramètres et région cumulée.

  3. Sélectionnez Modifier.

  4. Pour une région cumulée, spécifiez les régions contributrices mises à jour.

  5. Choisissez Supprimer pour supprimer une région cumulée.

  6. Sélectionnez Modifier.

API

  1. Exécutez UpdateDatalake.

  2. Modifiez les régions contributrices dans lereplicationDestinationRegions champ. Laissez le champ vide si vous souhaitez supprimer une région cumulée.

AWS CLI

Exécutez la commande update-datalake. Modifiez les régions contributrices dans lereplication-destination-regions champ. Laissez le champ vide si vous souhaitez supprimer une région cumulée.


aws securitylake update-datalake --lake-configuration [--regions values] [--configurations value]