Résolution des problèmes liés à Amazon Security Lake - Amazon Security Lake

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes liés à Amazon Security Lake

Consultez les rubriques suivantes si vous rencontrez des problèmes lors de l'utilisation de Security Lake.

Résolution des problèmes liés à l'état des lacs

La page Problèmes de la console Security Lake présente un résumé des problèmes affectant votre lac de données. Par exemple, Security Lake ne peut pas activer la collecte de journaux pour les événements de AWS CloudTrail gestion si vous n'avez pas créé CloudTrail de suivi pour votre organisation. La page Problèmes couvre les problèmes survenus au cours des 14 derniers jours. Vous pouvez consulter une description de chaque problème et les étapes de résolution suggérées.

Pour accéder par programmation à un résumé des problèmes, vous pouvez utiliser le ListDataLakeExceptionsfonctionnement de l'API Security Lake. Si vous utilisez le AWS CLI, exécutez la list-data-lake-exceptionscommande. Pour le regions paramètre, vous pouvez spécifier un ou plusieurs codes de région, par exemple pour la région de l'est des États-Unis (Virginie du Nord), us-east-1 afin de connaître les problèmes affectant ces régions. Si vous n'incluez pas le regions paramètre, des problèmes affectant toutes les régions sont renvoyés. Pour obtenir la liste des codes de région, consultez la section Points de terminaison Amazon Security Lake dans le Références générales AWS.

Par exemple, la AWS CLI commande suivante répertorie les problèmes qui affectent les eu-west-3 régions us-east-1 et. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake list-data-lake-exceptions \ --regions "us-east-1" "eu-west-3"

Pour informer un utilisateur de Security Lake d'un problème ou d'une erreur, utilisez le CreateDataLakeExceptionSubscriptionfonctionnement de l'API Security Lake. L'utilisateur peut être averti par e-mail, par livraison vers une file d'attente Amazon Simple Queue Service (Amazon SQS), par livraison vers AWS Lambda une fonction ou par un autre protocole pris en charge.

Par exemple, la AWS CLI commande suivante envoie des notifications relatives aux exceptions de Security Lake au compte spécifié par SMS. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake create-data-lake-exception-subscription \ --notification-endpoint "123456789012" \ --exception-time-to-live 30 \ --subscription-protocol "sms"

Pour afficher les détails d'un abonnement exceptionnel, vous pouvez utiliser l'GetDataLakeExceptionSubscriptionopération. Pour mettre à jour un abonnement exceptionnel, vous pouvez utiliser cette UpdateDataLakeExceptionSubscriptionopération. Pour supprimer un abonnement exceptionnel et arrêter les notifications, vous pouvez utiliser cette DeleteDataLakeExceptionSubscriptionopération.

Résolution des problèmes liés à Lake Formation

Utilisez les informations suivantes pour diagnostiquer et résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Security Lake, de AWS Lake Formation bases de données ou de tables. Pour plus d'informations sur la résolution des problèmes liés à Lake Formation, consultez la section Dépannage du Guide du AWS Lake Formation développeur.

Table introuvable

Ce message d'erreur peut s'afficher lorsque vous tentez de créer un abonné.

Pour résoudre cette erreur, assurez-vous d'avoir déjà ajouté des sources dans la région. Si vous avez ajouté des sources alors que le service Security Lake était en version préliminaire, vous devez les ajouter à nouveau avant de créer un abonné. Pour plus d'informations sur l'ajout de sources, consultezgestion des sources dans Amazon Security Security Security Security Security Security Security Security.

400 AccessDenied

Cette erreur peut s'afficher lorsque vous ajoutez une source personnalisée et que vous appelez l'CreateCustomLogSourceAPI.

Pour résoudre l'erreur, vérifiez vos autorisations relatives à Lake Formation. Le rôle IAM qui appelle l'API doit disposer des autorisations de création de table pour la base de données Security Lake. Pour plus d'informations, consultez la section Octroi d'autorisations de base de données à l'aide de la console Lake Formation et de la méthode de ressource nommée dans le Guide du AWS Lake Formation développeur.

SYNTAX_ERROR : ligne 1:8 : SELECT * n'est pas autorisé dans une relation sans colonnes

Cette erreur peut s'afficher lorsque vous interrogez une table source pour la première fois dans Lake Formation.

Pour résoudre l'erreur, accordez SELECT l'autorisation au rôle IAM que vous utilisez lorsque vous êtes connecté à votre Compte AWS. Pour savoir comment accorder une SELECT autorisation, consultez la section Octroi d'autorisations de table à l'aide de la console Lake Formation et de la méthode de ressource nommée dans le Guide du AWS Lake Formation développeur.

Security Lake n'a pas réussi à ajouter l'ARN principal de l'appelant à l'administrateur du lac de données de Lake Formation. Les administrateurs actuels des lacs de données peuvent inclure des principes non valides qui n'existent plus.

Cette erreur peut s'afficher lors de l'activation de Security Lake ou de l'ajout Service AWS d'une source de journal.

Pour résoudre l'erreur, procédez comme suit :

  1. Ouvrez la console Lake Formation à l’adresse https://console.aws.amazon.com/lakeformation/.

  2. Connectez-vous en tant qu'utilisateur administratif.

  3. Dans le volet de navigation, sous Autorisations, sélectionnez Rôles et tâches administratifs.

  4. Dans la section Administrateurs du lac de données, choisissez Choisir les administrateurs.

  5. Effacez les principes étiquetés Introuvables dans IAM, puis choisissez Enregistrer.

  6. Réessayez l'opération Security Lake.

Security Lake CreateSubscriber with Lake Formation n'a pas créé de nouvelle invitation de partage de ressources RAM à accepter

Cette erreur peut s'afficher si vous avez partagé des ressources avec le partage de données entre comptes de Lake Formation version 2 ou 3 avant de créer un abonné Lake Formation dans Security Lake. Cela est dû au fait que le partage entre comptes des versions 2 et 3 de Lake Formation optimise le nombre de partages de ressources AWS RAM en mappant plusieurs autorisations entre comptes avec un seul partage de ressources AWS RAM.

Assurez-vous que le nom du partage de ressources possède l'ID externe que vous avez spécifié lors de la création de l'abonné et que l'ARN du partage de ressources correspond à l'ARN indiqué dans la CreateSubscriber réponse.

Résolution des problèmes liés aux requêtes dans Amazon Athena

Utilisez les informations suivantes pour diagnostiquer et résoudre les problèmes courants que vous pouvez rencontrer lorsque vous utilisez Athena pour interroger des objets stockés dans votre compartiment Security Lake S3. Pour plus d'informations sur la résolution des problèmes liés à Athena, consultez la section Résolution des problèmes liés à Athena du Guide de l'utilisateur d'Amazon Athena.

L'interrogation ne renvoie pas de nouveaux objets dans le lac de données

Votre requête Athena peut ne pas renvoyer de nouveaux objets dans votre lac de données, même si le compartiment S3 pour Security Lake contient ces objets. Cela peut se produire si vous avez désactivé Security Lake puis l'avez réactivé. Par conséquent, les AWS Glue partitions risquent de ne pas enregistrer correctement les nouveaux objets.

Pour résoudre l'erreur, procédez comme suit :

  1. Ouvrez la AWS Lambda console à l'adresse https://console.aws.amazon.com/lambda/.

  2. Dans la barre de navigation, dans le sélecteur de régions, choisissez la région dans laquelle Security Lake est activé mais où la requête Athena ne renvoie aucun résultat.

  3. Dans le volet de navigation, choisissez Functions, puis sélectionnez la fonction SecurityLake_Glue_Partition_Updater_Lambda_ « region> ».

  4. Dans l'onglet Configurations, sélectionnez Déclencheurs.

  5. Sélectionnez l'option à côté de la fonction, puis choisissez Modifier.

  6. Sélectionnez Activer le déclencheur, puis cliquez sur Enregistrer. Cela fera passer l'état de la fonction à Activé.

Impossible d'accéder aux AWS Glue tables

Un abonné ayant accès aux requêtes peut ne pas être en mesure d'accéder aux AWS Glue tables contenant les données de Security Lake.

Tout d'abord, assurez-vous d'avoir suivi les étapes décrites dansConfiguration du partage de tables entre comptes (étape réservée aux abonnés).

Si l'abonné n'y a toujours pas accès, procédez comme suit :

  1. Ouvrez la AWS Glue console à l'adresse https://console.aws.amazon.com/glue/.

  2. Dans le volet de navigation, sélectionnez Catalogue de données et paramètres du catalogue.

  3. Autorisez l'abonné à accéder aux AWS Glue tables avec une politique basée sur les ressources. Pour plus d'informations sur la création de politiques basées sur les ressources, consultez les exemples de politiques basées sur les ressources AWS Glue dans le Guide du développeur.AWS Glue

Résolution des problèmes liés aux Organisations

Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Security Lake et AWS Organizations. Pour plus d'informations sur le dépannage des Organisations, consultez la section Dépannage du Guide de AWS Organizations l'utilisateur.

Une erreur de refus d'accès s'est produite lors de l'appel de l' CreateDataLake opération : votre compte doit être le compte d'administrateur délégué d'une organisation ou un compte autonome.

Cette erreur peut s'afficher si vous supprimez l'organisation à laquelle appartenait un compte d'administrateur délégué, puis si vous essayez d'utiliser ce compte pour configurer Security Lake à l'aide de la console Security Lake ou de l'API CreateDataLake.

Pour résoudre l'erreur, utilisez un compte d'administrateur délégué d'une autre organisation ou un compte autonome.

Résolution des problèmes d'identité et d'accès à Amazon Security Lake

Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Security Lake et IAM.

Je ne suis pas autorisé à effectuer une action dans Security Lake

S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations d'identification.

L'exemple d'erreur suivant se produit lorsque l'utilisateur mateojackson IAM essaie d'utiliser la console pour afficher les détails d'une fiction subscriber mais ne dispose pas des SecurityLake:GetSubscriber autorisations nécessaires.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: YOURSERVICEPREFIX:GetWidget on resource: my-example-widget

Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d'accéder aux subscriber informations à l'aide de l'SecurityLake:GetSubscriberaction.

Je ne suis pas autorisé à effectuer iam : PassRole

Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'iam:PassRoleaction, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à Security Lake.

Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, un utilisateur doit disposer des autorisations nécessaires pour transmettre le rôle au service.

L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé marymajor essaie d'utiliser la console pour effectuer une action dans Security Lake. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary ne dispose pas des autorisations nécessaires pour transférer le rôle au service.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action iam:PassRole.

Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.

Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes ressources de Security Lake

Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d’accès (ACL), vous pouvez utiliser ces politiques pour donner l’accès à vos ressources.

Pour en savoir plus, consultez les éléments suivants :