Gestion de l'accès aux données pour les abonnés de Security Lake - Amazon Security Lake

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion de l'accès aux données pour les abonnés de Security Lake

Les abonnés ayant accès aux données source dans Amazon Security Lake sont informés de la présence de nouveaux objets pour la source au fur et à mesure que les données sont écrites dans le compartiment S3. Par défaut, les abonnés sont informés des nouveaux objets via un point de terminaison HTTPS qu'ils fournissent. Les abonnés peuvent également être informés des nouveaux objets en interrogeant une file d'attente Amazon Simple Queue Service (Amazon SQS).

Conditions préalables à la création d'un abonné avec accès aux données

Vous devez remplir les conditions préalables suivantes avant de pouvoir créer un abonné avec accès aux données dans Security Lake.

Vérifier les autorisations

Pour vérifier vos autorisations, utilisez IAM pour consulter les politiques IAM associées à votre identité IAM. Comparez ensuite les informations contenues dans ces politiques à la liste suivante d'actions (autorisations) que vous devez effectuer pour avertir les abonnés lorsque de nouvelles données sont écrites dans le lac de données.

Vous aurez besoin d'une autorisation pour effectuer les actions suivantes :

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

Outre la liste précédente, vous devez également être autorisé à effectuer les actions suivantes :

  • events:CreateApiDestination

  • events:CreateConnection

  • events:DescribeRule

  • events:ListApiDestinations

  • events:ListConnections

  • events:PutRule

  • events:PutTargets

  • s3:GetBucketNotification

  • s3:PutBucketNotification

  • sqs:CreateQueue

  • sqs:DeleteQueue

  • sqs:GetQueueAttributes

  • sqs:GetQueueUrl

  • sqs:SetQueueAttributes

Obtenir l'identifiant externe de l'abonné

Pour créer un abonné, outre l'Compte AWSidentifiant de l'abonné, vous devez également obtenir son identifiant externe. L'ID externe est un identifiant unique que l'abonné vous fournit. Security Lake ajoute l'ID externe au rôle IAM de l'abonné qu'il crée. Vous utilisez l'ID externe lorsque vous créez un abonné dans la console Security Lake, via l'API, ouAWS CLI.

Pour plus d'informations sur les ID externes, consultez Comment utiliser un ID externe lors de l'octroi de l'accès à vos AWS ressources à un tiers dans le Guide de l'utilisateur IAM.

Important

Si vous prévoyez d'utiliser la console Security Lake pour ajouter un abonné, vous pouvez ignorer l'étape suivante et passer àCréation d'un abonné avec accès aux données. La console Security Lake propose un processus de démarrage simplifié et crée tous les rôles IAM nécessaires ou utilise les rôles existants en votre nom.

Si vous prévoyez d'utiliser l'API Security Lake ou d'AWS CLIajouter un abonné, passez à l'étape suivante pour créer un rôle IAM pour appeler des destinations d'EventBridgeAPI.

Création d'un rôle IAM pour appeler des destinations EventBridge d'API (API et étape uniquementAWS CLI)

Si vous utilisez Security Lake via une API ou AWS CLI si vous créez un rôle dans AWS Identity and Access Management (IAM) qui autorise Amazon à appeler des destinations EventBridge d'API et à envoyer des notifications d'objet aux points de terminaison HTTPS appropriés.

Après avoir créé ce rôle IAM, vous aurez besoin du nom de ressource Amazon (ARN) du rôle pour créer l'abonné. Ce rôle IAM n'est pas nécessaire si l'abonné interroge les données d'une file d'attente Amazon Simple Queue Service (Amazon SQS) ou interroge directement les données de. AWS Lake Formation Pour plus d'informations sur ce type de méthode d'accès aux données (type d'accès), consultezGestion de l'accès aux requêtes pour les abonnés de Security Lake.

Associez la politique suivante à votre rôle IAM :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowInvokeApiDestination", "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:{us-west-2}:{123456789012}:api-destination/AmazonSecurityLake*/*" ] } ] }

Associez la politique de confiance suivante à votre rôle IAM pour vous EventBridge permettre d'assumer ce rôle :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEventBridgeToAssume", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Security Lake crée automatiquement un rôle IAM qui permet à l'abonné de lire les données du lac de données (ou d'interroger les événements d'une file d'attente Amazon SQS si c'est la méthode de notification préférée). Ce rôle est protégé par une politique AWS gérée appelée AmazonSecurityLakePermissionsBoundary.

Création d'un abonné avec accès aux données

Choisissez l'une des méthodes d'accès suivantes pour créer un abonné ayant accès aux données du réseau actuelRégion AWS.

Console
  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez créer l'abonné.

  3. Dans le volet de navigation, choisissez Abonnés.

  4. Sur la page Abonnés, choisissez Créer un abonné.

  5. Pour les détails de l'abonné, entrez le nom de l'abonné et une description facultative.

    La région est automatiquement renseignée comme vous l'avez actuellement sélectionnée Région AWS et ne peut pas être modifiée.

  6. Pour les sources du journal et des événements, choisissez les sources que l'abonné est autorisé à utiliser.

  7. Pour la méthode d'accès aux données, choisissez S3 pour configurer l'accès aux données pour l'abonné.

  8. Pour les informations d'identification de l'abonné, fournissez l'Compte AWSID de l'abonné et l'ID externe.

  9. (Facultatif) Pour les détails des notifications, si vous souhaitez que Security Lake crée une file d'attente Amazon SQS que l'abonné peut interroger pour obtenir des notifications d'objets, sélectionnez la file d'attente SQS. Si vous souhaitez que Security Lake envoie des notifications via un point EventBridge de terminaison HTTPS, sélectionnez Point de terminaison d'abonnement.

    Si vous sélectionnez Subscription Endpoint, procédez également comme suit :

    1. Entrez le point de terminaison de l'abonnement. Des exemples de formats de point de terminaison valides incluent https://example.comhttp://example.com, etarn:aws:cloudfront::111122223333:distribution/E1WG1ZNPRXT0D4. Vous pouvez également fournir un nom de clé HTTPS et une valeur de clé HTTPS.

    2. Pour l'accès au service, créez un nouveau rôle IAM ou utilisez un rôle IAM existant qui EventBridge autorise à appeler des destinations d'API et à envoyer des notifications d'objet aux points de terminaison appropriés.

      Pour plus d'informations sur la création d'un nouveau rôle IAM, voir Créer un rôle IAM pour appeler des destinations d'API EventBridge.

  10. (Facultatif) Pour les balises, entrez jusqu'à 50 balises à attribuer à l'abonné.

    Une étiquette est une étiquette que vous pouvez définir et attribuer à certains types de AWS ressources. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Les balises peuvent vous aider à identifier, classer et gérer les ressources de différentes manières. Pour en savoir plus, consultez Balisage des ressources d'Amazon Security Lake.

  11. Sélectionnez Create (Créer).

API

Pour créer un abonné avec accès aux données par programmation, utilisez le CreateSubscriberfonctionnement de l'API Security Lake.

  • Pour accessTypes, spécifiez S3.

  • Poursources, spécifiez chaque source à laquelle vous souhaitez que l'abonné accède.

  • PoursubscriberIdentity, spécifiez l'AWSidentité et l'ID externe que l'abonné utilisera pour accéder aux données source.

(Facultatif) Après avoir créé un abonné, utilisez l'CreateSubscriberNotificationopération pour spécifier comment l'avertir lorsque de nouvelles données sont écrites dans le lac de données pour les sources auxquelles vous souhaitez que l'abonné accède. Pour remplacer la méthode de notification par défaut (point de terminaison HTTPS) et créer une file d'attente Amazon SQS, spécifiez des valeurs pour les sqsNotificationConfiguration paramètres. Si vous préférez recevoir une notification avec un point de terminaison HTTPS, spécifiez des valeurs pour les httpsNotificationConfiguration paramètres. Pour le targetRoleArn champ, spécifiez l'ARN du rôle IAM que vous avez créé pour appeler les destinations d'EventBridgeAPI.

AWS CLI

Pour créer un abonné avec accès aux données à l'aide de AWS Command Line Interface (AWS CLI), exécutez la commande create-subscriber. Lorsque vous exécutez la commande, utilisez les paramètres pris en charge pour spécifier les paramètres suivants pour l'abonné :

  • Pour access-types, spécifiez S3.

  • Poursources, spécifiez chaque source à laquelle vous souhaitez que l'abonné accède.

  • Poursubscriber-identity, spécifiez l'AWSidentité et l'ID externe que l'abonné utilisera pour accéder aux données source.

(Facultatif) Après avoir créé un abonné, exécutez la create-subscriber-notificationcommande pour spécifier comment l'avertir lorsque de nouvelles données sont écrites dans le lac de données pour les sources auxquelles vous souhaitez que l'abonné accède. Pour remplacer la méthode de notification par défaut (point de terminaison HTTPS) et créer une file d'attente Amazon SQS, spécifiez des valeurs pour les sqsNotificationConfiguration paramètres. Si vous préférez recevoir une notification via un point de terminaison HTTPS, spécifiez des valeurs pour les httpsNotificationConfiguration paramètres. Pour le targetRoleArn champ, spécifiez l'ARN du rôle IAM que vous avez créé pour appeler les destinations d'EventBridgeAPI.

Pour modifier ultérieurement la méthode de notification (file d'attente Amazon SQS ou point de terminaison HTTPS) pour l'abonné, utilisez l'UpdateSubscriberNotificationopération ou, si vous utilisez laAWS CLI, exécutez la update-subscriber-notificationcommande. Vous pouvez également modifier la méthode de notification à l'aide de la console Security Lake : sélectionnez l'abonné sur la page Abonnés, puis choisissez Modifier.

Exemple de message de notification d'objet

{ "source": "aws.s3", "time": "2021-11-12T00:00:00Z", "account": "123456789012", "region": "ca-central-1", "resources": [ "arn:aws:s3:::example-bucket" ], "detail": { "bucket": { "name": "example-bucket" }, "object": { "key": "example-key", "size": 5, "etag": "b57f9512698f4b09e608f4f2a65852e5" }, "request-id": "N4N7GDK58NMKJ12R", "requester": "securitylake.amazonaws.com" } }

Mettre à jour un abonné aux données

Vous pouvez mettre à jour un abonné en modifiant les sources qu'il utilise. Vous pouvez également attribuer ou modifier les balises d'un abonné. Une étiquette est une étiquette que vous pouvez définir et attribuer à certains types de AWS ressources, y compris aux abonnés. Pour en savoir plus, consultez Balisage des ressources d'Amazon Security Lake.

Choisissez l'une des méthodes d'accès et procédez comme suit pour définir de nouvelles sources pour un abonnement existant.

Console
  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Dans le volet de navigation, choisissez Abonnés.

  3. Sélectionnez l'abonné.

  4. Choisissez Modifier, puis effectuez l'une des opérations suivantes :

    • Pour mettre à jour les sources pour l'abonné, entrez les nouveaux paramètres dans la section Journal et sources d'événements.

    • Pour attribuer ou modifier des balises pour l'abonné, modifiez les balises selon vos besoins dans la section Étiquettes.

  5. Lorsque vous avez terminé, choisissez Enregistrer.

API

Pour mettre à jour les sources d'accès aux données d'un abonné par programmation, utilisez le UpdateSubscriberfonctionnement de l'API Security Lake. Dans votre demande, utilisez les sources paramètres pour spécifier chaque source à laquelle vous souhaitez que l'abonné accède.

Pour obtenir la liste des abonnés associés à une organisation Compte AWS ou à une organisation spécifique, utilisez l'ListSubscribersopération. Pour vérifier les paramètres actuels d'un abonné en particulier, utilisez l'GetSubscriberopération. Security Lake renvoie ensuite le nom et la description de l'abonné, son identifiant externe et des informations supplémentaires. Pour mettre à jour la méthode de notification pour un abonné, utilisez l'UpdateSubscriberNotificationopération. Par exemple, vous pouvez spécifier un nouveau point de terminaison HTTPS pour l'abonné ou passer d'un point de terminaison HTTPS à une file d'attente Amazon SQS.

AWS CLI

Pour mettre à jour les sources d'accès aux données d'un abonné à l'aide de AWS Command Line Interface (AWS CLI), exécutez la commande update-subscriber. Lorsque vous exécutez la commande, utilisez les sources paramètres pour spécifier chaque source à laquelle vous souhaitez que l'abonné accède.

Pour obtenir la liste des abonnements associés à une organisation Compte AWS ou à une organisation en particulier, exécutez la commande list-subscribers. Pour vérifier les paramètres actuels d'un abonné en particulier, exécutez la commande get-subscriber. Security Lake renvoie ensuite le nom et la description de l'abonné, son identifiant externe et des informations supplémentaires. Pour mettre à jour la méthode de notification pour un abonné, exécutez la update-subscriber-notificationcommande. Par exemple, vous pouvez spécifier un nouveau point de terminaison HTTPS pour l'abonné ou passer d'un point de terminaison HTTPS à une file d'attente Amazon SQS.

Supprimer un abonné aux données

Si vous ne souhaitez plus qu'un abonné utilise les données de Security Lake, vous pouvez le supprimer en procédant comme suit.

Console
  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Dans le volet de navigation, choisissez Abonnés.

  3. Sélectionnez l'abonné que vous souhaitez supprimer.

  4. Choisissez Delete (Supprimer) et confirmez l'action. Cela supprimera l'abonné et tous les paramètres de notification associés.

API

En fonction de votre scénario, effectuez l'une des opérations suivantes :

  • Pour supprimer l'abonné et tous les paramètres de notification associés, utilisez le DeleteSubscriberfonctionnement de l'API Security Lake.

  • Pour conserver l'abonné mais arrêter de lui envoyer des notifications à l'avenir, utilisez le DeleteSubscriberNotificationfonctionnement de l'API Security Lake.

AWS CLI

Selon votre scénario, effectuez l'une des opérations suivantes à l'aide du AWS Command Line Interface (AWS CLI) :

  • Pour supprimer l'abonné et tous les paramètres de notification associés, exécutez la commande delete-subscriber.

  • Pour conserver l'abonné mais arrêter les notifications futures à l'abonné, exécutez la delete-subscriber-notificationcommande.