Gestion de l'accès aux requêtes pour les abonnés de Security Lake

Les abonnés disposant d'un accès aux requêtes peuvent interroger les données collectées par Security Lake. Ces abonnés interrogent directement AWS Lake Formation les tables de votre compartiment S3 à l'aide de services tels qu'Amazon Athena. Bien que le moteur de requête principal de Security Lake soit Athena, vous pouvez également utiliser d'autres services, tels qu'Amazon Redshift Spectrum et Spark SQL, qui s'intègrent au. AWS Glue Data Catalog

Note

Cette section explique comment accorder l'accès aux requêtes à un abonné tiers. Pour plus d'informations sur l'exécution de requêtes sur votre propre lac de données, consultezÉtape 4 : Afficher et interroger vos propres données.

Conditions préalables à la création d'un abonné avec accès aux requêtes

Vous devez remplir les conditions préalables suivantes avant de pouvoir créer un abonné ayant accès aux données dans Security Lake.

Vérifier les autorisations

Avant de créer un abonné avec accès aux requêtes, vérifiez que vous êtes autorisé à effectuer la liste d'actions suivante.

Pour vérifier vos autorisations, utilisez IAM pour passer en revue les politiques IAM associées à votre identité IAM. Comparez ensuite les informations contenues dans ces politiques à la liste suivante des actions que vous devez être autorisé à effectuer pour créer un abonné avec accès aux requêtes.

• iam:CreateRole

• iam:DeleteRolePolicy

• iam:GetRole

• iam:PutRolePolicy

• lakeformation:GrantPermissions

• lakeformation:ListPermissions

• lakeformation:RegisterResource

• lakeformation:RevokePermissions

• ram:GetResourceShareAssociations

• ram:GetResourceShares

• ram:UpdateResourceShare

Important

Après avoir vérifié les autorisations :

• Si vous prévoyez d'utiliser la console Security Lake pour ajouter un abonné ayant accès aux requêtes, vous pouvez ignorer l'étape suivante et passer àAutorisations d'administrateur de Grant Lake Formation. Security Lake crée tous les rôles IAM nécessaires ou utilise les rôles existants en votre nom.

• Si vous prévoyez d'utiliser l'API ou la CLI de Security Lake pour ajouter un abonné ayant accès aux requêtes, passez à l'étape suivante qui consiste à créer un rôle IAM pour interroger les données de Security Lake.

Créer un rôle IAM pour interroger les données de Security Lake (API et étape AWS CLI uniquement)

Lorsque vous utilisez l'API Security Lake ou AWS CLI pour accorder l'accès aux requêtes à un abonné, vous devez créer un rôle nomméAmazonSecurityLakeMetaStoreManager. Security Lake utilise ce rôle pour enregistrer les AWS Glue partitions et mettre à jour AWS Glue les tables. Vous avez peut-être déjà créé ce rôle lors de la création des rôles IAM nécessaires.

Autorisations d'administrateur de Grant Lake Formation

Vous devez également ajouter des autorisations d'administrateur de Lake Formation au rôle IAM que vous utilisez pour accéder à la console Security Lake et ajouter des abonnés.

Vous pouvez accorder des autorisations d'administrateur à Lake Formation pour accéder à votre rôle en suivant ces étapes :

1. Ouvrez la console Lake Formation à l’adresse https://console.aws.amazon.com/lakeformation/.

2. Connectez-vous en tant qu'utilisateur administratif.

3. Si une fenêtre Welcome to Lake Formation apparaît, choisissez l'utilisateur que vous avez créé ou sélectionné à l'étape 1, puis choisissez Get started.

4. Si la fenêtre Welcome to Lake Formation ne s'affiche pas, effectuez les étapes suivantes pour configurer un administrateur de Lake Formation.

   1. Dans le volet de navigation, sous Autorisations, sélectionnez Rôles et tâches administratifs. Dans la section Administrateurs du lac de données, choisissez Choisir les administrateurs.

   2. Dans la boîte de dialogue Gérer les administrateurs de lacs de données, pour les utilisateurs et les rôles IAM, choisissez le rôle d'administrateur utilisé lors de l'accès à la console Security Lake, puis sélectionnez Enregistrer.

Pour plus d'informations sur la modification des autorisations pour les administrateurs de lacs de données, voir Création d'un administrateur de lac de données dans le guide du AWS Lake Formation développeur.

Le rôle IAM doit disposer de SELECT privilèges sur la base de données et les tables auxquelles vous souhaitez accorder l'accès à un abonné. Pour savoir comment procéder, consultez la section Octroi d'autorisations au catalogue de données à l'aide de la méthode des ressources nommées dans le guide du AWS Lake Formation développeur.

Création d'un abonné avec accès aux requêtes

Choisissez votre méthode préférée pour créer un abonné avec accès aux requêtes en cours Région AWS. Un abonné ne peut interroger des données qu'à partir du Région AWS fichier dans lequel elles ont été créées. Pour créer un abonné, vous devez disposer de l' Compte AWS identifiant et de l'identifiant externe de l'abonné. L'identifiant externe est un identifiant unique que l'abonné vous fournit. Pour plus d'informations sur les identifiants externes, consultez la section Comment utiliser un identifiant externe lorsque vous accordez l'accès à vos AWS ressources à un tiers dans le guide de l'utilisateur IAM.

Note

Security Lake ne prend pas en charge le partage de données entre comptes Lake Formation version 1. Vous devez mettre à jour le partage de données entre comptes de Lake Formation vers la version 2 ou la version 3. Pour connaître les étapes de mise à jour des paramètres de version entre comptes via la AWS Lake Formation console ou la AWS CLI, voir Pour activer la nouvelle version dans le guide du AWS Lake Formation développeur.

Console

1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

   Connectez-vous au compte d'administrateur délégué.

2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez créer l'abonné.

3. Dans le volet de navigation, choisissez Subscribers.

4. Sur la page Abonnés, choisissez Créer un abonné.

5. Pour les détails de l'abonné, entrez un nom d'abonné et une description facultative.

   La région est automatiquement renseignée comme vous l'avez actuellement sélectionnée Région AWS et ne peut pas être modifiée.

6. Pour les sources de journaux et d'événements, choisissez les sources que Security Lake doit inclure lors du renvoi des résultats de requête.

7. Pour la méthode d'accès aux données, choisissez Lake Formation pour créer un accès aux requêtes pour l'abonné.

8. Pour les informations d'identification de l'abonné, fournissez l' Compte AWS identifiant de l'abonné et l'identifiant externe.

9. (Facultatif) Pour Tags, entrez jusqu'à 50 tags à attribuer à l'abonné.

   Un tag est un label que vous pouvez définir et attribuer à certains types de AWS ressources. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Les balises peuvent vous aider à identifier, à classer et à gérer les ressources de différentes manières. Pour en savoir plus, veuillez consulter la section Marquage des ressources d'Amazon Security Lake.

10. Choisissez Créer.

API

Pour créer un abonné avec accès aux requêtes par programmation, utilisez le CreateSubscriberfonctionnement de l'API Security Lake. Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la commande create-subscriber.

Dans votre demande, utilisez ces paramètres pour définir les paramètres suivants pour l'abonné :

• Pour accessTypes, spécifiez LAKEFORMATION.

• Poursources, spécifiez chaque source que vous souhaitez que Security Lake inclue lors du renvoi des résultats de requête.

• PoursubscriberIdentity, spécifiez l' AWS identité et l'ID externe que l'abonné utilise pour interroger les données source.

L'exemple suivant crée un abonné avec un accès aux requêtes dans la AWS région actuelle pour l'identité d'abonné spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{awsLogSource: {sourceName: VPC_FLOW, sourceVersion: 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

Configuration du partage de tables entre comptes (étape réservée aux abonnés)

Security Lake utilise le partage de tables entre comptes de Lake Formation pour faciliter l'accès aux requêtes des abonnés. Lorsque vous créez un abonné doté d'un accès aux requêtes dans la console, l'API ou l'API de Security Lake AWS CLI, Security Lake partage des informations sur les tables Lake Formation pertinentes avec l'abonné en créant un partage de ressources dans AWS Resource Access Manager (AWS RAM).

Lorsque vous apportez certains types de modifications à un abonné ayant accès aux requêtes, Security Lake crée un nouveau partage de ressources. Pour plus d’informations, consultez Modification d'un abonné avec accès aux requêtes.

L'abonné doit suivre les étapes suivantes pour utiliser les données de vos tables de Lake Formation :

1. Accepter le partage de ressources — L'abonné doit accepter le partage de ressources qui contient le resourceShareArn et resourceShareName qui est généré lorsque vous créez ou modifiez l'abonné. Choisissez l'une des méthodes d'accès suivantes :

   • Pour la console et AWS CLI, voir Accepter une invitation de partage de ressources depuis AWS RAM.

   • Pour l'API, invoquez l'GetResourceShareInvitationsAPI. Filtrez par resourceShareArn et resourceShareName pour trouver le partage de ressources approprié. Acceptez l'invitation avec l'AcceptResourceShareInvitationAPI.

   L'invitation au partage de ressources expire dans 12 heures. Vous devez donc valider et accepter l'invitation dans les 12 heures. Si l'invitation expire, vous continuez à la voir dans son PENDING état actuel, mais l'accepter ne vous donnera pas accès aux ressources partagées. Lorsque plus de 12 heures se sont écoulées, supprimez l'abonné de Lake Formation et recréez-le pour recevoir une nouvelle invitation à partager des ressources.

2. Créer un lien de ressource vers des tables partagées — L'abonné doit créer un lien de ressource vers les tables partagées de Lake Formation dans AWS Lake Formation (s'il utilise la console) ou AWS Glue (s'il utilise API/AWS CLI). Ce lien de ressource pointe le compte de l'abonné vers les tables partagées. Choisissez l'une des méthodes d'accès suivantes :

   • Pour la console et AWS CLI, voir Création d'un lien de ressource vers une table de catalogue de données partagée dans le manuel du AWS Lake Formation développeur.

   • Pour l'API, invoquez l' AWS Glue CreateTableAPI. Nous recommandons aux abonnés de créer également une base de données unique avec l'CreateDatabaseAPI pour stocker les tables de liens vers les ressources.

3. Interrogez les tables partagées : des services tels qu'Amazon Athena peuvent se référer directement aux tables, et les nouvelles données collectées par Security Lake sont automatiquement disponibles pour être consultées. Les requêtes sont exécutées chez l'abonné Compte AWS, et les frais liés aux requêtes sont facturés à l'abonné. Vous pouvez contrôler l'accès en lecture aux ressources dans votre propre compte Security Lake.

Pour plus d'informations sur l'octroi d'autorisations entre comptes, consultez la section Partage de données entre comptes dans Lake Formation dans le guide du AWS Lake Formation développeur.

Modification d'un abonné avec accès aux requêtes

Security Lake permet d'apporter des modifications à un abonné ayant accès aux requêtes. Vous pouvez modifier le nom, la description, l'identifiant externe, le principal (Compte AWS ID) de l'abonné et les sources de journal que l'abonné est en mesure de consommer. Choisissez votre méthode préférée et suivez les étapes pour modifier un abonné ayant actuellement accès aux requêtes Région AWS.

Note

Security Lake ne prend pas en charge le partage de données entre comptes Lake Formation version 1. Vous devez mettre à jour le partage de données entre comptes de Lake Formation vers la version 2 ou la version 3. Pour connaître les étapes de mise à jour des paramètres de version entre comptes via la AWS Lake Formation console ou la AWS CLI, voir Pour activer la nouvelle version dans le guide du AWS Lake Formation développeur.

Console

En fonction des informations que vous souhaitez modifier, suivez les étapes indiquées pour cette action uniquement.

Pour modifier le nom de l'abonné

1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

   Connectez-vous au compte d'administrateur délégué.

2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez modifier les informations de l'abonné.

3. Dans le volet de navigation, choisissez Subscribers.

4. Sur la page Abonnés, utilisez le bouton radio pour sélectionner l'abonné que vous souhaitez modifier. La méthode d'accès aux données pour l'abonné sélectionné doit être LAKEFORMATION.

5. Choisissez Modifier.

6. Entrez le nouveau nom d'abonné, puis choisissez Enregistrer.

Pour modifier la description de l'abonné

1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

   Connectez-vous au compte d'administrateur délégué.

2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez modifier l'abonné.

3. Dans le volet de navigation, choisissez Subscribers.

4. Sur la page Abonnés, utilisez le bouton radio pour sélectionner l'abonné que vous souhaitez modifier. La méthode d'accès aux données pour l'abonné sélectionné doit être LAKEFORMATION.

5. Choisissez Modifier.

6. Entrez la nouvelle description de l'abonné, puis choisissez Enregistrer.

Pour modifier l'ID externe

1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

   Connectez-vous au compte d'administrateur délégué.

2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez modifier les informations de l'abonné.

3. Dans le volet de navigation, choisissez Subscribers.

4. Sur la page Abonnés, utilisez le bouton radio pour sélectionner l'abonné que vous souhaitez modifier. La méthode d'accès aux données pour l'abonné sélectionné doit être LAKEFORMATION.

5. Choisissez Modifier.

6. Entrez le nouvel ID externe fourni par l'abonné, puis choisissez Enregistrer.

   L'enregistrement du nouvel ID externe supprime automatiquement le partage de AWS RAM ressources précédent et crée un nouveau partage de ressources pour l'abonné.

7. L'abonné doit accepter le nouveau partage de ressources en suivant l'étape 1 dansConfiguration du partage de tables entre comptes (étape réservée aux abonnés). Assurez-vous que le nom Amazon Resource (ARN) qui apparaît dans les informations de l'abonné est le même que dans la console Lake Formation. Le lien de ressource vers les tables partagées reste tel quel, de sorte que l'abonné n'a pas à créer un nouveau lien de ressource.

Pour modifier le principal (Compte AWS ID)

1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

   Connectez-vous au compte d'administrateur délégué.

2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez modifier les informations de l'abonné.

3. Dans le volet de navigation, choisissez Subscribers.

4. Sur la page Abonnés, utilisez le bouton radio pour sélectionner l'abonné que vous souhaitez modifier. La méthode d'accès aux données pour l'abonné sélectionné doit être LAKEFORMATION.

5. Choisissez Modifier.

6. Entrez le nouvel Compte AWS identifiant de l'abonné, puis choisissez Enregistrer.

   L'enregistrement du nouvel identifiant de compte supprime automatiquement le partage de AWS RAM ressources précédent afin que l'ancien principal ne puisse pas utiliser le journal et les sources d'événements. Security Lake crée un nouveau partage de ressources.

7. À l'aide des informations d'identification du nouveau principal, l'abonné doit accepter le nouveau partage de ressources et créer un lien de ressource vers les tables partagées. Cela donne au nouveau principal accès aux ressources partagées. Pour obtenir des instructions, reportez-vous aux étapes 1 et 2 deConfiguration du partage de tables entre comptes (étape réservée aux abonnés). Assurez-vous que l'ARN qui apparaît dans les informations de l'abonné est le même que dans la console Lake Formation.

Pour modifier les sources du journal et des événements

1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

   Connectez-vous au compte d'administrateur délégué.

2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez modifier les informations de l'abonné.

3. Dans le volet de navigation, choisissez Subscribers.

4. Sur la page Abonnés, utilisez le bouton radio pour sélectionner l'abonné que vous souhaitez modifier. La méthode d'accès aux données pour l'abonné sélectionné doit être LAKEFORMATION.

5. Choisissez Modifier.

6. Désélectionnez les sources existantes ou sélectionnez les sources que vous souhaitez ajouter. Si vous désélectionnez une source, aucune autre action n'est requise de votre part. Si vous choisissez d'ajouter une source, aucune nouvelle invitation de partage de ressources n'est créée. Toutefois, Security Lake met à jour les tables partagées de Lake Formation en fonction des sources ajoutées. L'abonné doit créer un lien de ressource vers les tables partagées mises à jour afin de pouvoir interroger les données sources. Pour obtenir des instructions, reportez-vous à l'étape 2 deConfiguration du partage de tables entre comptes (étape réservée aux abonnés).

7. Choisissez Enregistrer.

API

Pour modifier un abonné ayant accès aux requêtes par programmation, utilisez le UpdateSubscriberfonctionnement de l'API Security Lake. Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la commande update-subscriber. Dans votre demande, utilisez les paramètres pris en charge pour définir les paramètres suivants pour l'abonné :

• PoursubscriberName, spécifiez le nouveau nom d'abonné.

• PoursubscriberDescription, spécifiez la nouvelle description.

• PoursubscriberIdentity, spécifiez l'identifiant principal (Compte AWS ID) et l'identifiant externe que l'abonné utilisera pour interroger les données source. Vous devez fournir à la fois l'identifiant principal et l'identifiant externe. Si vous souhaitez conserver l'une de ces valeurs, transmettez la valeur actuelle.

  • Mettre à jour uniquement l'ID externe : cette action supprime le partage de AWS RAM ressources précédent et crée un nouveau partage de ressources pour l'abonné. L'abonné doit accepter le nouveau partage de ressources en suivant l'étape 1 dansConfiguration du partage de tables entre comptes (étape réservée aux abonnés). Le lien de ressource vers les tables partagées reste tel quel, de sorte que l'abonné n'a pas à créer un nouveau lien de ressource.

  • Mettre à jour le principal uniquement : cette action supprime le partage de AWS RAM ressources précédent afin que le principal précédent ne puisse pas consommer le journal et les sources d'événements. Security Lake crée un nouveau partage de ressources. À l'aide des informations d'identification du nouveau principal, l'abonné doit accepter le nouveau partage de ressources et créer un lien de ressource vers les tables partagées. Cela donne au nouveau principal accès aux ressources partagées. Pour obtenir des instructions, reportez-vous aux étapes 1 et 2 deConfiguration du partage de tables entre comptes (étape réservée aux abonnés).

  Pour mettre à jour l'ID externe et le principal, suivez les étapes 1 et 2 de la sectionConfiguration du partage de tables entre comptes (étape réservée aux abonnés).

• Poursources, supprimez les sources existantes ou spécifiez les sources que vous souhaitez ajouter. Si vous supprimez une source, aucune autre action n'est requise de votre part. Si vous ajoutez une source, aucune nouvelle invitation de partage de ressources n'est créée. Toutefois, Security Lake met à jour les tables partagées de Lake Formation en fonction des sources ajoutées. L'abonné doit créer un lien de ressource vers les tables partagées mises à jour afin de pouvoir interroger les données sources. Pour obtenir des instructions, reportez-vous à l'étape 2 deConfiguration du partage de tables entre comptes (étape réservée aux abonnés).