Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion de l'accès aux requêtes pour les abonnés de Security Lake
Les abonnés disposant d'un accès aux requêtes peuvent interroger les données collectées par Security Lake. Ces abonnés interrogent directement AWS Lake Formation les tables de votre compartiment S3 à l'aide de services tels qu'Amazon Athena. Bien que le moteur de requête principal de Security Lake soit Athena, vous pouvez également utiliser d'autres services, tels qu'Amazon Redshift Spectrum et Spark SQL, qui s'intègrent au. AWS Glue Data Catalog
Note
Cette section explique comment accorder l'accès aux requêtes à un abonné tiers. Pour plus d'informations sur l'exécution de requêtes sur votre propre lac de données, consultezÉtape 4 : Afficher et interroger vos propres données.
Conditions préalables à la création d'un abonné avec accès aux requêtes
Vous devez remplir les conditions préalables suivantes avant de pouvoir créer un abonné ayant accès aux données dans Security Lake.
Rubriques
Vérifier les autorisations
Avant de créer un abonné avec accès aux requêtes, vérifiez que vous êtes autorisé à effectuer la liste d'actions suivante.
Pour vérifier vos autorisations, utilisez IAM pour passer en revue les politiques IAM associées à votre identité IAM. Comparez ensuite les informations contenues dans ces politiques à la liste suivante des actions que vous devez être autorisé à effectuer pour créer un abonné avec accès aux requêtes.
-
iam:CreateRole
-
iam:DeleteRolePolicy
-
iam:GetRole
-
iam:PutRolePolicy
-
lakeformation:GrantPermissions
-
lakeformation:ListPermissions
-
lakeformation:RegisterResource
-
lakeformation:RevokePermissions
-
ram:GetResourceShareAssociations
-
ram:GetResourceShares
-
ram:UpdateResourceShare
Important
Après avoir vérifié les autorisations :
Si vous prévoyez d'utiliser la console Security Lake pour ajouter un abonné ayant accès aux requêtes, vous pouvez ignorer l'étape suivante et passer àAutorisations d'administrateur de Grant Lake Formation. Security Lake crée tous les rôles IAM nécessaires ou utilise les rôles existants en votre nom.
Si vous prévoyez d'utiliser l'API ou la CLI de Security Lake pour ajouter un abonné ayant accès aux requêtes, passez à l'étape suivante qui consiste à créer un rôle IAM pour interroger les données de Security Lake.
Créer un rôle IAM pour interroger les données de Security Lake (API et étape AWS CLI uniquement)
Lorsque vous utilisez l'API Security Lake ou AWS CLI pour accorder l'accès aux requêtes à un abonné, vous devez créer un rôle nomméAmazonSecurityLakeMetaStoreManager
. Security Lake utilise ce rôle pour enregistrer les AWS Glue partitions et mettre à jour AWS Glue les tables. Vous avez peut-être déjà créé ce rôle lors de la création des rôles IAM nécessaires.
Autorisations d'administrateur de Grant Lake Formation
Vous devez également ajouter des autorisations d'administrateur de Lake Formation au rôle IAM que vous utilisez pour accéder à la console Security Lake et ajouter des abonnés.
Vous pouvez accorder des autorisations d'administrateur à Lake Formation pour accéder à votre rôle en suivant ces étapes :
Ouvrez la console Lake Formation à l’adresse https://console.aws.amazon.com/lakeformation/
. -
Connectez-vous en tant qu'utilisateur administratif.
-
Si une fenêtre Welcome to Lake Formation apparaît, choisissez l'utilisateur que vous avez créé ou sélectionné à l'étape 1, puis choisissez Get started.
-
Si la fenêtre Welcome to Lake Formation ne s'affiche pas, effectuez les étapes suivantes pour configurer un administrateur de Lake Formation.
-
Dans le volet de navigation, sous Autorisations, sélectionnez Rôles et tâches administratifs. Dans la section Administrateurs du lac de données, choisissez Choisir les administrateurs.
-
Dans la boîte de dialogue Gérer les administrateurs de lacs de données, pour les utilisateurs et les rôles IAM, choisissez le rôle d'administrateur utilisé lors de l'accès à la console Security Lake, puis sélectionnez Enregistrer.
-
Pour plus d'informations sur la modification des autorisations pour les administrateurs de lacs de données, voir Création d'un administrateur de lac de données dans le guide du AWS Lake Formation développeur.
Le rôle IAM doit disposer de SELECT
privilèges sur la base de données et les tables auxquelles vous souhaitez accorder l'accès à un abonné. Pour savoir comment procéder, consultez la section Octroi d'autorisations au catalogue de données à l'aide de la méthode des ressources nommées dans le guide du AWS Lake Formation développeur.
Création d'un abonné avec accès aux requêtes
Choisissez votre méthode préférée pour créer un abonné avec accès aux requêtes en cours Région AWS. Un abonné ne peut interroger des données qu'à partir du Région AWS fichier dans lequel elles ont été créées. Pour créer un abonné, vous devez disposer de l' Compte AWS identifiant et de l'identifiant externe de l'abonné. L'identifiant externe est un identifiant unique que l'abonné vous fournit. Pour plus d'informations sur les identifiants externes, consultez la section Comment utiliser un identifiant externe lorsque vous accordez l'accès à vos AWS ressources à un tiers dans le guide de l'utilisateur IAM.
Note
Security Lake ne prend pas en charge le partage de données entre comptes Lake Formation version 1. Vous devez mettre à jour le partage de données entre comptes de Lake Formation vers la version 2 ou la version 3. Pour connaître les étapes de mise à jour des paramètres de version entre comptes via la AWS Lake Formation console ou la AWS CLI, voir Pour activer la nouvelle version dans le guide du AWS Lake Formation développeur.
Configuration du partage de tables entre comptes (étape réservée aux abonnés)
Security Lake utilise le partage de tables entre comptes de Lake Formation pour faciliter l'accès aux requêtes des abonnés. Lorsque vous créez un abonné doté d'un accès aux requêtes dans la console, l'API ou l'API de Security Lake AWS CLI, Security Lake partage des informations sur les tables Lake Formation pertinentes avec l'abonné en créant un partage de ressources dans AWS Resource Access Manager (AWS RAM).
Lorsque vous apportez certains types de modifications à un abonné ayant accès aux requêtes, Security Lake crée un nouveau partage de ressources. Pour plus d’informations, consultez Modification d'un abonné avec accès aux requêtes.
L'abonné doit suivre les étapes suivantes pour utiliser les données de vos tables de Lake Formation :
-
Accepter le partage de ressources — L'abonné doit accepter le partage de ressources qui contient le
resourceShareArn
etresourceShareName
qui est généré lorsque vous créez ou modifiez l'abonné. Choisissez l'une des méthodes d'accès suivantes :Pour la console et AWS CLI, voir Accepter une invitation de partage de ressources depuis AWS RAM.
-
Pour l'API, invoquez l'GetResourceShareInvitationsAPI. Filtrez par
resourceShareArn
etresourceShareName
pour trouver le partage de ressources approprié. Acceptez l'invitation avec l'AcceptResourceShareInvitationAPI.
L'invitation au partage de ressources expire dans 12 heures. Vous devez donc valider et accepter l'invitation dans les 12 heures. Si l'invitation expire, vous continuez à la voir dans son
PENDING
état actuel, mais l'accepter ne vous donnera pas accès aux ressources partagées. Lorsque plus de 12 heures se sont écoulées, supprimez l'abonné de Lake Formation et recréez-le pour recevoir une nouvelle invitation à partager des ressources. -
Créer un lien de ressource vers des tables partagées — L'abonné doit créer un lien de ressource vers les tables partagées de Lake Formation dans AWS Lake Formation (s'il utilise la console) ou AWS Glue (s'il utilise API/AWS CLI). Ce lien de ressource pointe le compte de l'abonné vers les tables partagées. Choisissez l'une des méthodes d'accès suivantes :
-
Pour la console et AWS CLI, voir Création d'un lien de ressource vers une table de catalogue de données partagée dans le manuel du AWS Lake Formation développeur.
-
Pour l'API, invoquez l' AWS Glue CreateTableAPI. Nous recommandons aux abonnés de créer également une base de données unique avec l'CreateDatabaseAPI pour stocker les tables de liens vers les ressources.
-
-
Interrogez les tables partagées : des services tels qu'Amazon Athena peuvent se référer directement aux tables, et les nouvelles données collectées par Security Lake sont automatiquement disponibles pour être consultées. Les requêtes sont exécutées chez l'abonné Compte AWS, et les frais liés aux requêtes sont facturés à l'abonné. Vous pouvez contrôler l'accès en lecture aux ressources dans votre propre compte Security Lake.
Pour plus d'informations sur l'octroi d'autorisations entre comptes, consultez la section Partage de données entre comptes dans Lake Formation dans le guide du AWS Lake Formation développeur.
Modification d'un abonné avec accès aux requêtes
Security Lake permet d'apporter des modifications à un abonné ayant accès aux requêtes. Vous pouvez modifier le nom, la description, l'identifiant externe, le principal (Compte AWS ID) de l'abonné et les sources de journal que l'abonné est en mesure de consommer. Choisissez votre méthode préférée et suivez les étapes pour modifier un abonné ayant actuellement accès aux requêtes Région AWS.
Note
Security Lake ne prend pas en charge le partage de données entre comptes Lake Formation version 1. Vous devez mettre à jour le partage de données entre comptes de Lake Formation vers la version 2 ou la version 3. Pour connaître les étapes de mise à jour des paramètres de version entre comptes via la AWS Lake Formation console ou la AWS CLI, voir Pour activer la nouvelle version dans le guide du AWS Lake Formation développeur.