Gestion de l'accès aux requêtes pour les abonnés de Security Lake - Amazon Security Lake
Prérequis pour la création d'un utilisateur avec accès par requêteCréation d'un abonné avec accès aux requêtes dans Security LakeConfiguration d'un partage de table entre comptes (utilisateur)

Amazon Security Lake est en version préliminaire. Votre utilisation de la version préliminaire d'Amazon Security Lake est soumise à la section 2 des Conditions de AWS service (« Bêtas et versions préliminaires »).

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion de l'accès aux requêtes pour les abonnés de Security Lake

Les abonnés disposant d'un accès aux requêtes peuvent interroger les données collectées par Security Lake. Ces abonnés interrogent directement AWS Lake Formation les tables de votre compartiment S3 avec des services tels qu'Amazon Athena. Bien que le principal moteur de requêtes de Security Lake soit Athena, vous pouvez également utiliser d'autres services, tels qu'Amazon Redshift Spectrum et Spark SQL, qui s'intègrent au. AWS Glue Data Catalog

Note

Cette section explique comment accorder l'accès aux requêtes à un abonné tiers. Pour plus d'informations sur l'exécution de requêtes sur votre propre lac de données, reportez-vous à la sectionÉtape 7 : Afficher et interroger vos propres données.

Prérequis pour la création d'un utilisateur avec accès par requête

Vous devez remplir les conditions préalables suivantes avant de créer un utilisateur avec accès aux données dans Security Lake.

1. Création d'un rôle IAM pour interroger les données de Security Lake

Pour accorder l'accès aux requêtes à un abonné, vous devez créer un rôle nomméAmazonSecurityLakeMetaStoreManager. Security Lake utilise ce rôle pour enregistrer des AWS Glue partitions et mettre à jour AWS Glue des tables. Vous avez peut-être déjà créé ce rôle lors de votre intégration à Security Lake.

Note

Security Lake crée ce rôle IAM ou utilise un rôle existant en votre nom lorsque vous utilisez la console Security Lake. Toutefois, vous devez créer ce rôle lorsque vous utilisez l'API Security Lake ouAWS CLI.

2. Vérifier les autorisations

Avant de créer un abonné avec accès aux requêtes, vérifiez que vous êtes autorisé à effectuer les actions suivantes :

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

Pour vérifier vos autorisations, utilisez IAM pour consulter les politiques IAM associées à votre identité IAM. Comparez ensuite les informations contenues dans ces politiques à la liste suivante d'actions que vous devez être autorisé à effectuer pour créer un abonné avec accès aux requêtes.

3. Autorisations d'administrateur de la formation de Grant Lake

Vous devez également ajouter des autorisations d'administrateur de Lake Formation au rôle IAM que vous utilisez pour accéder à la console Security Lake et ajouter des abonnés.

Vous pouvez accorder les autorisations d'administrateur de Lake Formation à votre rôle en procédant comme suit :

  1. Ouvrez la console Lake Formation à l'adresse https://console.aws.amazon.com/lakeformation/.

  2. Connexion en tant qu'utilisateur administratif.

  3. Si une fenêtre Welcome to Lake Formation s'affiche, choisissez l'utilisateur que vous avez créé ou sélectionné à l'étape 1, puis choisissez Commencer.

  4. Si la fenêtre Welcome to Lake Formation ne s'affiche pas, effectuez les étapes suivantes pour configurer un administrateur de Lake Formation.

    1. Dans le volet de navigation, sous Autorisations, choisissez Rôles et tâches d'administration. Dans la section Administrateurs du lac de données, sélectionnez Choisir les administrateurs.

    2. Dans la boîte de dialogue Gérer les administrateurs du lac de données, pour les utilisateurs et les rôles IAM, choisissez le rôle d'administrateur utilisé lors de l'accès à la console Security Lake, puis choisissez Enregistrer.

Pour plus d'informations sur la modification des autorisations des administrateurs de lac de données, consultez la section Créer un administrateur de lac de données dans le Guide du AWS Lake Formation développeur.

Le rôle IAM doit disposer de SELECT privilèges sur la base de données et les tables auxquelles vous souhaitez accorder l'accès à un abonné. Pour obtenir des instructions sur la procédure à suivre, consultez la section Octroi d'autorisations pour le catalogue de données à l'aide de la méthode de ressource nommée dans le Guide du AWS Lake Formation développeur.

Création d'un abonné avec accès aux requêtes dans Security Lake

Après avoir accordé les autorisations Lake Formation à votre rôle IAM, choisissez votre méthode préférée pour créer un abonné avec un accès aux requêtes dans la version actuelleRégion AWS. Un abonné peut demander des données uniquement à partir de Région AWS celles dans lesquelles elles ont été créées. Pour créer un abonné, vous devez disposer de l'Compte AWSidentifiant et de l'identifiant externe de l'abonné. L'ID externe est un identifiant unique que l'utilisateur vous fournit. Pour plus d'informations sur les ID externes, consultez Procédure d'utilisation d'un ID externe lorsque vous accordez l'accès à vos AWS ressources à un tiers dans le Guide de l'utilisateur IAM.

Note

Security Lake ne prend pas en charge la version 1 du partage de comptes Lake Formation Cross. Vous devez mettre à jour le partage de comptes Lake Formation Cross vers la version 2 ou la version 3. Pour savoir comment mettre à jour les paramètres de version de Cross Account via la AWS Lake Formation console ou l'AWSinterface de ligne de commande, voir Pour activer la nouvelle version dans le Guide du AWS Lake Formation développeur.

Console

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Dans le panneau de navigation, choisissez Abonnés.

  3. Dans l'onglet Ajouter des abonnés, choisissez Créer un abonné personnalisé.

  4. Pour les détails de l'abonné, entrez le nom de l'abonné et sa description (facultative).

  5. Pour les sources de journaux et d'événements, choisissez les sources que vous souhaitez que Security Lake inclue lors du renvoi des résultats de requête.

  6. Pour la méthode d'accès aux données, choisissez Lakeformation pour créer un accès aux requêtes pour l'abonné.

  7. Pour les informations d'identification de l'abonné, fournissez l'Compte AWSID de l'abonné et l'ID externe.

  8. Sélectionnez Create (Créer).

API

  1. Exécutez CreateSubscriber.

  2. Indiquez l'Compte AWSID de l'abonné, l'ID externe et l'ARN du rôle IAM que vous avez créé pour envoyer des notifications d'objets.

  3. Renseignez SourceTypes les sources que vous souhaitez que Security Lake inclue lors du renvoi des résultats de requête.

  4. PouraccessTypes, indiquez LakeFormation de créer un abonné avec accès aux requêtes.

AWS CLI

  1. Exécutez la create-subscriber commande pour créer un abonné.

  2. Fournissez l'Compte AWSID de l'abonné, l'ID externe et l'ARN du rôle IAM que vous avez créé pour envoyer des notifications d'objets.

  3. Renseignez source-types les sources que vous souhaitez que Security Lake inclue lors du renvoi des résultats de requête.

  4. Pouraccess-types, indiquez lake-formation de créer un abonné avec accès aux requêtes.

    
aws securitylake create-subscriber --account-id account ID --external-id external ID --subscriber-name subscriber name --source-types source types --access-types access types

Configuration d'un partage de table entre comptes (utilisateur)

Security Lake utilise le partage de tables entre comptes Lake Formation pour faciliter l'accès aux requêtes des abonnés. Lorsque vous créez un abonné avec un accès aux requêtes dans la console ou l'API Security LakeAWS CLI, ou que Security Lake partage des informations sur les tables Lake Formation pertinentes avec l'abonné en créant un partage de ressources dans AWS Resource Access Manager (AWS RAM).

L'abonné doit suivre ces étapes pour utiliser les données figurant dans vos tables Lake Formation :

  1. Accepter le partage de ressources : l'abonné doit accepter le partage de ressources avec l'AWS RAMAPI. Les abonnés peuvent obtenir les détails du partage de ressources grâce à l'GetResourceShareInvitationsAPI et accepter l'invitation AcceptResourceShareInvitationvia l'API.

    Note

    L'invitation au partage de ressources expire dans 12 heures. Vous devez donc valider et accepter l'invitation dans les 12 heures. Une fois l'invitation expirée, vous continuerez à la voir en PENDING l'état, mais si vous l'acceptez, vous n'aurez pas accès aux ressources partagées. Nous vous recommandons de supprimer l'abonné de Lake Formation et de le recréer pour obtenir une nouvelle invitation de partage de ressources.

  2. Créer une table de liens de ressources : l'abonné doit créer une table de liens de ressources AWS Glue dans son compte pour pointer vers la ressource partagée. Ils peuvent le faire avec l'AWS GlueCreateTableAPI. Security Lake recommande aux abonnés de créer également une base de données unique avec l'CreateDatabaseAPI pour stocker les tables de liens vers les ressources.

  3. Interrogez la table des liens vers les ressources : des services tels qu'Amazon Athena peuvent faire directement référence à la table, et les nouvelles données collectées par Security Lake peuvent être automatiquement consultées. Les requêtes sont exécutées par l'abonné et Compte AWS les coûts engendrés par les requêtes sont facturés à l'abonné. Vous serez en mesure de contrôler l'accès en lecture aux ressources depuis votre propre compte Security Lake.

Pour plus d'informations sur l'octroi d'autorisations entre comptes, consultez la section Partage de données entre comptes dans Lake Formation dans le Guide du AWS Lake Formationdéveloppeur.