Mengelola akses kueri untuk pelanggan Security Lake

Pelanggan dengan akses kueri dapat meminta data yang dikumpulkan Security Lake. Pelanggan ini langsung menanyakan AWS Lake Formation tabel di bucket S3 Anda dengan layanan seperti Amazon Athena. Meskipun mesin kueri utama untuk Security Lake adalah Athena, Anda juga dapat menggunakan layanan lain, seperti Amazon Redshift Spectrum dan Spark SQL, yang terintegrasi dengan file. AWS Glue Data Catalog

catatan

Bagian ini menjelaskan cara memberikan akses kueri ke pelanggan pihak ketiga. Untuk informasi tentang menjalankan kueri terhadap data lake Anda sendiri, lihatLangkah 4: Lihat dan kueri data Anda sendiri.

Prasyarat untuk membuat pelanggan dengan akses kueri

Anda harus menyelesaikan prasyarat berikut sebelum Anda dapat membuat pelanggan dengan akses data di Security Lake.

Memverifikasi izin

Sebelum membuat pelanggan dengan akses kueri, verifikasi bahwa Anda memiliki izin untuk melakukan daftar tindakan berikut.

Untuk memverifikasi izin Anda, gunakan IAM untuk meninjau kebijakan IAM yang dilampirkan pada identitas IAM Anda. Kemudian, bandingkan informasi dalam kebijakan tersebut dengan daftar tindakan berikut yang harus Anda lakukan untuk membuat pelanggan dengan akses kueri.

• iam:CreateRole

• iam:DeleteRolePolicy

• iam:GetRole

• iam:PutRolePolicy

• lakeformation:GrantPermissions

• lakeformation:ListPermissions

• lakeformation:RegisterResource

• lakeformation:RevokePermissions

• ram:GetResourceShareAssociations

• ram:GetResourceShares

• ram:UpdateResourceShare

penting

Setelah Anda memverifikasi izin:

• Jika Anda berencana untuk menggunakan konsol Security Lake untuk menambahkan pelanggan dengan akses kueri, Anda dapat melewati langkah berikutnya dan melanjutkan keIzin administrator Grant Lake Formation. Security Lake menciptakan semua peran IAM yang diperlukan atau menggunakan peran yang ada atas nama Anda.

• Jika Anda berencana menggunakan Security Lake API atau CLI untuk menambahkan pelanggan dengan akses kueri, lanjutkan dengan langkah berikutnya untuk membuat peran IAM untuk menanyakan data Security Lake.

Buat peran IAM untuk menanyakan data Security Lake (API dan langkah AWS CLI-only)

Saat menggunakan Security Lake API atau AWS CLI untuk memberikan akses kueri ke pelanggan, Anda harus membuat peran bernamaAmazonSecurityLakeMetaStoreManager. Security Lake menggunakan peran ini untuk mendaftarkan AWS Glue partisi dan memperbarui AWS Glue tabel. Anda mungkin telah membuat peran ini saat Membuat peran IAM yang diperlukan.

Izin administrator Grant Lake Formation

Anda juga harus menambahkan izin administrator Lake Formation ke peran IAM yang Anda gunakan untuk mengakses konsol Security Lake dan menambahkan pelanggan.

Anda dapat memberikan izin administrator Lake Formation untuk peran Anda dengan mengikuti langkah-langkah berikut:

1. Buka konsol Lake Formation dihttps://console.aws.amazon.com/lakeformation/.

2. Masuk sebagai pengguna administratif.

3. Jika jendela Selamat Datang di Lake Formation muncul, pilih pengguna yang Anda buat atau pilih di Langkah 1, lalu pilih Memulai.

4. Jika Anda tidak melihat jendela Selamat Datang di Lake Formation, lakukan langkah-langkah berikut untuk mengonfigurasi Administrator Lake Formation.

   1. Di panel navigasi, di bawah Izin, pilih Peran dan tugas administratif. Di bagian Administrator danau data, pilih Pilih administrator.

   2. Di kotak dialog Kelola data lake administrator, untuk pengguna dan peran IAM, pilih peran administrator yang digunakan saat mengakses konsol Security Lake, lalu pilih Simpan.

Untuk informasi selengkapnya tentang mengubah izin untuk administrator data lake, lihat Membuat administrator data lake di Panduan AWS Lake Formation Pengembang.

Peran IAM harus memiliki SELECT hak istimewa pada database dan tabel yang ingin Anda berikan akses kepada pelanggan. Untuk petunjuk tentang cara melakukannya, lihat Memberikan izin Katalog Data menggunakan metode sumber daya bernama di Panduan AWS Lake Formation Pengembang.

Membuat pelanggan dengan akses kueri

Pilih metode pilihan Anda untuk membuat pelanggan dengan akses kueri saat ini Wilayah AWS. Pelanggan dapat meminta data hanya dari Wilayah AWS yang dibuat. Untuk membuat pelanggan, Anda harus memiliki Akun AWS ID dan ID eksternal pelanggan. ID eksternal adalah pengidentifikasi unik yang disediakan pelanggan kepada Anda. Untuk informasi selengkapnya tentang ID eksternal, lihat Cara menggunakan ID eksternal saat memberikan akses ke AWS sumber daya Anda kepada pihak ketiga dalam Panduan Pengguna IAM.

catatan

Security Lake tidak mendukung berbagi data lintas akun Lake Formation versi 1. Anda harus memperbarui berbagi data lintas akun Lake Formation ke versi 2 atau versi 3. Untuk langkah-langkah memperbarui pengaturan versi Cross account melalui AWS Lake Formation konsol atau AWS CLI, lihat Untuk mengaktifkan versi baru di Panduan AWS Lake Formation Pengembang.

Console

1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

   Masuk ke akun administrator yang didelegasikan.

2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin membuat pelanggan.

3. Di panel navigasi, pilih Pelanggan.

4. Pada halaman Pelanggan, pilih Buat pelanggan.

5. Untuk detail Pelanggan, masukkan nama Pelanggan dan Deskripsi opsional.

   Wilayah terisi otomatis seperti yang Anda pilih saat ini Wilayah AWS dan tidak dapat diubah.

6. Untuk sumber Log dan peristiwa, pilih sumber mana yang ingin disertakan Security Lake saat mengembalikan hasil kueri.

7. Untuk metode akses Data, pilih Lake Formation untuk membuat akses kueri bagi pelanggan.

8. Untuk kredensi Pelanggan, berikan ID pelanggan dan Akun AWS ID eksternal.

9. (Opsional) Untuk Tag, masukkan sebanyak 50 tag untuk ditetapkan ke pelanggan.

   Tag adalah label yang dapat Anda tentukan dan tetapkan ke jenis AWS sumber daya tertentu. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Tag dapat membantu Anda mengidentifikasi, mengkategorikan, dan mengelola sumber daya dengan berbagai cara. Untuk mempelajari selengkapnya, lihat Menandai sumber daya Amazon Security Lake.

10. Pilih Buat.

API

Untuk membuat pelanggan dengan akses kueri secara terprogram, gunakan CreateSubscriberpengoperasian Security Lake API. Jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan perintah create-subscriber.

Dalam permintaan Anda, gunakan parameter ini untuk menentukan pengaturan berikut untuk pelanggan:

• Untuk accessTypes, tentukan LAKEFORMATION.

• Untuksources, tentukan setiap sumber yang ingin disertakan Security Lake saat mengembalikan hasil kueri.

• UntuksubscriberIdentity, tentukan AWS identitas dan ID eksternal yang digunakan pelanggan untuk menanyakan data sumber.

Contoh berikut membuat pelanggan dengan akses query di AWS Wilayah saat ini untuk identitas pelanggan yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{awsLogSource: {sourceName: VPC_FLOW, sourceVersion: 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

Menyiapkan berbagi tabel lintas akun (langkah pelanggan)

Security Lake menggunakan berbagi tabel lintas akun Lake Formation untuk mendukung akses kueri pelanggan. Saat Anda membuat pelanggan dengan akses kueri di konsol Security Lake, API, atau AWS CLI, Security Lake membagikan informasi tentang tabel Lake Formation yang relevan dengan pelanggan dengan membuat pembagian sumber daya di AWS Resource Access Manager ()AWS RAM.

Saat Anda membuat jenis pengeditan tertentu ke pelanggan dengan akses kueri, Security Lake membuat pembagian sumber daya baru. Untuk informasi selengkapnya, lihat Mengedit pelanggan dengan akses kueri.

Pelanggan harus mengikuti langkah-langkah ini untuk mengkonsumsi data dari tabel Lake Formation Anda:

1. Terima pembagian sumber daya — Pelanggan harus menerima pembagian sumber daya yang memiliki resourceShareArn dan resourceShareName yang dihasilkan saat Anda membuat atau mengedit pelanggan. Pilih salah satu metode akses berikut:

   • Untuk konsol dan AWS CLI, lihat Menerima undangan berbagi sumber daya dari AWS RAM.

   • Untuk API, panggil GetResourceShareInvitationsAPI. Filter berdasarkan resourceShareArn dan resourceShareName untuk menemukan pembagian sumber daya yang benar. Terima undangan dengan AcceptResourceShareInvitationAPI.

   Undangan berbagi sumber daya kedaluwarsa dalam 12 jam, jadi Anda harus memvalidasi dan menerima undangan dalam waktu 12 jam. Jika undangan kedaluwarsa, Anda terus melihatnya dalam PENDING status, tetapi menerimanya tidak akan memberi Anda akses ke sumber daya bersama. Ketika lebih dari 12 jam telah berlalu, hapus pelanggan Lake Formation dan buat ulang pelanggan untuk mendapatkan undangan berbagi sumber daya baru.

2. Membuat tautan sumber daya ke tabel bersama — Pelanggan harus membuat tautan sumber daya ke tabel Lake Formation bersama di salah satu AWS Lake Formation (jika menggunakan konsol) atau AWS Glue (jika menggunakan AWS CLI API/). Tautan sumber daya ini mengarahkan akun pelanggan ke tabel bersama. Pilih salah satu metode akses berikut:

   • Untuk konsol dan AWS CLI, lihat Membuat tautan sumber daya ke tabel Katalog Data bersama di Panduan AWS Lake Formation Pengembang.

   • Untuk API, panggil AWS Glue CreateTableAPI. Kami menyarankan agar pelanggan juga membuat database unik dengan CreateDatabaseAPI untuk menyimpan tabel tautan sumber daya.

3. Kueri tabel bersama — Layanan seperti Amazon Athena dapat merujuk ke tabel secara langsung, dan data baru yang dikumpulkan Security Lake secara otomatis tersedia untuk kueri. Kueri berjalan di pelanggan Akun AWS, dan biaya yang dikeluarkan dari kueri ditagih ke pelanggan. Anda dapat mengontrol akses baca ke sumber daya di akun Security Lake Anda sendiri.

Untuk informasi selengkapnya tentang pemberian izin lintas akun, lihat Berbagi data lintas akun di Lake Formation di Panduan Pengembang.AWS Lake Formation

Mengedit pelanggan dengan akses kueri

Security Lake mendukung pengeditan ke pelanggan dengan akses kueri. Anda dapat mengedit nama pelanggan, deskripsi, ID eksternal, prinsipal (Akun AWS ID), dan sumber log yang dapat dikonsumsi pelanggan. Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengedit pelanggan dengan akses kueri saat ini Wilayah AWS.

catatan

Security Lake tidak mendukung berbagi data lintas akun Lake Formation versi 1. Anda harus memperbarui berbagi data lintas akun Lake Formation ke versi 2 atau versi 3. Untuk langkah-langkah memperbarui pengaturan versi Cross account melalui AWS Lake Formation konsol atau AWS CLI, lihat Untuk mengaktifkan versi baru di Panduan AWS Lake Formation Pengembang.

Console

Berdasarkan detail yang ingin Anda edit, ikuti langkah-langkah yang disediakan untuk tindakan itu saja.

Untuk mengedit nama pelanggan

1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

   Masuk ke akun administrator yang didelegasikan.

2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin mengedit detail pelanggan.

3. Di panel navigasi, pilih Pelanggan.

4. Pada halaman Pelanggan, gunakan tombol radio untuk memilih pelanggan yang ingin Anda edit. Metode akses data untuk pelanggan yang dipilih harus LAKEFORMATION.

5. Pilih Edit.

6. Masukkan nama Pelanggan baru, dan pilih Simpan.

Untuk mengedit deskripsi pelanggan

1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

   Masuk ke akun administrator yang didelegasikan.

2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin mengedit pelanggan.

3. Di panel navigasi, pilih Pelanggan.

4. Pada halaman Pelanggan, gunakan tombol radio untuk memilih pelanggan yang ingin Anda edit. Metode akses data untuk pelanggan yang dipilih harus LAKEFORMATION.

5. Pilih Edit.

6. Masukkan deskripsi baru untuk pelanggan, dan pilih Simpan.

Untuk mengedit ID eksternal

1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

   Masuk ke akun administrator yang didelegasikan.

2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin mengedit detail pelanggan.

3. Di panel navigasi, pilih Pelanggan.

4. Pada halaman Pelanggan, gunakan tombol radio untuk memilih pelanggan yang ingin Anda edit. Metode akses data untuk pelanggan yang dipilih harus LAKEFORMATION.

5. Pilih Edit.

6. Masukkan ID Eksternal baru yang telah disediakan pelanggan, dan pilih Simpan.

   Menyimpan ID eksternal baru secara otomatis menghapus pembagian AWS RAM sumber daya sebelumnya dan membuat pembagian sumber daya baru untuk pelanggan.

7. Pelanggan harus menerima pembagian sumber daya baru dengan mengikuti langkah 1 inMenyiapkan berbagi tabel lintas akun (langkah pelanggan). Pastikan Nama Sumber Daya Amazon (ARN) yang muncul di detail pelanggan sama dengan di konsol Lake Formation. Tautan sumber daya ke tabel bersama tetap apa adanya, sehingga pelanggan tidak perlu membuat tautan sumber daya baru.

Untuk mengedit prinsipal (Akun AWS ID)

1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

   Masuk ke akun administrator yang didelegasikan.

2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin mengedit detail pelanggan.

3. Di panel navigasi, pilih Pelanggan.

4. Pada halaman Pelanggan, gunakan tombol radio untuk memilih pelanggan yang ingin Anda edit. Metode akses data untuk pelanggan yang dipilih harus LAKEFORMATION.

5. Pilih Edit.

6. Masukkan Akun AWS ID baru pelanggan, dan pilih Simpan.

   Menyimpan ID akun baru secara otomatis menghapus pembagian AWS RAM sumber daya sebelumnya sehingga prinsipal sebelumnya tidak dapat menggunakan sumber log dan peristiwa. Security Lake menciptakan pembagian sumber daya baru.

7. Dengan menggunakan kredensi prinsipal baru, pelanggan harus menerima pembagian sumber daya baru dan membuat tautan sumber daya ke tabel bersama. Ini memberi akses utama baru ke sumber daya bersama. Untuk petunjuk, lihat langkah 1 dan 2 diMenyiapkan berbagi tabel lintas akun (langkah pelanggan). Pastikan ARN yang muncul di detail pelanggan sama dengan di konsol Lake Formation.

Untuk mengedit log dan sumber peristiwa

1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

   Masuk ke akun administrator yang didelegasikan.

2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin mengedit detail pelanggan.

3. Di panel navigasi, pilih Pelanggan.

4. Pada halaman Pelanggan, gunakan tombol radio untuk memilih pelanggan yang ingin Anda edit. Metode akses data untuk pelanggan yang dipilih harus LAKEFORMATION.

5. Pilih Edit.

6. Hapus pilihan sumber yang ada atau pilih sumber yang ingin Anda tambahkan. Jika Anda membatalkan pilihan sumber, tidak ada tindakan lebih lanjut yang diperlukan dari pihak Anda. Jika Anda memilih untuk menambahkan sumber, tidak ada undangan berbagi sumber daya baru yang dibuat. Namun, Security Lake memperbarui tabel Lake Formation bersama berdasarkan sumber yang ditambahkan. Pelanggan harus membuat tautan sumber daya ke tabel bersama yang diperbarui sehingga mereka dapat menanyakan data sumber. Untuk instruksi, lihat langkah 2 diMenyiapkan berbagi tabel lintas akun (langkah pelanggan).

7. Pilih Simpan.

API

Untuk mengedit pelanggan dengan akses kueri secara terprogram, gunakan UpdateSubscriberpengoperasian Security Lake API. Jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan perintah update-subscriber. Dalam permintaan Anda, gunakan parameter yang didukung untuk menentukan pengaturan berikut untuk pelanggan:

• UntuksubscriberName, tentukan nama pelanggan baru.

• UntuksubscriberDescription, tentukan deskripsi baru.

• UntuksubscriberIdentity, tentukan prinsipal (Akun AWS ID) dan ID eksternal yang akan digunakan pelanggan untuk menanyakan data sumber. Anda harus memberikan ID utama dan eksternal. Jika Anda ingin menjaga salah satu dari nilai-nilai ini sama, berikan nilai saat ini.

  • Memperbarui hanya ID eksternal - Tindakan ini menghapus pembagian AWS RAM sumber daya sebelumnya dan membuat pembagian sumber daya baru untuk pelanggan. Pelanggan harus menerima pembagian sumber daya baru dengan mengikuti langkah 1 inMenyiapkan berbagi tabel lintas akun (langkah pelanggan). Tautan sumber daya ke tabel bersama tetap apa adanya, sehingga pelanggan tidak perlu membuat tautan sumber daya baru.

  • Hanya memperbarui prinsipal - Tindakan ini menghapus pembagian AWS RAM sumber daya sebelumnya sehingga prinsipal sebelumnya tidak dapat menggunakan sumber log dan peristiwa. Security Lake menciptakan pembagian sumber daya baru. Dengan menggunakan kredensi prinsipal baru, pelanggan harus menerima pembagian sumber daya baru dan membuat tautan sumber daya ke tabel bersama. Ini memberi akses utama baru ke sumber daya bersama. Untuk petunjuk, lihat langkah 1 dan 2 diMenyiapkan berbagi tabel lintas akun (langkah pelanggan).

  Untuk memperbarui ID eksternal dan prinsipal, ikuti langkah 1 dan 2 diMenyiapkan berbagi tabel lintas akun (langkah pelanggan).

• Untuksources, hapus sumber yang ada atau tentukan sumber yang ingin Anda tambahkan. Jika Anda menghapus sumber, tidak ada tindakan lebih lanjut yang diperlukan dari pihak Anda. Jika Anda menambahkan sumber, tidak ada undangan berbagi sumber daya baru yang dibuat. Namun, Security Lake memperbarui tabel Lake Formation bersama berdasarkan sumber yang ditambahkan. Pelanggan harus membuat tautan sumber daya ke tabel bersama yang diperbarui sehingga mereka dapat menanyakan data sumber. Untuk instruksi, lihat langkah 2 diMenyiapkan berbagi tabel lintas akun (langkah pelanggan).