Gestione dell'accesso alle query per gli abbonati a Security Lake - Amazon Security Lake
Prerequisiti per la creazione di un sottoscrittore con accesso alle queryCreazione di un abbonato con accesso tramite queryConfigurazione della condivisione delle tabelle tra account (fase di sottoscrizione)Modifica di un abbonato con accesso tramite interrogazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione dell'accesso alle query per gli abbonati a Security Lake

Gli abbonati con accesso alle query possono interrogare i dati raccolti da Security Lake. Questi abbonati interrogano direttamente AWS Lake Formation le tabelle nel tuo bucket S3 con servizi come Amazon Athena. Sebbene il motore di query principale per Security Lake sia Athena, puoi utilizzare anche altri servizi, come Amazon Redshift Spectrum e Spark SQL, che si integrano con. AWS Glue Data Catalog

Nota

Questa sezione spiega come concedere l'accesso alle query a un abbonato di terze parti. Per informazioni sull'esecuzione di query sul tuo data lake, consulta. Passaggio 4: Visualizza e interroga i tuoi dati

Prerequisiti per la creazione di un sottoscrittore con accesso alle query

È necessario completare i seguenti prerequisiti prima di poter creare un abbonato con accesso ai dati in Security Lake.

Verificare le autorizzazioni

Prima di creare un abbonato con accesso tramite query, verificate di disporre dell'autorizzazione per eseguire il seguente elenco di azioni.

Per verificare le tue autorizzazioni, usa IAM per esaminare le policy IAM allegate alla tua identità IAM. Quindi, confronta le informazioni contenute in tali policy con il seguente elenco di azioni che devi essere autorizzato a eseguire per creare un abbonato con accesso tramite query.

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

Importante

Dopo aver verificato le autorizzazioni:

  • Se prevedi di utilizzare la console Security Lake per aggiungere un abbonato con accesso alle query, puoi saltare il passaggio successivo e procedere con. Concedi le autorizzazioni di amministratore di Lake Formation Security Lake crea tutti i ruoli IAM necessari o utilizza i ruoli esistenti per tuo conto.

  • Se prevedi di utilizzare l'API o la CLI di Security Lake per aggiungere un sottoscrittore con accesso alle query, continua con il passaggio successivo per creare un ruolo IAM per interrogare i dati di Security Lake.

Crea un ruolo IAM per interrogare i dati di Security Lake (API e fase solo AWS CLI)

Quando si utilizza l'API Security Lake o AWS CLI si concede l'accesso alle query a un abbonato, è necessario creare un ruolo denominato. AmazonSecurityLakeMetaStoreManager Security Lake utilizza questo ruolo per registrare le AWS Glue partizioni e aggiornare AWS Glue le tabelle. Potresti aver già creato questo ruolo durante la creazione dei ruoli IAM necessari.

Concedi le autorizzazioni di amministratore di Lake Formation

Dovrai anche aggiungere le autorizzazioni di amministratore di Lake Formation al ruolo IAM che usi per accedere alla console di Security Lake e aggiungere abbonati.

Puoi concedere le autorizzazioni di amministratore di Lake Formation per il tuo ruolo seguendo questi passaggi:

  1. Aprire la console Lake Formation all'indirizzo https://console.aws.amazon.com/lakeformation/.

  2. Accedi come utente amministrativo.

  3. Se viene visualizzata la finestra Welcome to Lake Formation, scegli l'utente che hai creato o selezionato nel Passaggio 1, quindi scegli Inizia.

  4. Se non vedi la finestra Welcome to Lake Formation, esegui i seguenti passaggi per configurare un Lake Formation Administrator.

    1. Nel pannello di navigazione, in Autorizzazioni, scegli Ruoli e attività amministrative. Nella sezione Amministratori di Data lake, scegli Scegli amministratori.

    2. Nella finestra di dialogo Gestisci gli amministratori del data lake, per gli utenti e i ruoli IAM, scegli il ruolo di amministratore utilizzato per accedere alla console di Security Lake, quindi scegli Salva.

Per ulteriori informazioni sulla modifica delle autorizzazioni per gli amministratori del data lake, consulta Create a data lake administrator nella Developer Guide.AWS Lake Formation

Il ruolo IAM deve disporre di SELECT privilegi sul database e sulle tabelle a cui desideri concedere l'accesso a un sottoscrittore. Per istruzioni su come eseguire questa operazione, consulta Concessione delle autorizzazioni di Data Catalog utilizzando il metodo della risorsa denominata nella Guida per gli sviluppatori.AWS Lake Formation

Creazione di un abbonato con accesso tramite query

Scegli il tuo metodo preferito per creare un abbonato con accesso alle query tra quelli correnti. Regione AWS Un sottoscrittore può interrogare i dati solo dai dati in Regione AWS cui è stato creato. Per creare un abbonato, è necessario disporre dell' Account AWS ID e dell'ID esterno dell'abbonato. L'ID esterno è un identificatore univoco che l'abbonato ti fornisce. Per ulteriori informazioni sugli ID esterni, consulta Come utilizzare un ID esterno per concedere l'accesso alle tue AWS risorse a una terza parte nella Guida per l'utente IAM.

Nota

Security Lake non supporta la versione 1 di condivisione dei dati tra account di Lake Formation. È necessario aggiornare la condivisione dei dati tra account di Lake Formation alla versione 2 o alla versione 3. Per i passaggi per aggiornare le impostazioni della versione di Cross Account tramite la AWS Lake Formation console o la AWS CLI, consulta Abilitare la nuova versione nella AWS Lake Formation Developer Guide.

Console

  1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

    Accedere all'account amministratore delegato.

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri creare l'abbonato.

  3. Nel riquadro di navigazione, scegli Abbonati.

  4. Nella pagina Iscritti, scegli Crea sottoscrittore.

  5. Per i dettagli dell'abbonato, inserisci il nome dell'abbonato e una descrizione opzionale.

    La regione viene compilata automaticamente come quella attualmente selezionata Regione AWS e non può essere modificata.

  6. Per le sorgenti di log ed eventi, scegli quali fonti desideri che Security Lake includa quando restituisci i risultati delle query.

  7. Per Metodo di accesso ai dati, scegli Lake Formation per creare l'accesso alle query per l'abbonato.

  8. Per le credenziali dell'abbonato, fornisci l' Account AWS ID dell'abbonato e l'ID esterno.

  9. (Facoltativo) Per i tag, inserisci fino a 50 tag da assegnare all'abbonato.

    Un tag è un'etichetta che puoi definire e assegnare a determinati tipi di risorse. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. I tag possono aiutarti a identificare, classificare e gestire le risorse in diversi modi. Per ulteriori informazioni, consulta Etichettatura delle risorse di Amazon Security Lake.

  10. Scegli Crea.

API

Per creare un abbonato con accesso alle query a livello di codice, utilizza il CreateSubscriberfunzionamento dell'API Security Lake. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il comando create-subscriber.

Nella richiesta, utilizzate questi parametri per specificare le seguenti impostazioni per l'abbonato:

  • Per accessTypes, specificare LAKEFORMATION.

  • Persources, specifica ogni fonte che desideri che Security Lake includa quando restituisce i risultati delle query.

  • PersubscriberIdentity, specifica l' AWS identità e l'ID esterno utilizzati dal sottoscrittore per interrogare i dati di origine.

L'esempio seguente crea un sottoscrittore con accesso tramite query nella AWS regione corrente per l'identità di sottoscrittore specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{awsLogSource: {sourceName: VPC_FLOW, sourceVersion: 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

Configurazione della condivisione delle tabelle tra account (fase di sottoscrizione)

Security Lake utilizza la condivisione di tabelle tra account di Lake Formation per supportare l'accesso alle query degli abbonati. Quando si crea un sottoscrittore con accesso alle query nella console, nell'API o nell'API di Security Lake AWS CLI, Security Lake condivide le informazioni sulle tabelle pertinenti di Lake Formation con l'abbonato creando una condivisione di risorse in AWS Resource Access Manager ()AWS RAM.

Quando si apportano determinati tipi di modifiche a un abbonato con accesso tramite query, Security Lake crea una nuova condivisione di risorse. Per ulteriori informazioni, consulta Modifica di un abbonato con accesso tramite interrogazione.

L'abbonato deve seguire questi passaggi per consumare i dati dalle tabelle di Lake Formation:

  1. Accetta la condivisione di risorse: il sottoscrittore deve accettare la condivisione di risorse che contiene resourceShareArn e resourceShareName che viene generata quando crei o modifichi il sottoscrittore. Scegli uno dei seguenti metodi di accesso:

    L'invito alla condivisione delle risorse scade tra 12 ore, quindi devi convalidarlo e accettarlo entro 12 ore. Se l'invito scade, continui a vederlo in uno PENDING stato, ma accettandolo non avrai accesso alle risorse condivise. Trascorse più di 12 ore, elimina l'abbonato Lake Formation e ricrea l'abbonato per ricevere un nuovo invito alla condivisione di risorse.

  2. Creare un collegamento di risorse alle tabelle condivise: l'abbonato deve creare un collegamento di risorsa alle tabelle condivise di Lake Formation in uno AWS Lake Formation (se utilizza la console) o AWS Glue (se utilizza API/AWS CLI). Questo collegamento alle risorse indirizza l'account dell'abbonato alle tabelle condivise. Scegli uno dei seguenti metodi di accesso:

  3. Interroga le tabelle condivise: servizi come Amazon Athena possono fare riferimento direttamente alle tabelle e i nuovi dati raccolti da Security Lake sono automaticamente disponibili per le query. Le query vengono eseguite presso l'abbonato e i costi sostenuti per esse vengono fatturati all'abbonato. Account AWS Puoi controllare l'accesso in lettura alle risorse nel tuo account Security Lake.

Per ulteriori informazioni sulla concessione delle autorizzazioni su più account, consulta Condivisione dei dati tra account in Lake Formation nella Developer Guide.AWS Lake Formation

Modifica di un abbonato con accesso tramite interrogazione

Security Lake supporta la modifica di un abbonato con accesso tramite query. È possibile modificare il nome, la descrizione, l'ID esterno, il principale (Account AWS ID) dell'abbonato e le fonti di registro che l'abbonato è in grado di utilizzare. Scegli il tuo metodo preferito e segui i passaggi per modificare un abbonato con accesso alle query tra quelli correnti. Regione AWS

Nota

Security Lake non supporta la versione 1 di condivisione dei dati tra account di Lake Formation. È necessario aggiornare la condivisione dei dati tra account di Lake Formation alla versione 2 o alla versione 3. Per i passaggi per aggiornare le impostazioni della versione di Cross Account tramite la AWS Lake Formation console o la AWS CLI, consulta Abilitare la nuova versione nella AWS Lake Formation Developer Guide.

Console

In base ai dettagli che desideri modificare, segui i passaggi forniti solo per quell'azione.

Per modificare il nome dell'abbonato

  1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

    Accedere all'account amministratore delegato.

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri modificare i dettagli dell'abbonato.

  3. Nel riquadro di navigazione, scegli Abbonati.

  4. Nella pagina Iscritti, utilizza il pulsante di opzione per selezionare l'abbonato che desideri modificare. Il metodo di accesso ai dati per l'abbonato selezionato deve essere LAKEFORMATION.

  5. Scegli Modifica.

  6. Inserisci il nuovo nome del sottoscrittore e scegli Salva.

Per modificare la descrizione dell'abbonato

  1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

    Accedere all'account amministratore delegato.

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri modificare l'abbonato.

  3. Nel riquadro di navigazione, scegli Sottoscrittori.

  4. Nella pagina Iscritti, utilizza il pulsante di opzione per selezionare l'abbonato che desideri modificare. Il metodo di accesso ai dati per l'abbonato selezionato deve essere LAKEFORMATION.

  5. Scegli Modifica.

  6. Inserisci la nuova descrizione per l'abbonato e scegli Salva.

Per modificare un ID esterno

  1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

    Accedere all'account amministratore delegato.

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri modificare i dettagli dell'abbonato.

  3. Nel riquadro di navigazione, scegli Abbonati.

  4. Nella pagina Iscritti, utilizza il pulsante di opzione per selezionare l'abbonato che desideri modificare. Il metodo di accesso ai dati per l'abbonato selezionato deve essere LAKEFORMATION.

  5. Scegli Modifica.

  6. Inserisci il nuovo ID esterno fornito dall'abbonato e scegli Salva.

    Il salvataggio del nuovo ID esterno rimuove automaticamente la condivisione di AWS RAM risorse precedente e crea una nuova condivisione di risorse per l'abbonato.

  7. Il sottoscrittore deve accettare la nuova condivisione di risorse seguendo il passaggio 1 di. Configurazione della condivisione delle tabelle tra account (fase di sottoscrizione) Assicurati che l'Amazon Resource Name (ARN) visualizzato nei dettagli dell'abbonato sia lo stesso della console Lake Formation. Il collegamento della risorsa alle tabelle condivise rimane invariato, quindi l'abbonato non deve creare un nuovo collegamento alla risorsa.

Per modificare il principale (Account AWS ID)

  1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

    Accedere all'account amministratore delegato.

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri modificare i dettagli dell'abbonato.

  3. Nel riquadro di navigazione, scegli Abbonati.

  4. Nella pagina Iscritti, utilizza il pulsante di opzione per selezionare l'abbonato che desideri modificare. Il metodo di accesso ai dati per l'abbonato selezionato deve essere LAKEFORMATION.

  5. Scegli Modifica.

  6. Inserisci il nuovo Account AWS ID dell'abbonato e scegli Salva.

    Il salvataggio del nuovo ID account rimuove automaticamente la condivisione di AWS RAM risorse precedente, in modo che il principale precedente non possa utilizzare i registri e le fonti degli eventi. Security Lake crea una nuova condivisione di risorse.

  7. Utilizzando le credenziali del nuovo principale, il sottoscrittore deve accettare la nuova condivisione di risorse e creare un collegamento di risorsa alle tabelle condivise. Ciò consente al nuovo principale di accedere alle risorse condivise. Per istruzioni, vedere i passaggi 1 e 2 di seguitoConfigurazione della condivisione delle tabelle tra account (fase di sottoscrizione). Assicurati che l'ARN visualizzato nei dettagli dell'abbonato sia lo stesso della console Lake Formation.

Per modificare le sorgenti di log ed eventi

  1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

    Accedere all'account amministratore delegato.

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri modificare i dettagli dell'abbonato.

  3. Nel riquadro di navigazione, scegli Abbonati.

  4. Nella pagina Iscritti, utilizza il pulsante di opzione per selezionare l'abbonato che desideri modificare. Il metodo di accesso ai dati per l'abbonato selezionato deve essere LAKEFORMATION.

  5. Scegli Modifica.

  6. Deseleziona le fonti esistenti o seleziona le fonti che desideri aggiungere. Se deselezionate una fonte, non sono necessarie ulteriori azioni da parte vostra. Se si sceglie di aggiungere una fonte, non viene creato alcun nuovo invito alla condivisione delle risorse. Tuttavia, Security Lake aggiorna le tabelle condivise di Lake Formation in base alle fonti aggiunte. Il sottoscrittore deve creare un collegamento di risorsa alle tabelle condivise aggiornate in modo da poter interrogare i dati di origine. Per istruzioni, consulta la fase 2 diConfigurazione della condivisione delle tabelle tra account (fase di sottoscrizione).

  7. Selezionare Salva.

API

Per modificare un sottoscrittore con accesso alle query a livello di programmazione, utilizza il UpdateSubscriberfunzionamento dell'API Security Lake. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il comando update-subscriber. Nella richiesta, utilizzate i parametri supportati per specificare le seguenti impostazioni per l'abbonato:

  • PersubscriberName, specifica il nome del nuovo abbonato.

  • PersubscriberDescription, specifica la nuova descrizione.

  • PersubscriberIdentity, specifica il principale (Account AWS ID) e l'ID esterno che il sottoscrittore utilizzerà per interrogare i dati di origine. È necessario fornire sia l'ID principale che l'ID esterno. Se vuoi mantenere invariato uno di questi valori, inserisci il valore corrente.

    • Aggiornamento solo dell'ID esterno: questa azione rimuove la condivisione di AWS RAM risorse precedente e crea una nuova condivisione di risorse per l'abbonato. Il sottoscrittore deve accettare la nuova condivisione di risorse seguendo il passaggio 1 di. Configurazione della condivisione delle tabelle tra account (fase di sottoscrizione) Il collegamento della risorsa alle tabelle condivise rimane invariato, quindi il sottoscrittore non deve creare un nuovo collegamento alla risorsa.

    • Aggiornamento solo del principale: questa azione rimuove la condivisione di AWS RAM risorse precedente in modo che il principale precedente non possa utilizzare i registri e le fonti degli eventi. Security Lake crea una nuova condivisione di risorse. Utilizzando le credenziali del nuovo principale, il sottoscrittore deve accettare la nuova condivisione di risorse e creare un collegamento di risorsa alle tabelle condivise. Ciò consente al nuovo principale di accedere alle risorse condivise. Per istruzioni, vedere i passaggi 1 e 2 di seguitoConfigurazione della condivisione delle tabelle tra account (fase di sottoscrizione).

    Per aggiornare l'ID esterno e il principale, segui i passaggi 1 e 2 di cui sopraConfigurazione della condivisione delle tabelle tra account (fase di sottoscrizione).

  • Persources, rimuovi le fonti esistenti o specifica le fonti che desideri aggiungere. Se rimuovi una fonte, non sono necessarie ulteriori azioni da parte tua. Se aggiungi una fonte, non viene creato alcun nuovo invito alla condivisione delle risorse. Tuttavia, Security Lake aggiorna le tabelle condivise di Lake Formation in base alle fonti aggiunte. Il sottoscrittore deve creare un collegamento di risorsa alle tabelle condivise aggiornate in modo da poter interrogare i dati di origine. Per istruzioni, consulta la fase 2 diConfigurazione della condivisione delle tabelle tra account (fase di sottoscrizione).