OpenSearch Service での Amazon Security Lake データソース統合の作成 - Amazon OpenSearch Service
前提条件手順次のステップその他のリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

OpenSearch Service での Amazon Security Lake データソース統合の作成

Amazon OpenSearch Serverless を使用して、Amazon Security Lake のセキュリティデータを直接クエリできます。これを行うには、Security Lake データで OpenSearch ゼロ ETL 機能を使用できるようにするデータソースを作成します。データソースを作成すると、Security Lake に保存されているデータを直接検索、インサイトの取得、分析できます。オンデマンドインデックス作成を使用して、クエリのパフォーマンスを加速し、一部の Security Lake データセットで高度な OpenSearch 分析を使用できます。

前提条件

開始する前に、次のドキュメントを確認してください。

データソースを作成する前に、Security Lake で次のアクションを実行します。

  • Security Hub を有効にします。OpenSearch リソース AWS リージョン と同じ でログを収集するように Security Lake を設定します。 OpenSearch 手順については、「Amazon Security Lake ユーザーガイド」の「Amazon Security Lake の開始方法」を参照してください。

  • Security Lake のアクセス許可を設定します。リソース管理のためにサービスにリンクされたロールのアクセス許可を受け入れており、コンソールで問題ページに問題が表示されていないことを確認します。詳細については、「Amazon Security Lake ユーザーガイド」の「Security Lake のサービスにリンクされたロール」を参照してください。

  • Security Lake データソースを共有します。Security Lake と同じアカウント内で OpenSearch にアクセスする場合は、Security Lake コンソールで Security Lake バケットを Lake Formation に登録するメッセージがないことを確認してください。クロスアカウント OpenSearch アクセスの場合は、Security Lake コンソールで Lake Formation クエリサブスクライバーを設定します。OpenSearch リソースに関連付けられているアカウントをサブスクライバーとして使用します。詳細については、「Amazon Security Lake ユーザーガイド」の「Security Lake でのサブスクライバー管理」を参照してください。

さらに、 には次のリソースも必要です AWS アカウント。

  • (オプション) 手動で作成された IAM ロール。このロールを使用して、データソースへのアクセスを管理できます。または、OpenSearch Service で必要なアクセス許可を持つロールを自動的に作成することもできます。手動で作成した IAM ロールを使用する場合は、「」のガイダンスに従ってください手動で作成された IAM ロールに必要なアクセス許可

手順

データソースを設定して、 内から Security Lake データベースに接続できます AWS Management Console。

を使用してデータソースを設定するには AWS Management Console

  1. Amazon OpenSearch Service コンソール (https://console.aws.amazon.com/aos/) に移動します。

  2. 左側のナビゲーションペインで、中央管理に移動し、接続されたデータソースを選択します。

  3. [接続] を選択します。

  4. データソースタイプとして Security Lake を選択します。

  5. [次へ] を選択します。

  6. データ接続の詳細に、名前とオプションの説明を入力します。

  7. IAM アクセス許可のアクセス設定で、データソースへのアクセスを管理する方法を選択します。

    1. このデータソースのロールを自動的に作成する場合は、次の手順に従います。

      1. 新しいロールを作成する を選択します。

      2. IAM ロールの名前を入力します。

      3. 1 つ以上の AWS Glue テーブルを選択して、クエリできるデータを定義します。

    2. 自分で管理する既存のロールを使用する場合は、次の手順に従います。

      1. [既存のロールを使用] を選択します。

      2. ドロップダウンメニューから既存のロールを選択します。

    注記

    独自のロールを使用する場合は、IAM コンソールから必要なポリシーをアタッチして、必要なすべてのアクセス許可があることを確認する必要があります。詳細については、「手動で作成された IAM ロールに必要なアクセス許可」を参照してください。

  8. (オプション) タグ で、データソースにタグを追加します。

  9. [次へ] を選択します。

  10. OpenSearch のセットアップ で、OpenSearch のセットアップ方法を選択します。

    1. デフォルトのリソース名とデータ保持設定を確認します。

      デフォルト設定を使用すると、新しい OpenSearch アプリケーションと Essentials ワークスペースが追加料金なしで作成されます。OpenSearch を使用すると、複数のデータソースを分析できます。これにはワークスペースが含まれており、一般的なユースケースに合わせてカスタマイズされたエクスペリエンスを提供します。WorkSpaces はアクセスコントロールをサポートしているため、ユースケースのプライベートスペースを作成し、共同作業者とのみ共有できます。

  11. カスタマイズした設定を使用します。

    1. [Customize] (カスタマイズ) を選択してください。

    2. 必要に応じて、コレクション名とデータ保持設定を編集します。

    3. 使用する OpenSearch アプリケーションとワークスペースを選択します。

  12. [次へ] を選択します。

  13. 選択内容を確認し、変更を加える必要がある場合は編集を選択します。

  14. Connect を選択してデータソースを設定します。データソースの作成中は、このページにとどまります。準備ができたら、データソースの詳細ページに移動します。

次のステップ

OpenSearch Dashboards にアクセスしてダッシュボードを作成する

データソースを作成すると、OpenSearch Service は OpenSearch Dashboards URL を提供します。これを使用して、SQL または PPL を使用してデータをクエリします。Security Lake 統合には、ログの分析を開始するための SQL と PPL 用の事前にパッケージ化されたクエリテンプレートが付属しています。

詳細については、「OpenSearch Dashboards での Security Lake データソースの設定とクエリ」を参照してください。

その他のリソース

手動で作成された IAM ロールに必要なアクセス許可

データソースを作成するときは、データへのアクセスを管理する IAM ロールを選択します。これには 2 つのオプションがあります。

  1. 新しい IAM ロールを自動的に作成する

  2. 手動で作成した既存の IAM ロールを使用する

手動で作成したロールを使用する場合は、ロールに正しいアクセス許可をアタッチする必要があります。アクセス許可は、特定のデータソースへのアクセスを許可し、OpenSearch Service がロールを引き受けることを許可する必要があります。これは、OpenSearch Service がデータに安全にアクセスして操作できるようにするために必要です。

次のサンプルポリシーは、データソースの作成と管理に必要な最小特権の許可を示しています。AdminstratorAccess ポリシーなど、より広範なアクセス許可がある場合、これらのアクセス許可にはサンプルポリシーの最小特権のアクセス許可が含まれます。

次のサンプルポリシーでは、プレースホルダーテキストを独自の情報に置き換えます。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonOpenSearchDirectQueryServerlessAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:APIAccessAll",
                "aoss:DashboardsAccessAll"
            ],
            "Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collectionname/*"
        },
        {
            "Sid": "AmazonOpenSearchDirectQueryGlueAccess",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:GetTable",
                "glue:GetTableVersions",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:table/databasename/*",
                "arn:aws:glue:us-east-1:111122223333:database/databasename",
                "arn:aws:glue:us-east-1:111122223333:catalog",
                "arn:aws:glue:us-east-1:111122223333:database/default"
            ]
        },
        {
            "Sid": "AmazonOpenSearchDirectQueryLakeFormationAccess",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

また、ロールには、ターゲット ID を指定する次の信頼ポリシーが必要です。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "directquery.opensearchservice.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

ロールを作成する手順については、「カスタム信頼ポリシーを使用したロールの作成」を参照してください。

デフォルトでは、ロールは直接クエリデータソースインデックスにのみアクセスできます。データソースへのアクセスを制限または許可するようにロールを設定できますが、このロールのアクセスは調整しないことをお勧めします。データソースを削除すると、このロールは削除されます。これにより、他のユーザーがロールにマッピングされている場合、そのユーザーのアクセスは削除されます。

カスタマーマネージドキーで暗号化された Security Lake データのクエリ

データ接続に関連付けられた Security Lake バケットが、カスタマーマネージド によるサーバー側の暗号化を使用して暗号化されている場合は AWS KMS key、キーポリシーに LakeFormation サービスロールを追加する必要があります。これにより、サービスはクエリのデータにアクセスして読み取ることができます。

次のサンプルポリシーでは、プレースホルダーテキストを独自の情報に置き換えます。

{
    "Sid": "Allow LakeFormation to access the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::account:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}