기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon OpenSearch Serverless를 사용하여 Amazon Security Lake에서 보안 데이터를 직접 쿼리할 수 있습니다. 이렇게 하려면 Security Lake 데이터에 OpenSearch 제로 ETL 기능을 사용할 수 있는 데이터 소스를 생성합니다. 데이터 소스를 생성할 때 Security Lake에 저장된 데이터를 직접 검색하고, 인사이트를 얻고, 분석할 수 있습니다. 온디맨드 인덱싱을 사용하여 일부 Security Lake 데이터 세트에서 쿼리 성능을 가속화하고 고급 OpenSearch 분석을 사용할 수 있습니다.
사전 조건
시작하기 전에 다음 설명서를 검토했는지 확인하세요.
데이터 소스를 생성하기 전에 Security Lake에서 다음 작업을 수행합니다.
-
Security Lake를 활성화합니다. OpenSearch 리소스 AWS 리전 와 동일한에서 로그를 수집하도록 Security Lake를 구성합니다. 지침은 Amazon Security Lake 사용 설명서의 Amazon Security Lake 시작하기를 참조하세요.
-
Security Lake 권한을 설정합니다. 리소스 관리에 대한 서비스 연결 역할 권한을 수락했는지 확인하고 콘솔의 문제 페이지에 문제가 표시되지 않는지 확인합니다. 자세한 내용은 Amazon Security Lake 사용 설명서의 Security Lake에 대한 서비스 연결 역할을 참조하세요.
-
Security Lake 데이터 소스를 공유합니다. Security Lake와 동일한 계정 내에서 OpenSearch에 액세스할 때 Security Lake 콘솔에서 Lake Formation에 Security Lake 버킷을 등록하라는 메시지가 없는지 확인합니다. 교차 계정 OpenSearch 액세스를 위해 Security Lake 콘솔에서 Lake Formation 쿼리 구독자를 설정합니다. OpenSearch 리소스와 연결된 계정을 구독자로 사용합니다. 자세한 내용은 Amazon Security Lake 사용 설명서의 Security Lake의 구독자 관리를 참조하세요.
또한에 AWS 계정다음 리소스가 있어야 합니다.
-
(선택 사항) 수동으로 생성한 IAM 역할입니다. 이 역할을 사용하여 데이터 소스에 대한 액세스를 관리할 수 있습니다. 또는 OpenSearch Service가 필요한 권한을 사용하여 자동으로 역할을 생성하도록 할 수 있습니다. 수동으로 생성된 IAM 역할을 사용하도록 선택한 경우의 지침을 따릅니다수동으로 생성된 IAM 역할에 필요한 권한.
절차
내에서 Security Lake 데이터베이스에 연결하도록 데이터 소스를 설정할 수 있습니다 AWS Management Console.
를 사용하여 데이터 소스를 설정하려면 AWS Management Console
-
Amazon OpenSearch Service 콘솔(https://console.aws.amazon.com/aos/
)로 이동합니다. -
왼쪽 탐색 창에서 중앙 관리로 이동하여 연결된 데이터 소스를 선택합니다.
-
연결을 선택합니다.
-
데이터 소스 유형으로 Security Lake를 선택합니다.
-
Next(다음)를 선택합니다.
-
데이터 연결 세부 정보에서 이름과 선택적 설명을 입력합니다.
-
IAM 권한 액세스 설정에서 데이터 소스에 대한 액세스를 관리하는 방법을 선택합니다.
-
이 데이터 소스에 대한 역할을 자동으로 생성하려면 다음 단계를 따르세요.
-
새 역할 생성을 선택합니다.
-
IAM 역할의 이름을 입력합니다.
-
하나 이상의 AWS Glue 테이블을 선택하여 쿼리할 데이터를 정의합니다.
-
-
직접 관리하는 기존 역할을 사용하려면 다음 단계를 따르세요.
-
기존 역할 사용을 선택합니다.
-
드롭다운 메뉴에서 기존 역할을 선택합니다.
-
참고
자체 역할을 사용할 때는 IAM 콘솔에서 필요한 정책을 연결하여 필요한 모든 권한이 있는지 확인해야 합니다. 자세한 내용은 수동으로 생성된 IAM 역할에 필요한 권한 단원을 참조하십시오.
-
-
(선택 사항) 태그에서 데이터 소스에 태그를 추가합니다.
-
Next(다음)를 선택합니다.
-
OpenSearch 설정에서 OpenSearch 설정 방법을 선택합니다.
-
기본 리소스 이름 및 데이터 보존 설정을 검토합니다.
기본 설정을 사용하면 추가 비용 없이 새 OpenSearch 애플리케이션과 Essentials 워크스페이스가 생성됩니다. OpenSearch를 사용하면 여러 데이터 소스를 분석할 수 있습니다. 여기에는 인기 있는 사용 사례에 맞는 맞춤형 경험을 제공하는 워크스페이스가 포함되어 있습니다. Workspaces는 액세스 제어를 지원하므로 사용 사례에 대한 프라이빗 공간을 생성하고 공동 작업자와만 공유할 수 있습니다.
-
-
사용자 지정 설정 사용:
-
사용자 지정을 선택합니다.
-
필요에 따라 컬렉션 이름과 데이터 보존 설정을 편집합니다.
-
사용할 OpenSearch 애플리케이션 및 워크스페이스를 선택합니다.
-
-
Next(다음)를 선택합니다.
-
선택 사항을 검토하고 변경해야 하는 경우 편집을 선택합니다.
-
연결을 선택하여 데이터 소스를 설정합니다. 데이터 소스가 생성되는 동안이 페이지를 유지합니다. 준비가 되면 데이터 소스 세부 정보 페이지로 이동합니다.
다음 단계
OpenSearch Dashboards를 방문하여 대시보드 생성
데이터 소스가 생성된 후 OpenSearch Service에서 OpenSearch 대시보드 URL을 제공합니다. 이를 사용하여 SQL 또는 PPL을 사용하여 데이터를 쿼리합니다. Security Lake 통합에는 로그 분석을 시작할 수 있도록 SQL 및 PPL용 사전 패키징된 쿼리 템플릿이 함께 제공됩니다.
자세한 내용은 OpenSearch Dashboards에서 Security Lake 데이터 소스 구성 및 쿼리 단원을 참조하십시오.
추가 리소스
수동으로 생성된 IAM 역할에 필요한 권한
데이터 소스를 생성할 때 데이터에 대한 액세스를 관리할 IAM 역할을 선택합니다. 여기에는 두 가지 옵션이 있습니다.
-
새 IAM 역할 자동 생성
-
수동으로 생성한 기존 IAM 역할 사용
수동으로 생성한 역할을 사용하는 경우 역할에 올바른 권한을 연결해야 합니다. 권한은 특정 데이터 소스에 대한 액세스를 허용하고 OpenSearch Service가 역할을 수임하도록 허용해야 합니다. 이는 OpenSearch Service가 데이터에 안전하게 액세스하고 상호 작용할 수 있도록 하기 위해 필요합니다.
다음 샘플 정책은 데이터 소스를 생성하고 관리하는 데 필요한 최소 권한을 보여줍니다. AdminstratorAccess 정책과 같은 더 광범위한 권한이 있는 경우 이러한 권한은 샘플 정책의 최소 권한 권한을 포함합니다.
다음 샘플 정책에서 자리 표시자 텍스트를 자신의 정보로 바꿉니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmazonOpenSearchDirectQueryServerlessAccess",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll",
"aoss:DashboardsAccessAll"
],
"Resource": "arn:aws:aoss:region:account:collection/collectionname/*"
},
{
"Sid": "AmazonOpenSearchDirectQueryGlueAccess",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTableVersions",
"glue:GetTables",
"glue:SearchTables",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:region:account:table/databasename/*",
"arn:aws:glue:region:account:database/databasename",
"arn:aws:glue:region:account:catalog",
"arn:aws:glue:region:account:database/default"
]
},
{
"Sid": "AmazonOpenSearchDirectQueryLakeFormationAccess",
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess"
],
"Resource": [
"*"
]
}
]
}역할에는 대상 ID를 지정하는 다음과 같은 신뢰 정책도 있어야 합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "directquery.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}역할을 생성하기 위한 지침은 사용자 지정 신뢰 정책을 사용하여 역할 생성을 참조하세요.
기본적으로 역할에는 직접 쿼리 데이터 소스 인덱스에 대한 액세스만 있습니다. 데이터 소스에 대한 액세스 권한을 제한하거나 부여하도록 역할을 구성할 수 있지만 이 역할의 액세스 권한을 조정하지 않는 것이 좋습니다. 데이터 소스를 삭제하면 이 역할이 삭제됩니다. 조정할 경우 다른 사용자가 역할에 매핑된 경우 다른 사용자의 액세스 권한이 제거됩니다.
고객 관리형 키로 암호화된 Security Lake 데이터 쿼리
데이터 연결과 연결된 Security Lake 버킷이 고객 관리형를 사용한 서버 측 암호화를 사용하여 암호화된 경우 키 정책에 LakeFormation 서비스 역할을 추가 AWS KMS key해야 합니다. 이렇게 하면 서비스가 쿼리에 대한 데이터에 액세스하고 읽을 수 있습니다.
다음 샘플 정책에서 자리 표시자 텍스트를 자신의 정보로 바꿉니다.
{ "Sid": "Allow LakeFormation to access the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
