Security Lake의 수명 주기 관리 - Amazon Security Lake
보존 관리롤업 리전

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Lake의 수명 주기 관리

원하는 시간 AWS 리전 동안 원하는 시간에 데이터를 저장하도록 Security Lake를 사용자 지정할 수 있습니다. 수명 주기 관리를 통해 다양한 규정 준수 요구 사항을 준수할 수 있습니다.

보존 관리

데이터를 관리하여 비용 효율적으로 저장하기 위해 데이터에 대한 보존 설정을 구성할 수 있습니다. Security Lake는 Amazon Simple Storage Service (Amazon S3) 버킷에 데이터를 객체로 저장하므로 보관 설정은 Amazon S3 수명 주기 구성과 일치합니다. 이러한 설정을 구성하여 선호하는 Amazon S3 스토리지 클래스와 S3 객체가 다른 스토리지 클래스로 전환하거나 만료되기 전에 해당 스토리지 클래스에 머무르는 기간을 지정할 수 있습니다. Amazon S3 수명 주기 구성에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서에서 스토리지 수명 주기 관리를 참조하세요.

Security Lake에서는 리전 수준에서 보존 설정을 지정합니다. 예를 들어, 데이터 레이크에 기록된 지 30일이 지나면 특정 AWS 리전 내 모든 S3 객체를 S3 스탠다드-IA 스토리지 클래스로 전환하도록 선택할 수 있습니다. 기본 스토리지 클래스는 S3 Standard입니다.

중요

Security Lake는 Amazon S3 객체 잠금을 지원하지 않습니다. 데이터 레이크 버킷이 생성되면 S3 객체 잠금이 기본적으로 비활성화됩니다. 기본 보존 모드로 S3 Object Lock을 활성화하면 데이터 레이크로 정규화된 로그 데이터 전송이 중단됩니다.

Security Lake를 활성화할 때 보존 설정을 구성합니다.

Security Lake에 온보딩할 때 다음 지침에 따라 하나 이상의 리전에 대한 보존 설정을 구성하십시오. 보존 설정을 구성하지 않으면 Security Lake는 Amazon S3 수명 주기 구성의 기본 설정을 사용합니다. 즉, S3 Standard 스토리지 클래스를 사용하여 데이터를 무기한 저장합니다.

Console

  1. Security Lake 콘솔(https://console.aws.amazon.com/securitylake/)을 엽니다.

  2. 2단계: 온보딩 워크플로의 대상 목표 정의에 도달하면 스토리지 클래스 선택에서 전환 추가를 선택합니다. 그런 다음 S3 객체를 전환하려는 Amazon S3 스토리지 클래스를 선택합니다. (목록에 없는 기본 스토리지 클래스는 S3 Standard입니다.) 또한 해당 스토리지 클래스의 보존 기간 (일) 을 지정하십시오. 해당 기간 이후에 객체를 다른 스토리지 클래스로 전환하려면 전환 추가를 선택하고 후속 스토리지 클래스 및 보존 기간에 대한 설정을 입력합니다.

  3. S3 객체 만료 시기를 지정하려면 전환 추가를 선택합니다. 그런 다음 스토리지 클래스의 경우 만료를 선택합니다. 보존 기간에는 객체 생성 후 임의의 스토리지 클래스를 사용하여 Amazon S3에 객체를 저장할 총 일수를 입력합니다. 이 기간이 끝나면 객체가 만료되고 Amazon S3에서 객체를 삭제합니다.

  4. 마쳤으면 다음을 선택합니다.

변경 사항은 이전 온보딩 단계에서 Security Lake를 활성화한 모든 리전에 적용됩니다.

API

Security Lake에 온보딩할 때 보존 설정을 프로그래밍 방식으로 구성하려면 Security Lake API의 CreateDataLake작업을 사용하십시오. 를 사용하는 AWS CLI경우 명령을 실행하십시오. create-data-lake 다음과 같이 lifecycleConfiguration 파라미터에서 원하는 보존 설정을 지정합니다.

  • transitions의 경우 특정 Amazon S3 스토리지 클래스 (storageClass)에 S3 객체를 저장할 총 일수 (days)를 지정합니다.

  • expiration의 경우, 객체를 생성한 후 임의의 스토리지 클래스를 사용하여 Amazon S3에 객체를 저장할 총 일수를 지정합니다. 이 기간이 끝나면 객체가 만료되고 Amazon S3에서 객체를 삭제합니다.

Security Lake는 configurations객체의 region 필드에 지정하는 리전에 설정을 적용합니다.

예를 들어 다음 명령은 해당 us-east-1 지역의 Security Lake를 활성화합니다. 이 지역에서 객체는 365일 후에 만료되고 객체는 60일 후에 ONEZONE_IA S3 스토리지 클래스로 전환됩니다. 이 예제는 Linux, macOS 또는 Unix용으로 포맷되었으며 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default"

보존 설정 업데이트

Security Lake를 활성화한 후 다음 지침에 따라 하나 이상의 지역에 대한 보존 설정을 업데이트하십시오.

Console

  1. Security Lake 콘솔(https://console.aws.amazon.com/securitylake/)을 엽니다.

  2. 탐색 창에서 리전을 선택합니다.

  3. 리전을 선택한 다음 편집을 선택합니다.

  4. 스토리지 클래스 선택 섹션에서 원하는 설정을 입력합니다. 스토리지 클래스의 경우, S3 개체를 전환할 Amazon S3 스토리지 클래스를 선택합니다. (목록에 없는 기본 스토리지 클래스는 S3 Standard입니다.) 보관 기간에는 해당 스토리지 클래스에 객체를 저장할 일수를 입력합니다. 여러 전환을 지정할 수 있습니다.

    S3 객체 만료 시기도 지정하려면 스토리지 클래스에 대해 Expire를 선택합니다. 그런 다음, 보관 기간에 객체 생성 후 임의의 스토리지 클래스를 사용하여 Amazon S3에 객체를 저장할 총 일수를 입력합니다. 이 기간이 끝나면 객체가 만료되고 Amazon S3에서 객체를 삭제합니다.

  5. 마쳤으면 저장을 선택합니다.

API

보존 설정을 프로그래밍 방식으로 업데이트하려면 Security Lake API의 UpdateDataLake작업을 사용하십시오. 를 사용하는 경우 명령을 실행하십시오. AWS CLIupdate-data-lake 요청 시 lifecycleConfiguration 파라미터를 사용하여 새 설정을 지정하십시오.

  • 전환 설정을 변경하려면 transitions 파라미터를 사용하여 특정 Amazon S3 스토리지 클래스(storageClass)에 S3 객체를 저장할 각각의 새 기간을 일 (days) 단위로 지정합니다.

  • 전체 보존 기간을 변경하려면 expiration 파라미터를 사용하여 객체 생성 후 스토리지 클래스를 사용하여 S3 객체를 저장할 총 일수를 지정합니다. 이 보존 기간이 끝나면 객체가 만료되고 Amazon S3에서 객체를 삭제합니다.

Security Lake는 configurations 객체의 region 필드에 지정한 리전에 설정을 적용합니다.

예를 들어 다음 AWS CLI 명령은 해당 us-east-1 지역의 데이터 만료 설정 및 스토리지 전환 설정을 업데이트합니다. 이 지역에서 객체는 500일 후에 만료되고 객체는 30일 후에 ONEZONE_IA S3 스토리지 클래스로 전환됩니다. 이 예제는 Linux, macOS 또는 Unix용으로 포맷되었으며 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default"

롤업 리전

롤업 리전은 하나 이상의 기여 리전의 데이터를 통합합니다. 이렇게 하면 리전별 데이터 규제 요구 사항을 준수할 수 있습니다.

롤업 영역 구성에 대한 지침은 을 참조하십시오. 롤업 리전 구성