기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Lake 구독자의 데이터 액세스 관리
Amazon Security Lake의 원본 데이터에 대한 데이터 액세스 권한이 있는 구독자는 데이터가 S3 버킷에 기록될 때 원본의 새 객체에 대한 알림을 받습니다. 기본적으로 구독자는 자신이 제공하는 HTTPS 엔드포인트를 통해 새 객체에 대한 알림을 받습니다. Amazon Simple Queue Service(Amazon SQS) 대기열을 폴링하여 구독자에게 새 객체에 대한 알림을 받을 수도 있습니다.
데이터에 액세스할 수 있는 구독자를 생성하기 위한 사전 요구 사항
Security Lake에서 데이터에 액세스할 수 있는 구독자를 생성하려면 먼저 다음 사전 조건을 완료해야 합니다.
권한 확인
권한을 확인하려면 IAM을 사용하여 IAM ID에 연결된 IAM 정책을 검토하십시오. 그런 다음 해당 정책의 정보를 데이터 레이크에 새 데이터가 기록될 때 구독자에게 알려야 하는 다음 (권한) 조치 목록과 비교하십시오.
다음 작업을 수행할 수 있는 권한이 필요합니다.
-
iam:CreateRole
-
iam:DeleteRolePolicy
-
iam:GetRole
-
iam:PutRolePolicy
-
lakeformation:GrantPermissions
-
lakeformation:ListPermissions
-
lakeformation:RegisterResource
-
lakeformation:RevokePermissions
-
ram:GetResourceShareAssociations
-
ram:GetResourceShares
-
ram:UpdateResourceShare
위의 목록 외에도 다음 작업을 수행할 수 있는 권한이 필요합니다.
-
events:CreateApiDestination
-
events:CreateConnection
-
events:DescribeRule
-
events:ListApiDestinations
-
events:ListConnections
-
events:PutRule
-
events:PutTargets
-
s3:GetBucketNotification
-
s3:PutBucketNotification
-
sqs:CreateQueue
-
sqs:DeleteQueue
-
sqs:GetQueueAttributes
-
sqs:GetQueueUrl
-
sqs:SetQueueAttributes
구독자의 외부 ID 가져오기
구독자를 만들려면 구독자 ID와 별도로 외부 AWS 계정 ID도 가져와야 합니다. 외부 ID는 구독자가 제공하는 고유 식별자입니다. Security Lake는 생성한 구독자 IAM 역할에 외부 ID를 추가합니다. 외부 ID는 Security Lake 콘솔에서 구독자를 생성할 때, API 또는 AWS CLI를 통해 사용합니다.
외부 ID에 대한 자세한 내용은 IAM 사용 설명서의 제3자에게 AWS 리소스에 대한 액세스 권한을 부여할 때 외부 ID를 사용하는 방법을 참조하십시오.
중요
Security Lake 콘솔을 사용하여 구독자를 추가하려는 경우 다음 단계를 건너뛰고 데이터에 액세스할 수 있는 구독자 만들기 단원으로 진행하면 됩니다. Security Lake 콘솔은 간소화된 시작 프로세스를 제공하며, 필요한 모든 IAM 역할을 생성하거나 사용자 대신 기존 역할을 사용합니다.
Security Lake API를 사용하거나 구독자를 AWS CLI 추가하려는 경우 다음 단계를 계속 진행하여 API 대상을 호출하는 IAM 역할을 생성하십시오. EventBridge
EventBridge API 대상 (API 및 전용 단계) 을 호출하기 위한 IAM 역할 생성 AWS CLI
API 또는 를 통해 Security Lake를 사용하는 경우 AWS CLI, Amazon에 API 대상을 호출하고 올바른 HTTPS 엔드포인트로 객체 알림을 전송할 수 있는 EventBridge 권한을 부여하는 역할 AWS Identity and Access Management (IAM) 을 생성하십시오.
IAM 역할을 정의한 후에는 역할의 Amazon 리소스 이름(ARN)이 있어야 구독자를 생성합니다. 구독자가 Amazon Simple Queue Service (Amazon SQS) 대기열에서 데이터를 폴링하거나 AWS Lake Formation에서 데이터를 직접 쿼리하는 경우에는 이 IAM 역할이 필요하지 않습니다. 이런 종류의 데이터 액세스 방법 (액세스 유형) 에 대한 자세한 정보는 구독자를 위한 쿼리 액세스 관리을 참조하십시오.
다음과 같은 정책을 IAM 역할에 연결합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowInvokeApiDestination", "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:{
us-west-2
}:{123456789012
}:api-destination/AmazonSecurityLake*/*" ] } ] }
다음 신뢰 정책을 IAM 역할에 연결하여 역할을 맡을 수 있도록 EventBridge 허용하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEventBridgeToAssume", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Security Lake는 구독자가 데이터 레이크에서 데이터를 읽을 수 있도록 허용하는 IAM 역할을 자동으로 생성합니다 (또는 선호하는 알림 방법인 경우 Amazon SQS 대기열에서 이벤트를 폴링할 수 있음). 이 역할은 라는 AWS AmazonSecurityLakePermissionsBoundary관리형 정책으로 보호됩니다.
데이터에 액세스할 수 있는 구독자 만들기
다음 액세스 방법 중 하나를 선택하여 현재 AWS 리전데이터에 액세스할 수 있는 구독자를 생성합니다.
이후에 구독자의 알림 방법 (Amazon SQS 대기열 또는 HTTPS 엔드포인트) 을 변경하려면 UpdateSubscriber알림 작업을 사용하거나, 를 사용하는 경우 update-subscriber-notification 명령을 실행하십시오. AWS CLI
샘플 객체 알림 메시지의 예
{ "source": "aws.s3", "time": "2021-11-12T00:00:00Z", "account": "123456789012", "region": "ca-central-1", "resources": [ "arn:aws:s3:::example-bucket" ], "detail": { "bucket": { "name": "example-bucket" }, "object": { "key": "example-key", "size": 5, "etag": "b57f9512698f4b09e608f4f2a65852e5" }, "request-id": "N4N7GDK58NMKJ12R", "requester": "securitylake.amazonaws.com" } }
데이터 구독자 업데이트
구독자가 소비하는 소스를 변경하여 구독자를 업데이트할 수 있습니다. 구독자에게 태그를 할당하거나 편집할 수도 있습니다. 태그는 구독자를 비롯한 특정 유형의 리소스에 정의하여 할당할 수 있는 레이블입니다. AWS 자세한 내용은 Amazon Security Lake 리소스에 태그 지정 섹션을 참조하세요.
액세스 방법 중 하나를 선택하고 다음 단계에 따라 기존 구독의 새 소스를 정의하십시오.
데이터 구독자 제거
구독자가 Security Lake의 데이터를 더 이상 사용하지 않도록 하려면 다음 단계에 따라 구독자를 제거할 수 있습니다.