As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criação de uma integração de fonte de dados do Amazon Security Lake no OpenSearch Service
Você pode usar o Amazon OpenSearch Serverless para consultar dados de segurança diretamente no Amazon Security Lake. Para fazer isso, você cria uma fonte de dados que permite usar OpenSearch zero ETL recursos nos dados do Security Lake. Ao criar uma fonte de dados, você pode pesquisar, obter insights e analisar diretamente os dados armazenados no Security Lake. Você pode acelerar o desempenho da consulta e usar OpenSearch análises avançadas em conjuntos de dados selecionados do Security Lake usando indexação sob demanda.
Pré-requisitos
Antes de começar, verifique se você revisou a seguinte documentação:
Antes de criar uma fonte de dados, execute as seguintes ações no Security Lake:
-
Habilitar o Security Lake. Configure o Security Lake para coletar registros da Região da AWS mesma forma que seu OpenSearch recurso. Para obter instruções, consulte Introdução ao Amazon Security Lake no guia do usuário do Amazon Security Lake.
-
Configure as permissões do Security Lake. Verifique se você aceitou as permissões da função vinculada ao serviço para gerenciamento de recursos e se o console não mostra nenhum problema na página Problemas. Para obter mais informações, consulte Função vinculada ao serviço para Security Lake no guia do usuário do Amazon Security Lake.
-
Compartilhe fontes de dados do Security Lake. Ao acessar OpenSearch na mesma conta do Security Lake, certifique-se de que não haja nenhuma mensagem para registrar seus buckets do Security Lake no Lake Formation no console do Security Lake. Para OpenSearch acesso entre contas, configure um assinante de consulta do Lake Formation no console do Security Lake. Use a conta associada ao seu OpenSearch recurso como assinante. Para obter mais informações, consulte Gerenciamento de assinantes no Security Lake no guia do usuário do Amazon Security Lake.
Além disso, você também deve ter os seguintes recursos em seu Conta da AWS:
-
(Opcional) Uma IAM função criada manualmente. Você pode usar essa função para gerenciar o acesso à sua fonte de dados. Como alternativa, você pode fazer com que o OpenSearch Service crie uma função para você automaticamente com as permissões necessárias. Se você optar por usar uma IAM função criada manualmente, siga as orientações emPermissões necessárias para IAM funções criadas manualmente.
Procedimento
Você pode configurar uma fonte de dados para se conectar a um banco de dados do Security Lake de dentro do AWS Management Console.
Para configurar uma fonte de dados usando o AWS Management Console
-
Navegue até o console do Amazon OpenSearch Service emhttps://console.aws.amazon.com/aos/
. -
No painel de navegação esquerdo, acesse Gerenciamento central e escolha Fontes de dados conectadas.
-
Selecione Conectar.
-
Escolha Security Lake como o tipo de fonte de dados.
-
Escolha Próximo.
-
Em Detalhes da conexão de dados, insira um nome e uma descrição opcional.
-
Em configurações de IAM permissão de acesso, escolha como gerenciar o acesso à sua fonte de dados.
-
Se você quiser criar automaticamente uma função para essa fonte de dados, siga estas etapas:
-
Selecione Criar uma nova função.
-
Insira um nome para a IAM função.
-
Selecione uma ou mais AWS Glue tabelas para definir quais dados podem ser consultados.
-
-
Se você quiser usar uma função existente que você mesmo gerencia, siga estas etapas:
-
Selecione Usar perfil existente.
-
Selecione uma função existente no menu suspenso.
-
nota
Ao usar sua própria função, você deve garantir que ela tenha todas as permissões necessárias anexando as políticas necessárias do IAM console. Para obter mais informações, consulte Permissões necessárias para IAM funções criadas manualmente.
-
-
(Opcional) Em Tags, adicione tags à sua fonte de dados.
-
Escolha Próximo.
-
Em Configurar OpenSearch, escolha como configurar OpenSearch.
-
Revise os nomes de recursos padrão e as configurações de retenção de dados.
Quando você usa as configurações padrão, um novo OpenSearch aplicativo e espaço de trabalho do Essentials são criados para você sem custo adicional. OpenSearch permite que você analise várias fontes de dados. Inclui espaços de trabalho, que fornecem experiências personalizadas para casos de uso populares. Os espaços de trabalho oferecem suporte ao controle de acesso, permitindo que você crie espaços privados para seus casos de uso e os compartilhe somente com seus colaboradores.
-
-
Use configurações personalizadas:
-
Escolha Customize (Personalizar).
-
Edite o nome da coleção e as configurações de retenção de dados conforme necessário.
-
Selecione o OpenSearch aplicativo e o espaço de trabalho que você deseja usar.
-
-
Escolha Próximo.
-
Revise suas escolhas e escolha Editar se precisar fazer alguma alteração.
-
Escolha Connect para configurar a fonte de dados. Permaneça nesta página enquanto sua fonte de dados é criada. Quando estiver pronto, você será direcionado para a página de detalhes da fonte de dados.
Próximas etapas
Visite OpenSearch Painéis e crie um painel
Depois de criar uma fonte de dados, o OpenSearch Service fornece OpenSearch painéisURL. Você usa isso para consultar seus dados usando SQL ouPPL. A integração do Security Lake vem com modelos de consulta pré-empacotados PPL para você começar a analisar seus registros. SQL
Para obter mais informações, consulte Configurando e consultando uma fonte de dados do Security Lake em painéis OpenSearch .
Recursos adicionais
Permissões necessárias para IAM funções criadas manualmente
Ao criar uma fonte de dados, você escolhe uma IAM função para gerenciar o acesso aos seus dados. Você tem duas opções:
-
Crie uma nova IAM função automaticamente
-
Use uma IAM função existente que você criou manualmente
Se você usar uma função criada manualmente, precisará anexar as permissões corretas à função. As permissões devem permitir o acesso à fonte de dados específica e permitir que o OpenSearch Serviço assuma a função. Isso é necessário para que o OpenSearch Serviço possa acessar e interagir com seus dados com segurança.
O exemplo de política a seguir demonstra as permissões de privilégio mínimo necessárias para criar e gerenciar uma fonte de dados. Se você tiver permissões mais amplas, como a AdminstratorAccess
política, essas permissões abrangem as permissões de privilégio mínimo na política de amostra.
No exemplo de política a seguir, placeholder text
substitua o por suas próprias informações.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonOpenSearchDirectQueryServerlessAccess", "Effect": "Allow", "Action": [ "aoss:APIAccessAll", "aoss:DashboardsAccessAll" ], "Resource": "arn:aws:aoss:
region
:account
:collection/collectionname
/*" }, { "Sid": "AmazonOpenSearchDirectQueryGlueAccess", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetPartition", "glue:GetPartitions", "glue:GetTable", "glue:GetTableVersions", "glue:GetTables", "glue:SearchTables", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:region
:account
:table/databasename
/*", "arn:aws:glue:region
:account
:database/databasename
", "arn:aws:glue:region
:account
:catalog", "arn:aws:glue:region
:account
:database/default" ] }, { "Sid": "AmazonOpenSearchDirectQueryLakeFormationAccess", "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] } ] }
O perfil também deve ter a seguinte política de confiança, que especifica o ID de destino.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "directquery.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Para obter instruções sobre como criar o perfil, consulte Criar um perfil usando políticas de confiança personalizadas.
Por padrão, a função tem acesso somente aos índices da fonte de dados de consulta direta. Embora você possa configurar a função para limitar ou conceder acesso à sua fonte de dados, é recomendável não ajustar o acesso dessa função. Se você excluir a fonte de dados, essa função será excluída. Isso removerá o acesso de outros usuários se eles estiverem mapeados para a função.
Consultando dados do Security Lake criptografados com uma chave gerenciada pelo cliente
Se o bucket do Security Lake associado à conexão de dados for criptografado usando criptografia do lado do servidor com um cliente gerenciado AWS KMS key, você deverá adicionar a função de LakeFormation serviço à política principal. Isso permite que o serviço acesse e leia os dados para suas consultas.
No exemplo de política a seguir, placeholder text
substitua o por suas próprias informações.
{ "Sid": "Allow LakeFormation to access the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account
:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }