Solução de problemas do Amazon Security Lake - Amazon Security Lake
Solução de problemas do status do data lakeSolução de problemas do Lake FormationSolução de problemas de consultas no Amazon AthenaSolução de problemas no OrganizationsSolução de problemas do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas do Amazon Security Lake

Consulte os tópicos a seguir se você encontrar problemas ao usar o Security Lake.

Solução de problemas do status do data lake

A página Problemas do console do Security Lake mostra um resumo dos problemas que estão afetando seu data lake. Por exemplo, o Security Lake não pode habilitar a coleta de registros para eventos de AWS CloudTrail gerenciamento se você não tiver criado uma CloudTrail trilha para sua organização. A página Problemas aborda problemas que ocorreram nos últimos 14 dias. Você pode ver uma descrição de cada problema e as etapas de correção sugeridas.

Para acessar programaticamente um resumo dos problemas, você pode usar a ListDataLakeExceptionsoperação da API Security Lake. Se você estiver usando o AWS CLI, execute o list-data-lake-exceptionscomando. Para o regions parâmetro, você pode especificar um ou mais códigos de região — por exemplo, us-east-1 para a região Leste dos EUA (Norte da Virgínia) — para ver os problemas que afetam essas regiões. Se você não incluir o regions parâmetro, os problemas que afetam todas as regiões serão retornados. Para obter uma lista de códigos de região, consulte Endpoints do Amazon Security Lake na Referência geral da AWS.

Por exemplo, o AWS CLI comando a seguir lista problemas que estão afetando as eu-west-3 regiões us-east-1 e. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securitylake list-data-lake-exceptions \
--regions "us-east-1" "eu-west-3"

Para notificar um usuário do Security Lake sobre um problema ou erro, use a CreateDataLakeExceptionSubscriptionoperação da API do Security Lake. O usuário pode ser notificado por e-mail, entrega em uma fila do Amazon Simple Queue Service (Amazon SQS), entrega para AWS Lambda uma função ou outro protocolo compatível.

Por exemplo, o AWS CLI comando a seguir envia notificações de exceções do Security Lake para a conta especificada por meio de entrega de SMS. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securitylake create-data-lake-exception-subscription \
--notification-endpoint "123456789012" \
--exception-time-to-live 30 \
--subscription-protocol "sms"

Para ver detalhes sobre uma assinatura de exceção, você pode usar a GetDataLakeExceptionSubscriptionoperação. Para atualizar uma assinatura de exceção, você pode usar a UpdateDataLakeExceptionSubscriptionoperação. Para excluir uma assinatura de exceção e interromper as notificações, você pode usar a DeleteDataLakeExceptionSubscriptionoperação.

Solução de problemas do Lake Formation

Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Security Lake e AWS Lake Formation bancos de dados ou tabelas. Para ver mais tópicos de solução de problemas do Lake Formation, consulte a seção Solução de problemas do Guia do desenvolvedor do AWS Lake Formation .

Tabela não encontrada

Esse erro pode aparecer quando você tentar criar um assinante.

Para solucioná-lo, verifique se você já adicionou fontes na Região. Se você adicionou fontes quando o serviço Security Lake estava na versão prévia, as adicione novamente antes de criar um assinante. Para obter mais informações sobre como adicionar fontes, consulte Gerenciamento de fontes no Amazon Security Lake.

400 AccessDenied

Esse erro pode aparecer quando você adicionar uma fonte personalizada e chamar a API CreateCustomLogSource.

Para resolvê-lo, revise suas permissões do Lake Formation. O perfil do IAM que está chamando a API deve ter permissões Create table para o banco de dados do Security Lake. Para mais informações, consulte Conceder permissões de banco de dados usando o console do Lake Formation e o método de recurso nomeado no Guia do desenvolvedor do AWS Lake Formation .

SYNTAX_ERROR: linha 1:8: SELECT * não é permitido a partir de uma relação que não tem colunas

Esse erro pode aparecer ao consultar uma tabela de fonte no Lake Formation pela primeira vez.

Para resolver o erro, conceda SELECT permissão à função do IAM que você está usando quando está conectado ao seu Conta da AWS. Para saber como conceder a permissão SELECT, consulte Conceder permissões de tabela usando o console do Lake Formation e o método de recurso nomeado no Guia do desenvolvedor do AWS Lake Formation .

O Security Lake não conseguiu adicionar a entidade principal ARN do chamador ao administrador de data lake do Lake Formation. Os atuais administradores de data lake podem incluir entidades principais inválidas que não existem mais.

Você pode receber esse erro ao ativar o Security Lake ou adicionar um AWS service (Serviço da AWS) como fonte de log.

Para resolver esse erro, siga estas etapas:

  1. Abra o console do Lake Formation em https://console.aws.amazon.com/lakeformation/.

  2. Faça login como usuário administrador.

  3. No painel de navegação, em Permissões, selecione Perfis e tarefas administrativas.

  4. Na seção Administradores do Data Lake, selecione Escolher administradores.

  5. Limpe as entidades principais rotuladas como Não encontradas no IAM e selecione Salvar.

  6. Tente a operação Security Lake novamente.

O Security Lake CreateSubscriber com Lake Formation não criou um novo convite de compartilhamento de recursos de RAM para ser aceito

Você pode ver esse erro se tiver compartilhado recursos com o compartilhamento de dados entre contas do Lake Formation versão 2 ou versão 3 antes de criar um assinante do Lake Formation no Security Lake. Isso ocorre porque o compartilhamento entre contas do Lake Formation versão 2 e versão 3 otimiza o número de compartilhamentos de recursos de AWS RAM mapeando várias concessões de permissão entre contas com um compartilhamento de recursos de AWS RAM.

Verifique se o nome do compartilhamento de recursos tem o ID externo que você especificou ao criar o assinante, e se o ARN do compartilhamento de recursos corresponde ao ARN na resposta CreateSubscriber.

Solução de problemas de consultas no Amazon Athena

Use as seguintes informações para diagnosticar e corrigir problemas comuns que podem ser encontrados ao usar o Athena para consultar objetos que estão armazenados no bucket S3 do Security Lake. Para ver mais tópicos de solução de problemas do Athena, consulte a seção Solução de problemas do Athena do Guia do usuário do Amazon Athena.

A consulta não está retornando novos objetos no data lake

Sua consulta do Athena pode não retornar novos objetos em seu data lake, mesmo quando o bucket S3 para o Security Lake contém esses objetos. Isso pode ocorrer se você tiver desativado o Security Lake e depois ativado novamente. Como resultado, as AWS Glue partições podem não registrar adequadamente os novos objetos.

Para resolver esse erro, siga estas etapas:

  1. Abra o AWS Lambda console em https://console.aws.amazon.com/lambda/.

  2. Na barra de navegação, no seletor “Regiões”, escolha a Região onde a consulta do Athena não está retornando resultados mesmo com o Security Lake ativado.

  3. No painel de navegação, escolha Funções e selecione a função SecurityLake_Glue_Partition_Updater_Lambda_ region>.

  4. Na guia Configuração, selecione Gatilhos.

  5. Selecione a opção ao lado da função e escolha Editar.

  6. Selecione Ativar gatilho e escolha Salvar. O estado da função passará a ser Ativado.

Não é possível acessar AWS Glue as tabelas

Um assinante de acesso a consultas pode não conseguir acessar AWS Glue tabelas que contêm dados do Security Lake.

Primeiro, certifique-se de que você seguiu os passos descritos em Como configurar o compartilhamento de tabelas entre contas (etapa do assinante).

Se o assinante ainda não tiver acesso, siga estas etapas:

  1. Abra o AWS Glue console em https://console.aws.amazon.com/glue/.

  2. No painel de navegação, escolha Catálogo de dados e Configurações do catálogo.

  3. Dê permissão ao assinante para acessar as AWS Glue tabelas com uma política baseada em recursos. Para saber como criar políticas baseadas em recursos, consulte Exemplos de políticas baseadas em recursos do AWS Glue, no Guia do desenvolvedor do AWS Glue .

Solução de problemas no Organizations

Use as seguintes informações para diagnosticar e corrigir problemas comuns que podem ser encontrados ao trabalhar com o Security Lake e com o AWS Organizations. Para ver mais tópicos de solução de problemas do Organizations, consulte a seção Solução de problemas do Guia do usuário do AWS Organizations .

Ocorreu um erro de acesso negado ao chamar a CreateDataLake operação: sua conta deve ser a conta de administrador delegado de uma organização ou uma conta independente.

Você pode receber esse erro se excluir a organização à qual uma conta de administrador delegado pertencia e depois tentar usar essa conta para configurar o Security Lake usando o console do Security Lake ou a API do CreateDataLake.

Para resolvê-lo, use uma conta de administrador delegado de outra organização ou uma conta independente.

Solução de problemas de identidade e acesso do Amazon Security Lake

Use as seguintes informações para diagnosticar e corrigir problemas comuns que podem ser encontrados ao trabalhar com o Security Lake e com o IAM.

Não tenho autorização para executar uma ação no Security Lake

Se isso AWS Management Console indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. O administrador é a pessoa que forneceu a você suas credenciais.

O erro do exemplo a seguir ocorre quando o usuário do IAM mateojackson tenta usar o console para visualizar detalhes sobre um subscriber fictício sem ter as permissões SecurityLake:GetSubscriber.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: YOURSERVICEPREFIX:GetWidget on resource: my-example-widget

Neste caso, Mateo pede ao administrador para atualizar suas políticas de forma permitir o acesso à informação do subscriber usando a ação SecurityLake:GetSubscriber.

Não estou autorizado a realizar iam: PassRole

Se você receber uma mensagem de erro informando que não tem autorização para executar a ação iam:PassRole, as suas políticas deverão ser atualizadas para permitir a passagem de um perfil para o Security Lake.

Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.

O erro de exemplo a seguir ocorre quando um usuário do IAM chamado marymajor tenta usar o console para executar uma ação no Security Lake. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação iam:PassRole.

Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.

Quero permitir que pessoas fora da minha acessem meus Conta da AWS recursos do Security Lake

Você pode criar um perfil que os usuários de outras contas ou pessoas fora da sua organização podem usar para acessar seus recursos. Você pode especificar quem é confiável para assumir o perfil. Para serviços que oferecem compatibilidade com políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.

Para saber mais, consulte: