As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciando o acesso de consulta para assinantes do Security Lake
Os assinantes com acesso de consulta podem consultar os dados que o Security Lake coleta. Esses assinantes consultam diretamente AWS Lake Formation as tabelas em seu bucket do S3 com serviços como o Amazon Athena. Embora o principal mecanismo de consulta do Security Lake seja o Athena, você também pode usar outros serviços, como Amazon Redshift Spectrum e Spark SQL, que se integram com o AWS Glue Data Catalog.
nota
Esta seção explica como conceder acesso de consulta a um assinante terceirizado. Para obter informações sobre como executar consultas em seu próprio data lake, consulte Etapa 4: visualizar e consultar seus próprios dados.
Pré-requisitos para a criação de um assinante com acesso de consulta
É necessário concluir os pré-requisitos a seguir antes de criar um assinante com acesso a dados no Security Lake.
Tópicos
Verificar permissões
Antes de criar um assinante com acesso de consulta, verifique se você tem permissão para executar a lista de ações a seguir.
Para verificar suas permissões, use o IAM para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações nessas políticas com a seguinte lista de ações que você deve ter permissão para realizar para criar um assinante com acesso de consulta.
-
iam:CreateRole
-
iam:DeleteRolePolicy
-
iam:GetRole
-
iam:PutRolePolicy
-
lakeformation:GrantPermissions
-
lakeformation:ListPermissions
-
lakeformation:RegisterResource
-
lakeformation:RevokePermissions
-
ram:GetResourceShareAssociations
-
ram:GetResourceShares
-
ram:UpdateResourceShare
Importante
Depois de verificar as permissões:
Se você planeja usar o console do Security Lake para adicionar um assinante com acesso de consulta, você pode pular a próxima etapa e ir para Conceda permissões de administrador do Lake Formation. O Security Lake cria todos os perfis necessários do IAM ou usa os perfis existentes em seu nome.
Se você planeja usar a API do Security Lake ou a CLI para adicionar um assinante com acesso de consulta, vá para a próxima etapa para criar um perfil do IAM para consultar dados do Security Lake.
Crie uma função do IAM para consultar dados do Security Lake (API e etapa AWS CLI somente)
Ao usar a API Security Lake ou AWS CLI para conceder acesso de consulta a um assinante, você precisará criar uma função chamadaAmazonSecurityLakeMetaStoreManager
. O Security Lake usa essa função para registrar AWS Glue partições e atualizar AWS Glue tabelas. Talvez você já tenha criado esse perfil ao Criar os perfis necessários do IAM.
Conceda permissões de administrador do Lake Formation
Você também precisará adicionar permissões de administrador do Lake Formation ao perfil do IAM que você usa para acessar o console do Security Lake e adicionar assinantes.
Você pode conceder permissões de administrador do Lake Formation para sua função seguindo estas etapas:
Abra o console do Lake Formation em https://console.aws.amazon.com/lakeformation/
. -
Faça login como usuário administrador.
-
Se a janela Bem-vindo ao Lake Formation for exibida, escolha o usuário que você criou ou selecionou na Etapa 1 e, escolha Começar.
-
Se você não vir a janela de Boas-vindas ao Lake Formation, execute as etapas a seguir para configurar um administrador do Lake Formation.
-
No painel de navegação, em Permissões, selecione Perfis e tarefas administrativas. Na seção Administradores do Data Lake, selecione Escolher administradores.
-
Na caixa de diálogo Gerenciar administradores do data lake, para usuários e perfis do IAM, escolha o perfil de administrador usado ao acessar o console do Security Lake e escolha Salvar.
-
Para obter mais informações sobre a alteração de permissões para administradores de data lake, consulte Criar um administrador de data lake no Guia do desenvolvedor do AWS Lake Formation .
O perfil do IAM deve ter privilégios SELECT
no banco de dados e nas tabelas aos quais você deseja conceder acesso a um assinante. Para obter instruções sobre como fazer isso, consulte Conceder permissões ao catálogo de dados usando o método de recurso nomeado no Guia do desenvolvedor do AWS Lake Formation .
Criação de um assinante com acesso de consulta
Escolha seu método preferido para criar um assinante com acesso à consulta no atual Região da AWS. Um assinante só pode consultar dados do local em Região da AWS que ele foi criado. Para criar um assinante, você precisará ter o Conta da AWS ID e o ID externo do assinante. O ID externo é um identificador exclusivo que o assinante fornece a você. Para obter mais informações sobre IDs externas, consulte Como usar uma ID externa ao conceder acesso aos seus AWS recursos a terceiros no Guia do usuário do IAM.
nota
O Security Lake não é compatível com a versão 1 do compartilhamento de dados entre contas do Lake Formation. Você deve atualizar o compartilhamento de dados entre contas do Lake Formation para a versão 2 ou versão 3. Para ver as etapas para atualizar as configurações da versão entre contas por meio do AWS Lake Formation console ou da AWS CLI, consulte Para habilitar a nova versão no Guia do AWS Lake Formation desenvolvedor.
Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)
O Security Lake usa o compartilhamento de tabelas entre contas do Lake Formation para oferecer suporte ao acesso de consultas para assinantes. Quando você cria um assinante com acesso de consulta no console do Security Lake, na API ou AWS CLI, o Security Lake compartilha informações sobre as tabelas relevantes do Lake Formation com o assinante criando um compartilhamento de recursos em AWS Resource Access Manager ()AWS RAM.
Quando você faz certos tipos de edições em um assinante com acesso de consulta, o Security Lake cria um novo compartilhamento de recursos. Para ter mais informações, consulte Como editar um assinante com acesso de consulta.
O assinante deve seguir estas etapas para consumir dados de suas tabelas do Lake Formation:
-
Aceitar o compartilhamento de recursos: o assinante deve aceitar o compartilhamento de recursos que tem o
resourceShareArn
eresourceShareName
que é gerado quando você cria ou edita o assinante. Escolha um dos seguintes métodos:Para console e AWS CLI, consulte Aceitar um convite de compartilhamento de recursos de AWS RAM.
-
Para API, invoque a GetResourceShareInvitationsAPI. Filtre por
resourceShareArn
eresourceShareName
para encontrar o compartilhamento de recursos correto. Aceite o convite com a AcceptResourceShareInvitationAPI.
O convite de compartilhamento de recursos expira em 12 horas, então você deve validar e aceitar o convite em 12 horas. Se o convite expirar, você continuará a vê-lo em um estado
PENDING
, mas aceitá-lo não lhe dará acesso aos recursos compartilhados. Depois de 12 horas, exclua o assinante do Lake Formation e recrie o assinante para receber um novo convite de compartilhamento de recursos. -
Criar um link de recurso para tabelas compartilhadas: o assinante deve criar um link de recurso para as tabelas compartilhadas do Lake Formation no AWS Lake Formation (se estiver usando o console) ou no AWS Glue (se estiver usando a API/AWS CLI). Esse link de recurso direciona a conta do assinante para as tabelas compartilhadas. Escolha um dos seguintes métodos:
-
Para o console e AWS CLI, consulte Criação de um link de recurso para uma tabela compartilhada do Catálogo de Dados no Guia do AWS Lake Formation Desenvolvedor.
-
Para API, invoque a AWS Glue CreateTableAPI. Recomendamos que os assinantes também criem um banco de dados exclusivo com a CreateDatabaseAPI para armazenar tabelas de links de recursos.
-
-
Consulte as tabelas compartilhadas: serviços como o Amazon Athena podem consultar as tabelas diretamente, e os novos dados que o Security Lake coleta estão automaticamente disponíveis para consulta. As consultas são executadas no assinante e os custos incorridos com as consultas são cobrados do assinante. Conta da AWS Você pode controlar o acesso de leitura aos recursos em sua própria conta do Security Lake.
Para obter mais informações sobre a concessão de permissões entre contas, consulte Compartilhamento de dados entre contas no Lake Formation no Guia do desenvolvedor do AWS Lake Formation .
Como editar um assinante com acesso de consulta
O Security Lake oferece suporte para fazer edições em um assinante com acesso de consulta. Você pode editar o nome, a descrição, o ID externo, o principal (Conta da AWS ID) e as fontes de registro do assinante que o assinante pode consumir. Escolha seu método preferido e siga as etapas para editar um assinante com acesso de consulta na Região da AWS atual.
nota
O Security Lake não é compatível com a versão 1 do compartilhamento de dados entre contas do Lake Formation. Você deve atualizar o compartilhamento de dados entre contas do Lake Formation para a versão 2 ou versão 3. Para ver as etapas para atualizar as configurações da versão entre contas por meio do AWS Lake Formation console ou da AWS CLI, consulte Para habilitar a nova versão no Guia do AWS Lake Formation desenvolvedor.