Gerenciando o acesso de consulta para assinantes do Security Lake - Amazon Security Lake
Pré-requisitos para a criação de um assinante com acesso de consultaCriação de um assinante com acesso de consultaComo configurar o compartilhamento de tabelas entre contas (etapa do assinante)Como editar um assinante com acesso de consulta

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando o acesso de consulta para assinantes do Security Lake

Os assinantes com acesso de consulta podem consultar os dados que o Security Lake coleta. Esses assinantes consultam diretamente AWS Lake Formation as tabelas em seu bucket do S3 com serviços como o Amazon Athena. Embora o principal mecanismo de consulta do Security Lake seja o Athena, você também pode usar outros serviços, como Amazon Redshift Spectrum e Spark SQL, que se integram com o AWS Glue Data Catalog.

nota

Esta seção explica como conceder acesso de consulta a um assinante terceirizado. Para obter informações sobre como executar consultas em seu próprio data lake, consulte Etapa 4: visualizar e consultar seus próprios dados.

Pré-requisitos para a criação de um assinante com acesso de consulta

É necessário concluir os pré-requisitos a seguir antes de criar um assinante com acesso a dados no Security Lake.

Verificar permissões

Antes de criar um assinante com acesso de consulta, verifique se você tem permissão para executar a lista de ações a seguir.

Para verificar suas permissões, use o IAM para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações nessas políticas com a seguinte lista de ações que você deve ter permissão para realizar para criar um assinante com acesso de consulta.

  • iam:CreateRole

  • iam:DeleteRolePolicy

  • iam:GetRole

  • iam:PutRolePolicy

  • lakeformation:GrantPermissions

  • lakeformation:ListPermissions

  • lakeformation:RegisterResource

  • lakeformation:RevokePermissions

  • ram:GetResourceShareAssociations

  • ram:GetResourceShares

  • ram:UpdateResourceShare

Importante

Depois de verificar as permissões:

  • Se você planeja usar o console do Security Lake para adicionar um assinante com acesso de consulta, você pode pular a próxima etapa e ir para Conceda permissões de administrador do Lake Formation. O Security Lake cria todos os perfis necessários do IAM ou usa os perfis existentes em seu nome.

  • Se você planeja usar a API do Security Lake ou a CLI para adicionar um assinante com acesso de consulta, vá para a próxima etapa para criar um perfil do IAM para consultar dados do Security Lake.

Crie uma função do IAM para consultar dados do Security Lake (API e etapa AWS CLI somente)

Ao usar a API Security Lake ou AWS CLI para conceder acesso de consulta a um assinante, você precisará criar uma função chamadaAmazonSecurityLakeMetaStoreManager. O Security Lake usa essa função para registrar AWS Glue partições e atualizar AWS Glue tabelas. Talvez você já tenha criado esse perfil ao Criar os perfis necessários do IAM.

Conceda permissões de administrador do Lake Formation

Você também precisará adicionar permissões de administrador do Lake Formation ao perfil do IAM que você usa para acessar o console do Security Lake e adicionar assinantes.

Você pode conceder permissões de administrador do Lake Formation para sua função seguindo estas etapas:

  1. Abra o console do Lake Formation em https://console.aws.amazon.com/lakeformation/.

  2. Faça login como usuário administrador.

  3. Se a janela Bem-vindo ao Lake Formation for exibida, escolha o usuário que você criou ou selecionou na Etapa 1 e, escolha Começar.

  4. Se você não vir a janela de Boas-vindas ao Lake Formation, execute as etapas a seguir para configurar um administrador do Lake Formation.

    1. No painel de navegação, em Permissões, selecione Perfis e tarefas administrativas. Na seção Administradores do Data Lake, selecione Escolher administradores.

    2. Na caixa de diálogo Gerenciar administradores do data lake, para usuários e perfis do IAM, escolha o perfil de administrador usado ao acessar o console do Security Lake e escolha Salvar.

Para obter mais informações sobre a alteração de permissões para administradores de data lake, consulte Criar um administrador de data lake no Guia do desenvolvedor do AWS Lake Formation .

O perfil do IAM deve ter privilégios SELECT no banco de dados e nas tabelas aos quais você deseja conceder acesso a um assinante. Para obter instruções sobre como fazer isso, consulte Conceder permissões ao catálogo de dados usando o método de recurso nomeado no Guia do desenvolvedor do AWS Lake Formation .

Criação de um assinante com acesso de consulta

Escolha seu método preferido para criar um assinante com acesso à consulta no atual Região da AWS. Um assinante só pode consultar dados do local em Região da AWS que ele foi criado. Para criar um assinante, você precisará ter o Conta da AWS ID e o ID externo do assinante. O ID externo é um identificador exclusivo que o assinante fornece a você. Para obter mais informações sobre IDs externas, consulte Como usar uma ID externa ao conceder acesso aos seus AWS recursos a terceiros no Guia do usuário do IAM.

nota

O Security Lake não é compatível com a versão 1 do compartilhamento de dados entre contas do Lake Formation. Você deve atualizar o compartilhamento de dados entre contas do Lake Formation para a versão 2 ou versão 3. Para ver as etapas para atualizar as configurações da versão entre contas por meio do AWS Lake Formation console ou da AWS CLI, consulte Para habilitar a nova versão no Guia do AWS Lake Formation desenvolvedor.

Console

  1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

    Faça login na conta do administrador delegado.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja criar o assinante.

  3. No painel de navegação, escolha Assinantes.

  4. Na página Assinantes, escolha Criar assinante.

  5. Para obter Detalhes do assinante, insira um Nome de assinante e uma Descrição opcional.

    A região é preenchida automaticamente conforme sua seleção atual Região da AWS e não pode ser modificada.

  6. Em Fontes de log e eventos, escolha quais fontes você deseja que o Security Lake inclua ao retornar os resultados da consulta.

  7. Em Método de acesso a dados, escolha Lake Formation para criar acesso de consulta para o assinante.

  8. Para credenciais de assinante, forneça o ID do assinante e o Conta da AWS ID externo.

  9. (Opcional) Em Tags, insira até 50 tags para atribuir ao assinante.

    Uma tag é um rótulo que você pode definir e atribuir a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudar você a identificar, categorizar e gerenciar recursos de diferentes maneiras. Para saber mais, consulte Colocar tags em recursos do Amazon Security Lake.

  10. Escolha Criar.

API

Para criar um assinante com acesso à consulta de forma programática, use a CreateSubscriberoperação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando create-subscriber.

Em sua solicitação, use esses parâmetros para especificar as seguintes configurações para o assinante:

  • Em accessTypes, especifique LAKEFORMATION.

  • Para sources, especifique cada fonte que você deseja que o Security Lake inclua ao retornar os resultados da consulta.

  • ParasubscriberIdentity, especifique a AWS identidade e a ID externa que o assinante usa para consultar os dados de origem.

O exemplo a seguir cria um assinante com acesso de consulta na AWS região atual para a identidade de assinante especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{awsLogSource: {sourceName: VPC_FLOW, sourceVersion: 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)

O Security Lake usa o compartilhamento de tabelas entre contas do Lake Formation para oferecer suporte ao acesso de consultas para assinantes. Quando você cria um assinante com acesso de consulta no console do Security Lake, na API ou AWS CLI, o Security Lake compartilha informações sobre as tabelas relevantes do Lake Formation com o assinante criando um compartilhamento de recursos em AWS Resource Access Manager ()AWS RAM.

Quando você faz certos tipos de edições em um assinante com acesso de consulta, o Security Lake cria um novo compartilhamento de recursos. Para ter mais informações, consulte Como editar um assinante com acesso de consulta.

O assinante deve seguir estas etapas para consumir dados de suas tabelas do Lake Formation:

  1. Aceitar o compartilhamento de recursos: o assinante deve aceitar o compartilhamento de recursos que tem o resourceShareArn e resourceShareName que é gerado quando você cria ou edita o assinante. Escolha um dos seguintes métodos:

    O convite de compartilhamento de recursos expira em 12 horas, então você deve validar e aceitar o convite em 12 horas. Se o convite expirar, você continuará a vê-lo em um estado PENDING, mas aceitá-lo não lhe dará acesso aos recursos compartilhados. Depois de 12 horas, exclua o assinante do Lake Formation e recrie o assinante para receber um novo convite de compartilhamento de recursos.

  2. Criar um link de recurso para tabelas compartilhadas: o assinante deve criar um link de recurso para as tabelas compartilhadas do Lake Formation no AWS Lake Formation (se estiver usando o console) ou no AWS Glue (se estiver usando a API/AWS CLI). Esse link de recurso direciona a conta do assinante para as tabelas compartilhadas. Escolha um dos seguintes métodos:

  3. Consulte as tabelas compartilhadas: serviços como o Amazon Athena podem consultar as tabelas diretamente, e os novos dados que o Security Lake coleta estão automaticamente disponíveis para consulta. As consultas são executadas no assinante e os custos incorridos com as consultas são cobrados do assinante. Conta da AWS Você pode controlar o acesso de leitura aos recursos em sua própria conta do Security Lake.

Para obter mais informações sobre a concessão de permissões entre contas, consulte Compartilhamento de dados entre contas no Lake Formation no Guia do desenvolvedor do AWS Lake Formation .

Como editar um assinante com acesso de consulta

O Security Lake oferece suporte para fazer edições em um assinante com acesso de consulta. Você pode editar o nome, a descrição, o ID externo, o principal (Conta da AWS ID) e as fontes de registro do assinante que o assinante pode consumir. Escolha seu método preferido e siga as etapas para editar um assinante com acesso de consulta na Região da AWS atual.

nota

O Security Lake não é compatível com a versão 1 do compartilhamento de dados entre contas do Lake Formation. Você deve atualizar o compartilhamento de dados entre contas do Lake Formation para a versão 2 ou versão 3. Para ver as etapas para atualizar as configurações da versão entre contas por meio do AWS Lake Formation console ou da AWS CLI, consulte Para habilitar a nova versão no Guia do AWS Lake Formation desenvolvedor.

Console

Com base nos detalhes que você deseja editar, siga as etapas fornecidas somente para essa ação.

Para editar o nome do assinante

  1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

    Faça login na conta do administrador delegado.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja editar os detalhes do assinante.

  3. No painel de navegação, escolha Assinantes.

  4. Na página Assinantes, use o botão de opção para selecionar o assinante que você deseja editar. O Método de acesso aos dados do assinante selecionado deve ser LAKEFORMATION.

  5. Selecione a opção Editar.

  6. Insira o novo Nome do assinante e escolha Salvar.

Para editar a descrição do assinante

  1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

    Faça login na conta do administrador delegado.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja editar o assinante.

  3. No painel de navegação, escolha Assinantes.

  4. Na página Assinantes, use o botão de opção para selecionar o assinante que você deseja editar. O Método de acesso aos dados do assinante selecionado deve ser LAKEFORMATION.

  5. Selecione a opção Editar.

  6. Insira a nova descrição para o assinante e escolha Salvar.

Para editar o ID externo

  1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

    Faça login na conta do administrador delegado.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja editar os detalhes do assinante.

  3. No painel de navegação, escolha Assinantes.

  4. Na página Assinantes, use o botão de opção para selecionar o assinante que você deseja editar. O Método de acesso aos dados do assinante selecionado deve ser LAKEFORMATION.

  5. Selecione a opção Editar.

  6. Insira o novo ID externo fornecido pelo assinante e escolha Salvar.

    Salvar a nova ID externa remove automaticamente o compartilhamento de AWS RAM recursos anterior e cria um novo compartilhamento de recursos para o assinante.

  7. O assinante deve aceitar o novo compartilhamento de recursos seguindo a etapa 1 em Como configurar o compartilhamento de tabelas entre contas (etapa do assinante). Certifique-se de que o nome do recurso da Amazon (ARN) que aparece nos detalhes do assinante seja o mesmo do console do Lake Formation. O link do recurso para as tabelas compartilhadas permanece como está, portanto, o assinante não precisa criar um novo link de recurso.

Para editar o principal (Conta da AWS ID)

  1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

    Faça login na conta do administrador delegado.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja editar os detalhes do assinante.

  3. No painel de navegação, escolha Assinantes.

  4. Na página Assinantes, use o botão de opção para selecionar o assinante que você deseja editar. O Método de acesso aos dados do assinante selecionado deve ser LAKEFORMATION.

  5. Selecione a opção Editar.

  6. Insira o novo ID da Conta da AWS do assinante e escolha Salvar.

    Salvar o novo ID da conta remove automaticamente o compartilhamento de AWS RAM recursos anterior para que o principal anterior não possa consumir as fontes de registro e eventos. O Security Lake cria um novo compartilhamento de recursos.

  7. Usando as credenciais da nova entidade principal, o assinante deve aceitar o novo compartilhamento de recursos e criar um link de recurso para as tabelas compartilhadas. Isso dá à nova entidade principal acesso aos recursos compartilhados. Para obter instruções, consulte as etapas 1 e 2 em Como configurar o compartilhamento de tabelas entre contas (etapa do assinante). Certifique-se de que o nome do recurso da Amazon (ARN) que aparece nos detalhes do assinante seja o mesmo do console do Lake Formation.

Para editar fontes de log e eventos

  1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

    Faça login na conta do administrador delegado.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja editar os detalhes do assinante.

  3. No painel de navegação, escolha Assinantes.

  4. Na página Assinantes, use o botão de opção para selecionar o assinante que você deseja editar. O Método de acesso aos dados do assinante selecionado deve ser LAKEFORMATION.

  5. Selecione a opção Editar.

  6. Desmarque as fontes existentes ou selecione as fontes que você deseja adicionar. Se você desmarcar uma fonte, nenhuma ação adicional será necessária de sua parte. Se você selecionar para adicionar uma fonte, nenhum novo convite de compartilhamento de recursos será criado. No entanto, o Security Lake atualiza as tabelas compartilhadas do Lake Formation com base nas fontes adicionadas. O assinante deve criar um link de recurso para as tabelas compartilhadas atualizadas para poder consultar os dados da fonte. Para obter instruções, consulte a etapa 2 em Como configurar o compartilhamento de tabelas entre contas (etapa do assinante).

  7. Escolha Salvar.

API

Para editar programaticamente um assinante com acesso à consulta, use a UpdateSubscriberoperação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando update-subscriber. Em sua solicitação, use os parâmetros compatíveis para especificar as seguintes configurações para o assinante:

  • Para subscriberName, especifique o novo nome do assinante.

  • Para subscriberDescription, especifique a nova descrição.

  • ParasubscriberIdentity, especifique o ID principal (Conta da AWS ID) e externo que o assinante usará para consultar os dados de origem. Você deve fornecer a entidade principal e o ID externo. Se você quiser manter um desses valores igual, passe o valor atual.

    • Atualizar somente o ID externo: essa ação remove o compartilhamento de recursos do AWS RAM anterior e cria um novo compartilhamento de recursos para o assinante. O assinante deve aceitar o novo compartilhamento de recursos seguindo a etapa 1 em Como configurar o compartilhamento de tabelas entre contas (etapa do assinante). O link do recurso para as tabelas compartilhadas permanece como está, portanto, o assinante não precisa criar um novo link de recurso.

    • Atualizar somente o principal — Essa ação remove o compartilhamento de AWS RAM recursos anterior para que o principal anterior não possa consumir as fontes de log e eventos. O Security Lake cria um novo compartilhamento de recursos. Usando as credenciais da nova entidade principal, o assinante deve aceitar o novo compartilhamento de recursos e criar um link de recurso para as tabelas compartilhadas. Isso dá à nova entidade principal acesso aos recursos compartilhados. Para obter instruções, consulte as etapas 1 e 2 em Como configurar o compartilhamento de tabelas entre contas (etapa do assinante).

    Para atualizar o ID externo e a entidade principal, siga as etapas 1 e 2 em Como configurar o compartilhamento de tabelas entre contas (etapa do assinante).

  • Para sources, remova as fontes existentes ou especifique as fontes que você deseja adicionar. Se você remover uma fonte, nenhuma ação adicional será necessária de sua parte. Se você adicionar uma fonte, nenhum novo convite de compartilhamento de recursos será criado. No entanto, o Security Lake atualiza as tabelas compartilhadas do Lake Formation com base nas fontes adicionadas. O assinante deve criar um link de recurso para as tabelas compartilhadas atualizadas para poder consultar os dados da fonte. Para obter instruções, consulte a etapa 2 em Como configurar o compartilhamento de tabelas entre contas (etapa do assinante).