管理安全湖訂戶的查詢存取

具有查詢存取權的訂閱者可以查詢 Security Lake 收集的資料。這些訂閱者會使用 Amazon Athena 等服務直接查詢 S3 儲存貯體中的 AWS Lake Formation 資料表。雖然安全湖的主要查詢引擎是 Athena，您也可以使用其他服務，如 Amazon Redshift Spectrum 和星火 SQL，與. AWS Glue Data Catalog

注意

本節說明如何將查詢存取權授與協力廠商訂閱者。如需針對您自己的資料湖執行查詢的資訊，請參閱步驟 4：檢視和查詢您自己的資料。

建立具有查詢存取權之訂戶的先決條件

您必須先完成下列先決條件，才能在 Security Lake 中建立具有資料存取權的訂閱者。

驗證許可

在建立具有查詢存取權的訂閱者之前，請確認您有執行下列動作清單的權限。

若要驗證您的許可，請使用 IAM 檢閱附加到 IAM 身分的 IAM 政策。然後，將這些原則中的資訊與下列您必須被允許執行的動作清單做比較，才能建立具有查詢存取權的訂戶。

• iam:CreateRole

• iam:DeleteRolePolicy

• iam:GetRole

• iam:PutRolePolicy

• lakeformation:GrantPermissions

• lakeformation:ListPermissions

• lakeformation:RegisterResource

• lakeformation:RevokePermissions

• ram:GetResourceShareAssociations

• ram:GetResourceShares

• ram:UpdateResourceShare

重要

驗證權限之後：

• 如果您打算使用 Security Lake 主控台新增具有查詢存取權的訂閱者，您可以略過下一個步驟並繼續執行授予 Lake Formation 管理員權限。安全湖建立所有必要的 IAM 角色，或代表您使用現有的角色。

• 如果您計劃使用 Security Lake API 或 CLI 新增具有查詢存取權的訂閱者，請繼續執行下一個步驟，以建立 IAM 角色以查詢安全湖資料。

建立 IAM 角色以查詢安全湖資料 (API 和 AWS CLI唯一步驟)

使用 Security Lake API 或 AWS CLI 將查詢存取權授與訂閱者時，您必須建立名為的角色AmazonSecurityLakeMetaStoreManager。安全性湖泊使用此角色來註冊 AWS Glue 磁碟分割和更新 AWS Glue 資料表。您可能已經在創建必要的 IAM 角色時創建了此角色。

授予 Lake Formation 管理員權限

您還需要將 Lake Formation 管理員許可添加到用於存取安全湖主控台和新增訂閱者的 IAM 角色。

您可以按照以下步驟將 Lake Formation 管理員權限授予您的角色：

1. 開啟 Lake Formation 主控台，網址為 https://console.aws.amazon.com/lakeformation/。

2. 以系統管理使用者身分登入。

3. 如果出現「歡迎使用 Lake Formation」視窗，請選擇您在步驟 1 中建立或選取的使用者，然後選擇「開始使用」。

4. 如果您沒有看到「歡迎使用 Lake Formation」視窗，請執行以下步驟來配置 Lake Formation 管理員。

   1. 在功能窗格的 [權限] 下，選擇 [系統管理角色和工作]。在 [資料湖管理員] 區段中，選擇 [選擇管理員]。

   2. 在 [管理資料湖管理員] 對話方塊中，對於 IAM 使用者和角色，請選擇存取 Security Lake 主控台時使用的管理員角色，然後選擇 [儲存]。

如需有關變更資料湖管理員權限的詳細資訊，請參閱AWS Lake Formation 開發人員指南中的建立資料湖管理員。

IAM 角色必須擁有您要授與訂閱者存取SELECT權的資料庫和資料表的權限。有關如何執行此操作的指示，請參閱AWS Lake Formation 開發人員指南中的使用具名資源方法授予資料目錄權限。

建立具有查詢存取權的訂閱者

選擇您偏好的方法，以建立目前具有查詢存取權的訂閱者 AWS 區域。訂閱者只能查詢建立資料的資料。 AWS 區域 若要建立訂閱者，您必須擁有訂閱者的 AWS 帳戶 ID 和外部 ID。外部 ID 是訂閱者提供給您的唯一識別碼。如需有關外部 ID 的詳細資訊，請參閱 IAM 使用者指南中的如何在將資 AWS 源存取權授予第三方時使用外部 ID。

注意

安全湖不支持 Lake Formation 跨帳戶數據共享版本 1。您必須將 Lake Formation 跨帳戶資料共用更新至第 2 版或第 3 版。如需透過 AWS Lake Formation 主控台或 AWS CLI 更新跨帳戶版本設定的步驟，請參閱開AWS Lake Formation 發人員指南中的若要啟用新版本。

Console

1. 開啟安全湖主控台，網址為 https://console.aws.amazon.com/securitylake/。

   登入委派的系統管理員帳戶。

2. 使用頁面右上角的選取 AWS 區域 器，選取您要建立訂閱者的「地區」。

3. 在導覽窗格中，選擇 [訂閱者]。

4. 在「訂戶」頁面上，選擇「建立訂戶」。

5. 如需訂戶詳細資訊，請輸入訂戶名稱和選擇性說明。

   「地區」會自動填入您目前選取的項目， AWS 區域 且無法修改。

6. 對於記錄檔和事件來源，請選擇傳回查詢結果時希望 Security Lake 包含的來源。

7. 對於資料存取方法，請選擇 Lake Formation 以建立訂閱者的查詢存取權。

8. 若為訂閱者認證，請提供訂閱者的 AWS 帳戶 ID 和外部識別碼。

9. (選擇性) 在標籤中，輸入最多 50 個要指派給訂閱者的標籤。

   標籤是您可以定義並指派給特定 AWS 資源類型的標籤。每個標籤都包含必要的標籤鍵和一個可選的標籤值。標籤可協助您以不同的方式識別、分類和管理資源。如需進一步了解，請參閱標記 Amazon 安全湖資源。

10. 選擇建立。

API

若要以程式設計方式建立具有查詢存取權的訂閱者，請使用 Security Lake API 的CreateSubscriber作業。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行建立訂閱者命令。

在您的要求中，使用這些參數來指定訂戶的下列設定值：

• 對於 accessTypes，請指定 LAKEFORMATION。

• 對於sources，指定您希望 Security Lake 在傳回查詢結果時包含的每個來源。

• 對於subscriberIdentity，指定訂戶用來查詢來源資料的 AWS 識別碼和外部識別碼。

下列範例會針對指定的訂閱者身分，在目前 AWS 區域中建立具有查詢存取權的訂閱者。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{awsLogSource: {sourceName: VPC_FLOW, sourceVersion: 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

設定跨帳戶資料表共用 (訂閱者步驟)

安全湖使用 Lake Formation 跨帳戶表共享來支持用戶查詢訪問。當您在 Security Lake 主控台、API 或中建立具有查詢存取權的訂閱者時 AWS CLI，Security Lake 會在 AWS Resource Access Manager (AWS RAM) 中建立資源共用，與訂閱者共用相關 Lake Formation 表格的相關資訊。

當您對具有查詢存取權的訂閱者進行特定類型的編輯時，Security Lake 會建立新的資源共用。如需詳細資訊，請參閱 編輯具有查詢存取權的訂閱者。

訂閱者應按照以下步驟使用 Lake Formation 表中的數據：

1. 接受資源共用 — 訂閱者必須接受包含在您建立或編輯訂閱者時所產生resourceShareArn和resourceShareName的資源共用。選擇下列其中一種存取方法：

   • 對於主控台和 AWS CLI，請參閱接受來自的資源共用邀請 AWS RAM。

   • 對於 API，請調用該 GetResourceShareInvitationsAPI。篩選resourceShareArn並找resourceShareName到正確的資源共用。使用 AcceptResourceShareInvitationAPI 接受邀請。

   資源共用邀請將在 12 小時後到期，因此您必須在 12 小時內驗證並接受邀請。如果邀請過期，您會繼續看到它處於某個PENDING狀態，但接受邀請不會讓您存取共用資源。當超過 12 小時後，刪除 Lake Formation 用戶並重新創建訂閱者以獲得新的資源共享邀請。

2. 建立共用資料表的資源連結 — 訂閱者必須在 (如果使用主控台) 或 AWS Lake Formation AWS Glue (如果使用 API/AWS CLI) 中建立連結至共用 Lake Formation 表格的資源連結。此資源連結會將訂閱者的帳號指向共用資料表。選擇下列其中一種存取方法：

   • 對於控制台和 AWS CLI，請參閱AWS Lake Formation 開發人員指南中的建立共用資料目錄表格的資源連結。

   • 對於 API，請調用該 AWS Glue CreateTableAPI。我們建議訂閱者還使用 CreateDatabaseAPI 創建一個唯一的數據庫來存儲資源鏈接表。

3. 查詢共用資料表 — Amazon Athena 等服務可以直接參考資料表，而 Security Lake 收集的新資料也會自動提供查詢。查詢會以訂閱者的方式執行 AWS 帳戶，而查詢產生的費用則會向訂閱者收取費用。您可以在自己的安全湖帳戶中控制資源的讀取存取權限。

如需有關授予跨帳戶權限的詳細資訊，請參閱AWS Lake Formation 開發人員指南中的 Lake Formation 中的跨帳戶資料共用。

編輯具有查詢存取權的訂閱者

安全湖支援對具有查詢存取權的訂閱者進行編輯。您可以編輯訂戶的名稱、說明、外部識別碼、主體 (AWS 帳戶 ID)，以及訂戶能夠使用的記錄來源。選擇您偏好的方式，並依照步驟編輯目前具有查詢存取權的訂閱者 AWS 區域。

注意

安全湖不支持 Lake Formation 跨帳戶數據共享版本 1。您必須將 Lake Formation 跨帳戶資料共用更新至第 2 版或第 3 版。如需透過 AWS Lake Formation 主控台或 AWS CLI 更新跨帳戶版本設定的步驟，請參閱開AWS Lake Formation 發人員指南中的若要啟用新版本。

Console

根據您要編輯的詳細資訊，請僅遵循針對該動作提供的步驟。

若要編輯訂戶名稱

1. 開啟安全湖主控台，網址為 https://console.aws.amazon.com/securitylake/。

   登入委派的系統管理員帳戶。

2. 使用頁面右上角的選取 AWS 區域 器，選取您要編輯訂閱者詳細資料的地區。

3. 在導覽窗格中，選擇 [訂閱者]。

4. 在「訂戶」頁面上，使用圓鈕來選擇您要編輯的訂戶。所選用戶的數據訪問方法必須是 LAKEFORMAT ION。

5. 選擇編輯。

6. 輸入新的「訂戶」名稱，然後選擇「儲存」。

若要編輯訂戶說明

1. 開啟安全湖主控台，網址為 https://console.aws.amazon.com/securitylake/。

   登入委派的系統管理員帳戶。

2. 使用頁面右上角的選取 AWS 區域 器，選取您要編輯訂閱者的地區。

3. 在導覽窗格中，選擇 [訂閱者]。

4. 在「訂戶」頁面上，使用圓鈕來選擇您要編輯的訂戶。所選用戶的數據訪問方法必須是 LAKEFORMAT ION。

5. 選擇編輯。

6. 輸入訂戶的新說明，然後選擇「儲存」。

若要編輯外部 ID

1. 開啟安全湖主控台，網址為 https://console.aws.amazon.com/securitylake/。

   登入委派的系統管理員帳戶。

2. 使用頁面右上角的選取 AWS 區域 器，選取您要編輯訂閱者詳細資料的地區。

3. 在導覽窗格中，選擇 [訂閱者]。

4. 在「訂戶」頁面上，使用圓鈕來選擇您要編輯的訂戶。所選用戶的數據訪問方法必須是 LAKEFORMAT ION。

5. 選擇編輯。

6. 輸入訂戶提供的新外部 ID，然後選擇「儲存」。

   儲存新的外部 ID 會自動移除先前的 AWS RAM 資源共用，並為訂閱者建立新的資源共用。

7. 訂閱者必須按照中的步驟 1 接受新的資源共用設定跨帳戶資料表共用 (訂閱者步驟)。確保出現在訂戶詳細信息中的 Amazon 資源名稱（ARN）與 Lake Formation 控制台中的相同。共用資料表的資源連結會保持原樣，因此訂閱者不需要建立新的資源連結。

若要編輯主參與者 (AWS 帳戶 ID)

1. 開啟安全湖主控台，網址為 https://console.aws.amazon.com/securitylake/。

   登入委派的系統管理員帳戶。

2. 使用頁面右上角的選取 AWS 區域 器，選取您要編輯訂閱者詳細資料的地區。

3. 在導覽窗格中，選擇 [訂閱者]。

4. 在「訂戶」頁面上，使用圓鈕來選擇您要編輯的訂戶。所選用戶的數據訪問方法必須是 LAKEFORMAT ION。

5. 選擇編輯。

6. 輸入訂戶的新 AWS 帳戶 ID，然後選擇「儲存」。

   儲存新帳號 ID 會自動移除先前的 AWS RAM 資源共用，因此先前的主參與者無法使用記錄檔和事件來源。安全湖創建一個新的資源共享。

7. 訂戶必須使用新主參與者的證明資料，接受新的資源共用，並建立共用表格的資源連結。這可讓新的主體存取共用資源。如需指示，請參閱中的步驟 1 和 2 設定跨帳戶資料表共用 (訂閱者步驟)。確保出現在用戶詳細信息中的 ARN 與 Lake Formation 控制台中的相同。

若要編輯記錄檔和事件來源

1. 開啟安全湖主控台，網址為 https://console.aws.amazon.com/securitylake/。

   登入委派的系統管理員帳戶。

2. 使用頁面右上角的選取 AWS 區域 器，選取您要編輯訂閱者詳細資料的地區。

3. 在導覽窗格中，選擇 [訂閱者]。

4. 在「訂戶」頁面上，使用圓鈕來選擇您要編輯的訂戶。所選用戶的數據訪問方法必須是 LAKEFORMAT ION。

5. 選擇編輯。

6. 取消選取現有來源，或選取您要新增的來源。如果您取消選取來源，則不需要進一步採取任何動作。如果您選取新增來源，則不會建立新的資源共用邀請。但是，安全湖根據添加的來源更新共享的 Lake Formation 表。訂閱者必須建立連至更新之共用資料表的資源連結，才能查詢來源資料。如需指示，請參閱中的步驟 2 設定跨帳戶資料表共用 (訂閱者步驟)。

7. 選擇儲存。

API

若要以程式設計方式編輯具有查詢存取權的訂閱者，請使用 Security Lake API 的UpdateSubscriber作業。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行更新訂閱者命令。在您的要求中，使用支援的參數來指定訂戶的下列設定值：

• 對於subscriberName，指定新的訂戶名稱。

• 對於subscriberDescription，指定新描述。

• 在中subscriberIdentity，指定訂戶將用來查詢來源資料的主體 (AWS 帳戶 ID) 和外部識別碼。您必須同時提供主體識別碼和外部識別碼。如果您想要保持其中一個值相同，請傳入目前的值。

  • 僅更新外部 ID — 此動作會移除先前的 AWS RAM 資源共用，並為訂閱者建立新的資源共用。訂閱者必須按照中的步驟 1 接受新的資源共用設定跨帳戶資料表共用 (訂閱者步驟)。共用資料表的資源連結會保持原樣，因此訂閱者不需要建立新的資源連結。

  • 僅更新主參與者 — 此動作會移除先前的 AWS RAM 資源共用，因此先前的主參與者無法使用記錄檔和事件來源。安全湖創建一個新的資源共享。訂戶必須使用新主參與者的證明資料，接受新的資源共用，並建立共用表格的資源連結。這可讓新的主體存取共用資源。如需指示，請參閱中的步驟 1 和 2 設定跨帳戶資料表共用 (訂閱者步驟)。

  若要更新外部 ID 和主參與者，請遵循中的步驟 1 和 2 設定跨帳戶資料表共用 (訂閱者步驟)。

• 對於sources，移除現有來源或指定要新增的來源。如果您移除來源，則不需要進一步採取任何動作。如果您新增來源，則不會建立新的資源共用邀請。但是，安全湖根據添加的來源更新共享的 Lake Formation 表。訂閱者必須建立連至更新之共用資料表的資源連結，才能查詢來源資料。如需指示，請參閱中的步驟 2 設定跨帳戶資料表共用 (訂閱者步驟)。