Creación de una integración de fuentes de datos de Amazon Security Lake en OpenSearch Service - OpenSearch Servicio Amazon
Requisitos previosProcedimientoSiguientes pasosRecursos adicionales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de una integración de fuentes de datos de Amazon Security Lake en OpenSearch Service

Puede usar Amazon OpenSearch Serverless para consultar directamente los datos de seguridad en Amazon Security Lake. Para ello, debe crear una fuente de datos que le permita utilizar funciones OpenSearch sin ETL en los datos de Security Lake. Al crear un origen de datos, puede buscar directamente los datos almacenados en Security Lake, obtener información sobre ellos y analizarlos. Puede acelerar el rendimiento de sus consultas y utilizar OpenSearch análisis avanzados en determinados conjuntos de datos de Security Lake mediante la indexación bajo demanda.

Requisitos previos

Antes de comenzar, asegúrese de que ha revisado la siguiente documentación:

Antes de poder crear un origen de datos, haga lo siguiente en Security Lake:

  • Habilitar Security Hub. Configure Security Lake para recopilar registros en el mismo lugar Región de AWS que su OpenSearch recurso. Para obtener instrucciones, consulte Introducción a Amazon Security Lake en la guía del usuario de Amazon Security Lake.

  • Configure los permisos de Security Lake. Asegúrese de haber aceptado los permisos de los roles vinculados al servicio para la administración de recursos y de que la consola no muestre ningún problema en la página Problemas. Para obtener más información, consulte Rol vinculado al servicio para Security Lake en la guía del usuario de Amazon Security Lake.

  • Comparta los orígenes de datos de Security Lake. Al acceder OpenSearch desde la misma cuenta que Security Lake, asegúrese de que no aparezca ningún mensaje para registrar sus depósitos de Security Lake con Lake Formation en la consola de Security Lake. Para el OpenSearch acceso entre cuentas, configure un suscriptor de consultas de Lake Formation en la consola de Security Lake. Utilice la cuenta asociada a su OpenSearch recurso como suscriptor. Para obtener más información, consulte Administración de suscriptores en Security Lake en la guía del usuario de Amazon Security Lake.

Además, también debe tener los siguientes recursos en su Cuenta de AWS:

  • (Opcional) Un rol de IAM creado manualmente. Puede usar este rol para administrar el acceso al origen de datos. Como alternativa, puede hacer que OpenSearch Service cree un rol para usted automáticamente con los permisos necesarios. Si decide utilizar un rol de IAM creado manualmente, siga las instrucciones que se indican en Permisos necesarios para los roles de IAM creados manualmente.

Procedimiento

Puede configurar un origen de datos para que se conecte a una base de datos de Security Lake desde la Consola de administración de AWS.

Para configurar una fuente de datos mediante Consola de administración de AWS

  1. Dirígete a la consola OpenSearch de Amazon Service enhttps://console.aws.amazon.com/aos/.

  2. En el panel de navegación de la izquierda, vaya a Administración central y seleccione Orígenes de datos conectados.

  3. Elija Conectar.

  4. Elija Security Lake como tipo de origen de datos.

  5. Elija Siguiente.

  6. En Detalles de la conexión de datos, escriba un nombre y una descripción opcional.

  7. En Configuración del permiso de acceso de IAM, elija cómo administrar el acceso a su origen de datos.

    1. Si desea crear automáticamente un rol para este origen de datos, siga estos pasos:

      1. Seleccione Crear un nuevo rol.

      2. Ingrese un nombre para el rol de IAM.

      3. Seleccione una o más AWS Glue tablas para definir qué datos se pueden consultar.

    2. Si desea utilizar un rol existente que usted administra, siga estos pasos:

      1. Seleccione Usar un rol existente.

      2. Seleccione un rol existente en el menú desplegable.

    nota

    Cuando utilice su propio rol, debe asegurarse de que tiene todos los permisos requeridos. Para ello, adjunte las políticas necesarias desde la consola de IAM. Para obtener más información, consulte Permisos necesarios para los roles de IAM creados manualmente.

  8. (Opcional) En Etiquetas, agregue etiquetas al origen de datos.

  9. Elija Siguiente.

  10. En Configurar OpenSearch, elija cómo desea OpenSearch configurarlo.

    1. Revise los nombres de los recursos y la configuración de retención de datos predeterminados.

      Si utilizas la configuración predeterminada, se crea una nueva OpenSearch aplicación y un espacio de trabajo de Essentials sin coste adicional. OpenSearch le permite analizar varias fuentes de datos. Incluye espacios de trabajo, que proporcionan experiencias personalizadas para casos de uso populares. Los espacios de trabajo admiten el control de acceso, lo que le permite crear espacios privados para sus casos de uso y compartirlos solo con sus colaboradores.

  11. Use ajustes personalizados:

    1. Elija Personalizar.

    2. Edite el nombre de la colección y la configuración de retención de datos según sea necesario.

    3. Seleccione la OpenSearch aplicación y el espacio de trabajo que desee utilizar.

  12. Elija Siguiente.

  13. Revise sus opciones y seleccione Editar si necesita hacer algún cambio.

  14. Seleccione Conector para configurar el origen de datos. Permanezca en esta página mientras se crea el origen de datos. Cuando esté listo, accederá a la página de detalles del origen de datos.

Siguientes pasos

Visite los OpenSearch paneles y cree un panel

Después de crear una fuente de datos, OpenSearch Service le proporciona una URL de OpenSearch Dashboards. Puede utilizar esto para consultar los datos mediante SQL o PPL. La integración de Security Lake incluye plantillas de consulta preempaquetadas para SQL y PPL para que pueda empezar a analizar sus registros.

Para obtener más información, consulte Configuración y consulta de una fuente de datos de Security Lake en OpenSearch los paneles.

Recursos adicionales

Permisos necesarios para los roles de IAM creados manualmente

Al crear un origen de datos, se elige un rol de IAM para administrar el acceso a los datos. Tiene dos opciones:

  1. Crear un nuevo rol de IAM automáticamente

  2. Utilizar un rol de IAM creado manualmente

Si utiliza un rol creado manualmente, debe asociar los permisos correctos al rol. Los permisos deben permitir el acceso a la fuente de datos específica y permitir que el OpenSearch Servicio asuma la función para que el OpenSearch Servicio pueda acceder a sus datos e interactuar con ellos de forma segura. Además, conceda LakeFormation permisos al rol para cualquier base de datos y tablas que desee consultar. Otorgue DESCRIBE permisos al rol en SecurityLake las bases de datos que desee consultar desde la conexión de consulta directa. Otorgue al menos los permisos SELECT and DESCRIBE al rol de origen de datos para las tablas de la base de datos.

El siguiente ejemplo de política muestra los permisos con privilegios mínimos necesarios para crear y administrar un origen de datos. Si tiene permisos más generales, como la política AdminstratorAccess, estos engloban los permisos con privilegios mínimos de la política de ejemplo.

En el siguiente ejemplo de política, placeholder text sustitúyalo por su propia información.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonOpenSearchDirectQueryServerlessAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:APIAccessAll",
                "aoss:DashboardsAccessAll"
            ],
            "Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collectionname/*"
        },
        {
            "Sid": "AmazonOpenSearchDirectQueryGlueAccess",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:GetTable",
                "glue:GetTableVersions",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:table/databasename/*",
                "arn:aws:glue:us-east-1:111122223333:database/databasename",
                "arn:aws:glue:us-east-1:111122223333:catalog",
                "arn:aws:glue:us-east-1:111122223333:database/default"
            ]
        },
        {
            "Sid": "AmazonOpenSearchDirectQueryLakeFormationAccess",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

El rol debe tener la siguiente política de confianza, que especifica el ID de destino.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "directquery.opensearchservice.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Para obtener instrucciones sobre cómo crear los roles, consulte Creación de un rol mediante políticas de confianza personalizadas.

De forma predeterminada, el rol solo tiene acceso a los índices de orígenes de datos de consulta directa. Si bien puede configurar el rol para limitar o conceder el acceso a su origen de datos, se recomienda no ajustar el acceso de este rol. Si elimina el origen de datos, se eliminará este rol. Esto eliminará el acceso de los demás usuarios si están asignados al rol.

Consulta de datos de Security Lake que están cifrados con una clave administrada por el cliente

Si el depósito de Security Lake asociado a la conexión de datos se cifra mediante cifrado del lado del servidor y gestionado por un clienteAWS KMS key, debe añadir la función de LakeFormation servicio a la política de claves. Esto permite que el servicio acceda a los datos de sus consultas y los lea.

En el siguiente ejemplo de política, sustitúyalo placeholder text por su propia información.

{
    "Sid": "Allow LakeFormation to access the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::account:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}