

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Création d'un abonné avec accès aux requêtes dans Security Lake
<a name="create-query-subscriber-procedures"></a>

Choisissez votre méthode préférée pour créer un abonné avec accès aux requêtes en cours Région AWS. Un abonné ne peut interroger des données qu'à partir du Région AWS fichier dans lequel elles ont été créées. Pour créer un abonné, vous devez disposer de l' Compte AWS identifiant et de l'identifiant externe de l'abonné. L'identifiant externe est un identifiant unique que l'abonné vous fournit. Pour plus d'informations sur l'utilisation d'un identifiant externe IDs, consultez la section [Comment utiliser un identifiant externe lorsque vous accordez l'accès à vos AWS ressources à un tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) dans le *guide de l'utilisateur IAM*.

**Note**  
Security Lake ne prend pas en charge le partage de données entre comptes Lake Formation version 1. Vous devez mettre à jour le partage de données entre comptes de Lake Formation vers la version 2 ou la version 3. Pour connaître les étapes de mise à **jour des paramètres de version entre comptes** via la AWS Lake Formation console ou la AWS CLI, voir [Pour activer la nouvelle version](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html#version-update-steps) dans le *guide du AWS Lake Formation développeur*.

------
#### [ Console ]

1. Ouvrez la console Security Lake à l'adresse [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Connectez-vous au compte d'administrateur délégué.

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez créer l'abonné.

1. Dans le volet de navigation, choisissez **Subscribers**.

1. Sur la page **Abonnés**, choisissez **Créer un abonné**.

1. Pour les **détails de l'abonné**, entrez un **nom d'abonné** et une **description** facultative.

   La **région** est automatiquement renseignée comme vous l'avez actuellement sélectionnée Région AWS et ne peut pas être modifiée.

1. Pour les **sources de journaux et d'événements**, choisissez les sources que Security Lake doit inclure lors du renvoi des résultats de requête.

1. Pour la **méthode d'accès aux données**, choisissez **Lake Formation** pour créer un accès aux requêtes pour l'abonné.

1. Pour les **informations d'identification** de l'abonné, fournissez l' Compte AWS identifiant de l'abonné et l'[identifiant externe](https://docs.aws.amazon.com//security-lake/latest/userguide/prereqs-creating-subscriber.html#subscriber-external-id).

1. (Facultatif) Pour **Tags**, entrez jusqu'à 50 tags à attribuer à l'abonné.

   Un *tag* est un label que vous pouvez définir et attribuer à certains types de AWS ressources. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Les balises peuvent vous aider à identifier, à classer et à gérer les ressources de différentes manières. Pour en savoir plus, veuillez consulter la section [Marquage des ressources de Security Lake](tagging-resources.md).

1. Choisissez **Créer**.

------
#### [ API ]

Pour créer un abonné avec accès aux requêtes par programmation, utilisez le [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html)fonctionnement de l'API Security Lake. Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la commande [create-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-subscriber.html). 

Dans votre demande, utilisez ces paramètres pour définir les paramètres suivants pour l'abonné :
+ Pour `accessTypes`, spécifiez `LAKEFORMATION`.
+ Pour`sources`, spécifiez chaque source que vous souhaitez que Security Lake inclue lors du renvoi des résultats de requête.
+ Pour`subscriberIdentity`, spécifiez l' AWS identité et l'ID externe que l'abonné utilise pour interroger les données source.

L'exemple suivant crée un abonné avec un accès aux requêtes dans la AWS région actuelle pour l'identité d'abonné spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\\) pour améliorer la lisibilité.

```
$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": {{129345678912}},"externalId": {{123456789012}}} \
--sources [{"awsLogSource": {"sourceName": {{VPC_FLOW,}} "sourceVersion": {{2.0}}}}] \
--subscriber-name {{subscriber name}} \
--access-types {{LAKEFORMATION}}
```

------

## Configuration du partage de tables entre comptes (étape réservée aux abonnés)
<a name="grant-query-access-subscriber"></a>

Security Lake utilise le partage de tables entre comptes de Lake Formation pour faciliter l'accès aux requêtes des abonnés. Lorsque vous créez un abonné doté d'un accès aux requêtes dans la console, l'API ou l'API de Security Lake AWS CLI, Security Lake partage des informations sur les tables Lake Formation pertinentes avec l'abonné en créant un [partage de ressources](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-terms-and-concepts.html#term-resource-share) dans AWS Resource Access Manager (AWS RAM).

Lorsque vous apportez certains types de modifications à un abonné ayant accès aux requêtes, Security Lake crée un nouveau partage de ressources. Pour de plus amples informations, veuillez consulter [Modification d'un abonné avec accès aux requêtes dans Security Lake](editing-query-access-subscriber.md).

L'abonné doit suivre les étapes suivantes pour utiliser les données de vos tables de Lake Formation :

1. **Accepter le partage de ressources** — L'abonné doit accepter le partage de ressources qui contient le `resourceShareArn` et `resourceShareName` qui est généré lorsque vous créez ou modifiez l'abonné. Choisissez l'une des méthodes d'accès suivantes :
   + Pour la console et AWS CLI, voir [Accepter une invitation de partage de ressources depuis AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).
   + Pour l'API, invoquez l'[GetResourceShareInvitations](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourceShareInvitations.html)API. Filtrez par `resourceShareArn` et `resourceShareName` pour trouver le partage de ressources approprié. Acceptez l'invitation avec l'[AcceptResourceShareInvitation](https://docs.aws.amazon.com/ram/latest/APIReference/API_AcceptResourceShareInvitation.html)API.

   L'invitation au partage de ressources expire dans 12 heures. Vous devez donc valider et accepter l'invitation dans les 12 heures. Si l'invitation expire, vous continuez à la voir dans son `PENDING` état actuel, mais l'accepter ne vous donnera pas accès aux ressources partagées. Lorsque plus de 12 heures se sont écoulées, supprimez l'abonné de Lake Formation et recréez-le pour recevoir une nouvelle invitation à partager des ressources.

1. **Créer un lien de ressource vers la base de données partagée** — L'abonné doit créer un lien de ressource vers la base de données partagée de Lake Formation dans AWS Lake Formation (s'il utilise la console) ou AWS Glue (s'il utilise la API/AWS CLI). Ce lien de ressource pointe le compte de l'abonné vers la base de données partagée. Choisissez l'une des méthodes d'accès suivantes :
   + Pour la console et AWS CLI, [voir Création d'un lien de ressource vers une base de données de catalogue de données partagée.](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-database.html) dans le *Guide AWS Lake Formation du développeur*.
   + Nous recommandons aux abonnés de créer également une base de données unique avec l'[CreateDatabase](https://docs.aws.amazon.com/glue/latest/webapi/API_CreateDatabase.html)API pour stocker les tables de liens vers les ressources.

1. **Interrogez les tables partagées** : des services tels qu'Amazon Athena peuvent se référer directement aux tables, et les nouvelles données collectées par Security Lake peuvent automatiquement être consultées. Les requêtes sont exécutées chez l'abonné Compte AWS, et les frais liés aux requêtes sont facturés à l'abonné. Vous pouvez contrôler l'accès en lecture aux ressources dans votre propre compte Security Lake.

Pour plus d'informations sur l'octroi d'autorisations entre comptes, voir [Partage de données entre comptes dans Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html) dans le Guide du *AWS Lake Formation développeur*.