Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Langkah 3: Menerima undangan ARN Berbagi Sumber Daya
Topik ini menjelaskan langkah-langkah untuk menerima undangan ARN Berbagi Sumber Daya menggunakan AWS CloudFormation templat, yang merupakan langkah wajib sebelum Anda mengaktifkan integrasi Detektif dengan Security Lake.
Untuk mengakses log data mentah dari Security Lake, Anda harus menerima undangan Berbagi Sumber Daya dari akun Security Lake yang dibuat oleh administrator Security Lake. Anda juga memerlukan AWS Lake Formation izin untuk mengatur berbagi tabel lintas akun. Selain itu, Anda harus membuat bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) yang dapat menerima log kueri mentah.
Pada langkah berikutnya, Anda akan menggunakan AWS CloudFormation templat untuk membuat tumpukan untuk: menerima undangan ARN Berbagi Sumber Daya, membuat sumber daya yang Perayap AWS Glue diperlukan, dan AWS Lake Formation memberikan izin administrator.
**Untuk menerima undangan ARN Resource Share dan mengaktifkan integrasi**
1. Buat CloudFormation tumpukan baru menggunakan CloudFormation template. Untuk detail selengkapnya, lihat [Membuat tumpukan menggunakan CloudFormation template](#cloud-formation-template).
1. Setelah Anda selesai membuat tumpukan, pilih **Aktifkan integrasi** untuk mengaktifkan integrasi Detektif dengan Security Lake.
## Membuat tumpukan menggunakan CloudFormation template
Detective menyediakan CloudFormation template, yang dapat Anda gunakan untuk mengatur parameter yang diperlukan untuk membuat dan mengelola akses kueri untuk pelanggan Security Lake.
**Langkah 1: Buat peran AWS CloudFormation layanan**
Anda harus membuat peran CloudFormation layanan untuk membuat tumpukan menggunakan CloudFormation template. Jika Anda tidak memiliki izin yang diperlukan untuk membuat peran layanan, hubungi administrator akun administrator Detektif. Untuk informasi selengkapnya tentang peran AWS CloudFormation layanan, lihat [peran AWS CloudFormation layanan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html).
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.
1. Untuk **Pilih entitas tepercaya**, pilih **AWS layanan**.
1. Pilih **CloudFormation**. Lalu, pilih **Selanjutnya**.
1. Masukkan nama untuk peran. Misalnya, `CFN-DetectiveSecurityLakeIntegration`.
1. Lampirkan kebijakan inline berikut ke peran. Ganti `` dengan ID AWS Akun Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudFormationPermission",
"Effect": "Allow",
"Action": [
"cloudformation:CreateChangeSet"
],
"Resource": [
"arn:aws:cloudformation:*:aws:transform/*"
]
},
{
"Sid": "IamPermissions",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:UpdateAssumeRolePolicy",
"iam:PutRolePolicy",
"iam:DeleteRolePolicy",
"iam:CreatePolicy",
"iam:DeletePolicy",
"iam:PassRole",
"iam:GetRole",
"iam:GetRolePolicy"
],
"Resource": [
"arn:aws:iam::{{111122223333}}:role/*-ResourceShareAcceptorLamb-*",
"arn:aws:iam::{{111122223333}}:role/*-SsmParametersLambdaRole-*",
"arn:aws:iam::{{111122223333}}:role/*-GlueDatabaseLambdaRole-*",
"arn:aws:iam::{{111122223333}}:role/*-GlueTablesLambdaRole-*",
"arn:aws:iam::{{111122223333}}:policy/*"
]
},
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket*",
"s3:PutBucket*",
"s3:GetBucket*",
"s3:GetObject",
"s3:PutEncryptionConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "LambdaPermissions",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:TagResource",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:{{111122223333}}:function:*"
]
},
{
"Sid": "CloudwatchPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DeleteLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:{{111122223333}}:log-group:*"
},
{
"Sid": "KmsPermission",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:{{111122223333}}:key/*"
}
]
}
```
------
**Langkah 2: Menambahkan izin ke kepala IAM Anda**.
Anda memerlukan izin berikut untuk membuat tumpukan menggunakan peran CloudFormation layanan yang Anda buat pada langkah sebelumnya. Tambahkan kebijakan IAM berikut ke prinsipal IAM yang Anda rencanakan untuk digunakan untuk lulus peran CloudFormation layanan. Anda akan menganggap prinsip IAM ini untuk membuat tumpukan. Jika Anda tidak memiliki izin yang diperlukan untuk menambahkan kebijakan IAM, hubungi administrator akun administrator Detektif.
**catatan**
Dalam kebijakan berikut, yang `CFN-DetectiveSecurityLakeIntegration` digunakan dalam kebijakan ini mengacu pada peran yang Anda buat di langkah peran `Creating an AWS CloudFormation` layanan sebelumnya. Ubah ke nama peran yang Anda masukkan pada langkah sebelumnya jika berbeda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PassRole",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::{{111122223333}}:role/CFN-DetectiveSecurityLakeIntegration"
},
{
"Sid": "RestrictCloudFormationAccess",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:UpdateStack"
],
"Resource": "arn:aws:cloudformation:*:{{111122223333}}:stack/*",
"Condition": {
"StringEquals": {
"cloudformation:RoleArn": [
"arn:aws:iam::{{111122223333}}:role/CFN-DetectiveSecurityLakeIntegration"
]
}
}
},
{
"Sid": "CloudformationDescribeStack",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:GetStackPolicy"
],
"Resource": "arn:aws:cloudformation:*:{{111122223333}}:stack/*"
},
{
"Sid": "CloudformationListStacks",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks"
],
"Resource": "*"
},
{
"Sid": "CloudWatchPermissions",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:{{111122223333}}:log-group:*"
}
]
}
```
------
**Langkah 3: Menentukan nilai kustom di konsol CloudFormation**
1. Pergi ke AWS CloudFormation konsol dari Detektif.
1. (Opsional) Masukkan **nama Stack**. Nama tumpukan diisi secara otomatis. Anda dapat mengubah nama tumpukan menjadi nama yang tidak bertentangan dengan nama tumpukan yang ada.
1. Masukkan **Parameter** berikut.
+ **AthenaResultsBucket**— Jika Anda tidak memasukkan nilai, template ini menghasilkan bucket Amazon S3. Jika Anda ingin menggunakan bucket Anda sendiri, masukkan nama bucket untuk menyimpan hasil kueri Athena. Jika Anda menggunakan bucket sendiri, pastikan bucket berada di Region yang sama dengan ARN Resource Share. Jika Anda menggunakan bucket sendiri, pastikan yang `LakeFormationPrincipals` Anda pilih memiliki izin untuk menulis objek dan membaca objek dari bucket. Untuk detail selengkapnya tentang izin bucket, lihat [Hasil kueri dan kueri terbaru](https://docs.aws.amazon.com/athena/latest/ug/querying.html) di Panduan Pengguna Amazon Athena.
+ **DTRegion**- Bidang ini sudah diisi sebelumnya. Jangan mengubah nilai di bidang ini.
+ **LakeFormationPrincipals**— Masukkan ARN dari prinsipal IAM (misalnya, ARN peran IAM) yang ingin Anda berikan akses untuk menggunakan integrasi Security Lake, dipisahkan dengan koma. Ini bisa jadi analis keamanan dan insinyur keamanan Anda yang menggunakan Detektif.
Anda hanya dapat menggunakan prinsip IAM yang sebelumnya Anda lampirkan izin IAM di langkah [. `Step 2: Add the required IAM permissions to your account]`
+ **ResourceShareARN** - Bidang ini sudah diisi sebelumnya. Jangan mengubah nilai di bidang ini.
1. **Izin**
**Peran IAM** - Pilih peran yang Anda buat di `Creating an AWS CloudFormation Service Role` langkah. Secara opsional, Anda dapat mengosongkannya jika peran IAM Anda saat ini memiliki semua izin yang diperlukan di langkah tersebut. `Creating an AWS CloudFormation Service Role`
1. Tinjau dan centang semua kotak **I Acknowledge** dan kemudian klik tombol **Create stack**. Untuk lebih jelasnya, tinjau sumber daya IAM berikut yang akan dibuat.
```
* ResourceShareAcceptorCustomResourceFunction
- ResourceShareAcceptorLambdaRole
- ResourceShareAcceptorLogsAccessPolicy
* SsmParametersCustomResourceFunction
- SsmParametersLambdaRole
- SsmParametersLogsAccessPolicy
* GlueDatabaseCustomResourceFunction
- GlueDatabaseLambdaRole
- GlueDatabaseLogsAccessPolicy
* GlueTablesCustomResourceFunction
- GlueTablesLambdaRole
- GlueTablesLogsAccessPolicy
```
**Langkah 4: Menambahkan kebijakan bucket Amazon S3 ke prinsipal IAM di `LakeFormationPrincipals`**
(Opsional) Jika Anda membiarkan template ini menghasilkan `AthenaResultsBucket` untuk Anda, Anda harus melampirkan kebijakan berikut ke prinsipal IAM di. `LakeFormationPrincipals`
```
{
"Sid": "S3ObjectPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
}
```
Ganti `athena-results-bucket` dengan `AthenaResultsBucket` nama. `AthenaResultsBucket`Dapat ditemukan di AWS CloudFormation konsol:
1. Buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Klik pada Stack Anda.
1. Klik tab **Sumber Daya**.
1. Cari ID logis `AthenaResultsBucket` dan salin ID fisiknya.