Security Lake でのクエリアクセスを持つサブスクライバーの作成

任意の方法を選択して、現在のでクエリアクセス権を持つサブスクライバーを作成します AWS リージョン。サブスクライバー AWS リージョンは、それが作成されたからのみデータをクエリできます。サブスクライバーを作成するには、サブスクライバーの AWS アカウント ID と外部 ID が必要です。外部 ID は、サブスクライバーが提供する固有の識別子です。外部 IDs「IAM ユーザーガイド」の「How to use an external ID when granting access to your AWS resources to a third party」を参照してください。

注記

セキュリティレイクは、Lake Formation のクロスアカウントデータ共有バージョン 1 をサポートしていません。Lake Formation のクロスアカウントデータ共有をバージョン 2 またはバージョン 3 に更新する必要があります。 AWS Lake Formation コンソールまたは AWS CLI を使用してクロスアカウントバージョン設定を更新する手順については、「デベロッパーガイド」の「新しいバージョンを有効にするには」を参照してください。 AWS Lake Formation

Console

Security Lake コンソール https://console.aws.amazon.com/securitylake/ を開きます。

委任管理者アカウントにサインインします。
ページの右上隅にある AWS リージョンセレクターを使用して、サブスクライバーを作成するリージョンを選択します。
左のナビゲーションペインで [サブスクライバー] を選択します。
「サブスクライバー」ページで、「サブスクライバーを作成」を選択します。
サブスクライバーの詳細には、サブスクライバー名とオプションの説明を入力します。

リージョンは、現在選択されているとして自動入力 AWS リージョンされるため、変更できません。
[ログとイベントのソース] では、クエリ結果を返すときに Security Lake に含めたいソースを選択します。
[データアクセス方法] では、[Lake Formation] を選択してサブスクライバーのクエリアクセスを作成します。
サブスクライバー認証情報には、サブスクライバーの AWS アカウント ID と外部 ID を指定します。
(オプション) [タグ] には、サブスクライバーに割り当てるタグを 50 個まで入力します。

タグは、特定のタイプの AWS リソースを定義して割り当てることができるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグは、さまざまな方法でリソースの識別、分類、管理に役立ちます。詳細についてはSecurity Lake リソースのタグ付けを参照してください。
[作成] を選択します。

API

クエリアクセス付きのサブスクライバーをプログラムで作成するには、Security Lake API の CreateSubscriber オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、create-subscriber コマンドを実行します。

リクエストで、これらのパラメータを使用してサブスクライバーに次の設定を指定します。

accessTypes の場合、LAKEFORMATION を指定します。
sourcesでは、クエリ結果を返すときに Security Lake に含めたいソースをそれぞれ指定します。
にはsubscriberIdentity、サブスクライバーがソースデータのクエリに使用する AWS ID と外部 ID を指定します。

次のの例では、指定されたサブスクライバー ID の現在の AWS リージョンにクエリアクセス権を持つサブスクライバーを作成します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。


$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION

クロスアカウントテーブル共有セットアップ (サブスクライバーステップ)

Security Lake は、Lake Formation のクロスアカウントテーブル共有を使用してサブスクライバーのクエリアクセスをサポートします。Security Lake コンソール、API、またはでクエリアクセスを持つサブスクライバーを作成すると AWS CLI、Security Lake は AWS Resource Access Manager () でリソース共有を作成して、関連する Lake Formation テーブルに関する情報をサブスクライバーと共有しますAWS RAM。

クエリアクセス権限を持つサブスクライバに特定の種類の編集を行うと、Security Lake は新しいリソース共有を作成します。詳細については、「Security Lake でのクエリアクセスを持つサブスクライバーの編集」を参照してください。

サブスクライバーは、次のステップに従って Lake Formation テーブルからデータを取得する必要があります。

リソース共有を受け入れる — サブスクライバーは、サブスクライバーを作成または編集したときに生成される、resourceShareArnとresourceShareNameを含むリソース共有を受け入れる必要があります。次のいずれかのアクセス方法を選択します。
- コンソールとについては AWS CLI、「リソース共有の招待の承諾 AWS RAM」を参照してください。
- API の場合は、GetResourceShareInvitations API を呼び出します。resourceShareArnとresourceShareNameでフィルタリングして、正しいリソースシェアを見つけてください。AcceptResourceShareInvitation API を使用して招待を受け入れます。
リソース共有の招待は 12 時間で期限切れになるため、12 時間以内に招待を検証して承諾する必要があります。招待の有効期限が切れても、引き続き PENDING 状態で表示されますが、招待を受け入れても共有リソースにアクセスできなくなります。12 時間以上経過したら、Lake Formation サブスクライバーを削除し、サブスクライバーを再作成して新しいリソース共有の招待状を取得します。
共有データベースへのリソースリンクを作成する – サブスクライバーは、共有 Lake Formation データベースへのリソースリンクを AWS Lake Formation (コンソールを使用している場合) または AWS Glue (API/AWS CLI を使用している場合) のいずれかで作成する必要があります。このリソースリンクは、サブスクライバーのアカウントを共有データベースにポイントします。次のいずれかのアクセス方法を選択します。
- コンソールおよびについては AWS CLI、「デベロッパーガイド」の「共有 Data Catalog データベースへのリソースリンクの作成」を参照してください。 AWS Lake Formation
- 利用者は、CreateDatabase API を使用してリソースリンクテーブルを格納する独自のデータベースも作成することをお勧めします。
共有テーブルをクエリする — Amazon Athena などのサービスはテーブルを直接参照でき、Security Lake が収集した新しいデータを自動的にクエリに使用できるようになります。クエリはサブスクライバーので実行され AWS アカウント、クエリによって発生したコストはサブスクライバーに請求されます。自分の Security Lake アカウントのリソースへの読み取りアクセスを制御できます。

クロスアカウント権限の付与について詳しくは、「AWS Lake Formation デベロッパーガイド」の「Lake Formation でのクロスアカウントデータ共有」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

前提条件

クエリアクセス権を持つサブスクライバーの編集