OpenSearch Service에서 Amazon Security Lake 데이터 소스 통합 생성 - Amazon OpenSearch Service
사전 조건절차다음 단계추가 리소스

OpenSearch Service에서 Amazon Security Lake 데이터 소스 통합 생성

Amazon OpenSearch Serverless를 사용하여 Amazon Security Lake에서 보안 데이터를 직접 쿼리할 수 있습니다. 이렇게 하려면 Security Lake 데이터에 OpenSearch 제로 ETL 기능을 사용할 수 있는 데이터 소스를 생성합니다. 데이터 소스를 생성할 때 Security Lake에 저장된 데이터를 직접 검색하고, 인사이트를 얻고, 분석할 수 있습니다. 온디맨드 인덱싱을 사용하여 일부 Security Lake 데이터 세트에서 쿼리 성능을 가속화하고 고급 OpenSearch 분석을 사용할 수 있습니다.

사전 조건

시작하기 전에 다음 설명서를 참조하세요.

데이터 소스를 생성하려면 먼저 Security Lake에서 다음 작업을 수행합니다.

  • Security Lake를 활성화합니다. OpenSearch 리소스와 동일한 AWS 리전에서 로그를 수집하도록 Security Lake를 구성합니다. 자세한 내용은 Amazon Security Lake 사용 설명서의 Amazon Security Lake 시작하기를 참조하세요.

  • Security Lake 권한을 설정합니다. 리소스 관리에 대한 서비스 연결 역할 권한을 수락했으며 콘솔의 문제 페이지에 문제가 표시되지 않는지 확인합니다. 자세한 내용은 Amazon Security Lake 사용 설명서의 Service-linked role for Amazon Security Lake를 참조하세요.

  • Security Lake 데이터 소스를 공유합니다. Security Lake와 동일한 계정 내에서 OpenSearch에 액세스할 때는 Security Lake 콘솔에서 Security Lake 버킷을 Lake Formation에 등록하라는 메시지가 없는지 확인합니다. 교차 계정 OpenSearch 액세스의 경우 Security Lake 콘솔에서 Lake Formation 쿼리 구독자를 설정합니다. OpenSearch 리소스와 연결된 계정을 구독자로 사용합니다. 자세한 내용은 Amazon Security Lake 사용 설명서의 Security Lake에서 구독자 관리를 참조하세요.

또한 AWS 계정에 다음 리소스가 있어야 합니다.

  • (선택 사항) 수동으로 생성한 IAM 역할. 이 역할을 사용하여 데이터 소스에 대한 액세스를 관리할 수 있습니다. 또는 필요한 권한을 사용하여 OpenSearch Service가 자동으로 역할을 생성하도록 할 수도 있습니다. 수동으로 생성한 IAM 역할을 사용하도록 선택한 경우 수동으로 생성한 IAM 역할에 필요한 권한의 지침을 따릅니다.

절차

AWS Management 콘솔 내에서 Security Lake 데이터베이스에 연결하도록 데이터 소스를 설정할 수 있습니다.

AWS Management 콘솔을 사용하여 데이터 소스를 설정하려면

  1. Amazon OpenSearch Service 콘솔(https://console.aws.amazon.com/aos/)로 이동합니다.

  2. 왼쪽 탐색 창에서 중앙 관리로 이동하여 연결된 데이터 소스를 선택합니다.

  3. 연결을 선택합니다.

  4. 데이터 소스 유형으로 Security Lake를 선택합니다.

  5. 다음을 선택합니다.

  6. 데이터 연결 세부 정보에 이름과 설명(선택 사항)을 입력합니다.

  7. IAM 권한 액세스 설정에서 데이터 소스에 대한 액세스를 관리하는 방법을 선택합니다.

    1. 이 데이터 소스에 대한 역할을 자동으로 생성하려면 다음 단계를 따릅니다.

      1. 새 역할 생성을 선택합니다.

      2. IAM 역할의 이름을 입력합니다.

      3. 하나 이상의 AWS Glue 테이블을 선택하여 쿼리할 데이터를 정의합니다.

    2. 직접 관리하는 기존 역할을 사용하려면 다음 단계를 따릅니다.

      1. 기존 역할 사용을 선택합니다.

      2. 드롭다운 메뉴에서 기존 역할을 선택합니다.

    참고

    자체 역할을 사용하는 경우 IAM 콘솔에서 필요한 정책을 연결하여 필요한 권한이 모두 있는지 확인해야 합니다. 자세한 내용은 수동으로 생성한 IAM 역할에 필요한 권한 섹션을 참조하세요.

  8. (선택 사항) 태그에서 데이터 소스에 태그를 추가합니다.

  9. 다음을 선택합니다.

  10. OpenSearch 설정에서 OpenSearch 설정 방법을 선택합니다.

    1. 기본 리소스 이름 및 데이터 보존 설정을 검토합니다.

      기본 설정을 사용하면 추가 비용 없이 새 OpenSearch 애플리케이션과 Essentials 워크스페이스가 생성됩니다. OpenSearch를 사용하면 여러 데이터 소스를 분석할 수 있습니다. 여기에는 주요 사용 사례에 대한 맞춤형 경험을 제공하는 워크스페이스가 포함됩니다. 워크스페이스는 액세스 제어를 지원하므로 사용 사례에 맞는 프라이빗 스페이스를 생성하고 공동 작업자와만 공유할 수 있습니다.

  11. 사용자 지정 설정 사용:

    1. 사용자 지정을 선택합니다.

    2. 필요에 따라 컬렉션 이름과 데이터 보존 설정을 편집합니다.

    3. 사용할 OpenSearch 애플리케이션과 워크스페이스를 선택합니다.

  12. 다음을 선택합니다.

  13. 선택 사항을 검토하고 변경해야 하는 경우 편집을 선택합니다.

  14. 연결을 선택하여 데이터 소스를 설정합니다. 데이터 소스가 생성되는 동안 이 페이지를 나가지 않습니다. 준비가 되면 데이터 소스 세부 정보 페이지로 이동합니다.

다음 단계

OpenSearch Dashboards를 방문하여 Dashboards 생성

데이터 소스가 생성된 후 OpenSearch Service에서 OpenSearch 대시보드 URL을 제공합니다. 이 URL을 통해 SQL 또는 PPL을 사용하여 데이터를 쿼리합니다. Security Lake 통합에는 로그 분석을 시작할 수 있도록 SQL 및 PPL용 사전 패키징된 쿼리 템플릿이 함께 제공됩니다.

자세한 내용은 OpenSearch Dashboards에서 Security Lake 데이터 소스 구성 및 쿼리 섹션을 참조하세요.

추가 리소스

수동으로 생성한 IAM 역할에 필요한 권한

데이터 소스를 생성할 때 데이터에 대한 액세스를 관리할 IAM 역할을 선택합니다. 여기에는 두 가지 옵션이 있습니다.

  1. 자동으로 새 IAM 역할 생성

  2. 수동으로 생성한 기존 IAM 역할을 사용합니다.

수동으로 생성한 역할을 사용하는 경우 역할에 올바른 권한을 연결해야 합니다. OpenSearch Service가 안전하게 데이터에 액세스하고 데이터와 상호 작용할 수 있도록, 역할의 권한이 특정 데이터 소스에 대한 액세스를 허용하고 OpenSearch Service가 해당 역할을 맡을 수 있도록 해야 합니다. 또한 쿼리하려는 데이터베이스 및 테이블에 대한 역할에 LakeFormation 권한을 부여합니다. 직접 쿼리 연결에서 쿼리하려는 SecurityLake 데이터베이스의 역할에 DESCRIBE 권한을 부여합니다. 데이터베이스 내의 테이블에 대한 데이터 소스 역할에 SELECT and DESCRIBE 이상의 권한을 부여합니다.

다음 샘플 정책은 데이터 소스를 생성하고 관리하는 데 필요한 최소 권한을 보여줍니다. AdminstratorAccess 정책과 같이 더 광범위한 권한이 있는 경우 이러한 권한에는 샘플 정책의 최소 권한 권한이 포함된다는 점에 유의하시기 바랍니다.

다음 샘플 정책에서는 각 자리 표시자 텍스트를 자신의 정보로 바꿉니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonOpenSearchDirectQueryServerlessAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:APIAccessAll",
                "aoss:DashboardsAccessAll"
            ],
            "Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collectionname/*"
        },
        {
            "Sid": "AmazonOpenSearchDirectQueryGlueAccess",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:GetTable",
                "glue:GetTableVersions",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:table/databasename/*",
                "arn:aws:glue:us-east-1:111122223333:database/databasename",
                "arn:aws:glue:us-east-1:111122223333:catalog",
                "arn:aws:glue:us-east-1:111122223333:database/default"
            ]
        },
        {
            "Sid": "AmazonOpenSearchDirectQueryLakeFormationAccess",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

역할에는 대상 ID를 지정하는 다음과 같은 신뢰 정책도 있어야 합니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "directquery.opensearchservice.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

역할을 생성하기 위한 지침은 사용자 지정 신뢰 정책을 사용하여 역할 생성을 참조하세요.

기본적으로 역할에는 직접 쿼리 데이터 소스 인덱스에 대한 액세스만 있습니다. 데이터 소스에 대한 액세스 권한을 제한하거나 부여하도록 역할을 구성할 수 있지만 이 역할의 액세스 권한을 조정하지 않는 것이 좋습니다. 데이터 소스를 삭제하면 이 역할이 삭제됩니다. 조정할 경우 다른 사용자가 역할에 매핑된 경우 다른 사용자의 액세스 권한이 제거됩니다.

고객 관리형 키로 암호화된 Security Lake 데이터 쿼리

데이터 연결과 관련한 Security Lake 버킷이 고객 관리형 AWS KMS key를 사용한 서버 측 암호화를 사용하여 암호화된 경우, 키 정책에 LakeFormation 서비스 역할을 추가해야 합니다. 이렇게 하면 서비스가 쿼리를 위한 데이터에 액세스하고 읽을 수 있습니다.

다음 샘플 정책에서는 각 자리 표시자 텍스트를 자신의 정보로 바꿉니다.

{
    "Sid": "Allow LakeFormation to access the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::account:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}