Criação de uma integração de fonte de dados do Amazon Security Lake no OpenSearch Service - OpenSearch Serviço Amazon
Pré-requisitosProcedimentoPróximas etapasRecursos adicionais do

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de uma integração de fonte de dados do Amazon Security Lake no OpenSearch Service

Você pode usar o Amazon OpenSearch Serverless para consultar dados de segurança diretamente no Amazon Security Lake. Para fazer isso, você cria uma fonte de dados que permite usar recursos de OpenSearch ETL zero nos dados do Security Lake. Ao criar uma fonte de dados, você pode pesquisar diretamente, obter insights e analisar os dados armazenados no Security Lake. Você pode acelerar o desempenho da consulta e usar OpenSearch análises avançadas em conjuntos de dados selecionados do Security Lake usando indexação sob demanda.

Pré-requisitos

Antes de começar, certifique-se de ter revisto a seguinte documentação:

Antes de criar uma fonte de dados, realize as seguintes ações no Security Lake:

  • Habilitar o Security Lake. Configure o Security Lake para coletar registros da Região da AWS mesma forma que seu OpenSearch recurso. Para saber mais, consulte Introdução ao Amazon Security Lake no Guia do usuário do Amazon Security Lake.

  • Configure as permissões do Security Lake. Certifique-se de ter aceitado as permissões do perfil vinculado ao serviço para gerenciamento de recursos e que o console não mostre nenhum problema na página Problemas. Para saber mais, consulte Perfil baseado no serviço para o Security Lake no Guia do usuário do Amazon Security Lake.

  • Compartilhe as fontes de dados do Security Lake. Ao acessar OpenSearch na mesma conta do Security Lake, certifique-se de que não haja nenhuma mensagem para registrar seus buckets do Security Lake no Lake Formation no console do Security Lake. Para OpenSearch acesso entre contas, configure um assinante de consulta do Lake Formation no console do Security Lake. Use a conta associada ao seu OpenSearch recurso como assinante. Para saber mais, consulte Gerenciamento de usuários no Security Lake no Guia do usuário do Amazon Security Lake.

Além disso, você também deve ter os seguintes recursos em sua Conta da AWS:

  • (Opcional) um perfil do IAM criado manualmente. Você pode usar esse perfil para gerenciar o acesso à sua fonte de dados. Como alternativa, você pode fazer com que o OpenSearch Service crie uma função para você automaticamente com as permissões necessárias. Se você escolher usar um perfil do IAM criado manualmente, siga as orientações em Permissões necessárias para perfis do IAM criados manualmente.

Procedimento

Você pode configurar uma fonte de dados para se conectar a um banco de dados do Security Lake no Console de gerenciamento da AWS.

Para configurar uma fonte de dados usando o Console de gerenciamento da AWS

  1. Navegue até o console do Amazon OpenSearch Service emhttps://console.aws.amazon.com/aos/.

  2. No painel de navegação à esquerda, vá para Gerenciamento central e escolha Fontes de dados conectadas.

  3. Selecione Conectar.

  4. Escolha Security Lake como o tipo de fonte de dados.

  5. Escolha Próximo.

  6. Em Detalhes da conexão de dados, insira um nome e uma descrição opcional.

  7. Em Configurações de permissão de acesso do IAM, escolha como gerenciar o acesso à sua fonte de dados.

    1. Se quiser criar automaticamente um perfil para essa fonte de dados, siga estas etapas:

      1. Selecione Criar uma novo perfil.

      2. Insira um nome para a função do IAM.

      3. Selecione uma ou mais AWS Glue tabelas para definir quais dados podem ser consultados.

    2. Se quiser usar um perfil existente gerenciado por você, siga estas etapas:

      1. Selecione Usar perfil existente.

      2. Selecione um perfil existente no menu suspenso.

    nota

    Ao usar seu próprio perfil, confira se ele tem todas as permissões necessárias anexando as políticas necessárias com o console do IAM. Para saber mais, consulte Permissões necessárias para perfis do IAM criados manualmente.

  8. (Opcional) Em Tags, adicione tags à fonte de dados.

  9. Escolha Próximo.

  10. Em Configurar OpenSearch, escolha como configurar OpenSearch.

    1. Revise os nomes de recurso padrão e as configurações de retenção de dados.

      Quando você usa as configurações padrão, um novo OpenSearch aplicativo e espaço de trabalho do Essentials são criados para você sem custo adicional. OpenSearch permite que você analise várias fontes de dados. Ele inclui espaços de trabalho, que fornecem experiências personalizadas para casos de uso mais conhecidos. Os espaços de trabalho são compatíveis com controle de acesso, permitindo que você crie espaços privados para seus casos de uso e os compartilhe apenas com seus colaboradores.

  11. Use configurações personalizadas:

    1. Escolha Customize (Personalizar).

    2. Edite o nome da coleção e as configurações de retenção de dados conforme necessário.

    3. Selecione o OpenSearch aplicativo e o espaço de trabalho que você deseja usar.

  12. Escolha Próximo.

  13. Revise suas opções e escolha Editar se precisar fazer alguma alteração.

  14. Escolha Conectar para configurar a fonte de dados. Fique nesta página enquanto sua fonte de dados é criada. Quando ela ficar pronta, você será direcionado para a página de detalhes da fonte de dados.

Próximas etapas

Visite OpenSearch Painéis e crie um painel

Depois de criar uma fonte de dados, o OpenSearch Service fornece uma URL de OpenSearch painéis. Você usa a URL para consultar os dados usando SQL ou PPL. A integração do Security Lake vem com modelos de consulta pré-empacotados para SQL e PPL a fim de ajudar você a começar a analisar os logs.

Para saber mais, consulte Configurando e consultando uma fonte de dados do Security Lake em painéis OpenSearch.

Recursos adicionais do

Permissões necessárias para perfis do IAM criados manualmente

Ao criar uma fonte de dados, você escolhe um perfil do IAM para gerenciar o acesso aos dados. Você tem duas opções:

  1. Criar um novo perfil do IAM automaticamente

  2. Use um perfil do IAM existente que você criou manualmente

Se usar um perfil criado manualmente, você precisará anexar as permissões corretas a ele. As permissões devem permitir o acesso à fonte de dados específica e permitir que o OpenSearch Serviço assuma a função para que o OpenSearch Serviço possa acessar e interagir com segurança com seus dados. Além disso, conceda LakeFormation permissões à função para quaisquer bancos de dados e tabelas que você queira consultar. Conceda DESCRIBE permissões para a função nos SecurityLake bancos de dados que você deseja consultar a partir da conexão de consulta direta. Conceda permissões de SELECT and DESCRIBE, pelo menos, ao perfil da fonte de dados para as tabelas do banco de dados.

O exemplo de política a seguir demonstra as permissões de privilégio mínimo necessárias para criar e gerenciar uma fonte de dados. Se você tiver permissões mais abrangentes, como a política AdminstratorAccess, elas incluirão as permissões de privilégio mínimo do exemplo de política.

No exemplo de política a seguir, placeholder text substitua o por suas próprias informações.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonOpenSearchDirectQueryServerlessAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:APIAccessAll",
                "aoss:DashboardsAccessAll"
            ],
            "Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collectionname/*"
        },
        {
            "Sid": "AmazonOpenSearchDirectQueryGlueAccess",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:GetTable",
                "glue:GetTableVersions",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:table/databasename/*",
                "arn:aws:glue:us-east-1:111122223333:database/databasename",
                "arn:aws:glue:us-east-1:111122223333:catalog",
                "arn:aws:glue:us-east-1:111122223333:database/default"
            ]
        },
        {
            "Sid": "AmazonOpenSearchDirectQueryLakeFormationAccess",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

O perfil também deve ter a seguinte política de confiança, que especifica o ID de destino.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "directquery.opensearchservice.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Para obter instruções sobre como criar o perfil, consulte Criar um perfil usando políticas de confiança personalizadas.

Por padrão, a função tem acesso somente aos índices da fonte de dados de consulta direta. Embora você possa configurar a função para limitar ou conceder acesso à sua fonte de dados, é recomendável não ajustar o acesso dessa função. Se você excluir a fonte de dados, essa função será excluída. Isso removerá o acesso de outros usuários se eles estiverem mapeados para a função.

Consultar dados do Security Lake criptografados com uma chave gerenciada pelo cliente

Se o bucket do Security Lake associado à conexão de dados for criptografado usando criptografia do lado do servidor com um cliente gerenciado AWS KMS key, você deverá adicionar a função de LakeFormation serviço à política principal. Isso permite que o serviço acesse e leia os dados para suas consultas.

No exemplo de política a seguir, placeholder text substitua o por suas próprias informações.

{
    "Sid": "Allow LakeFormation to access the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::account:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}