As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criação de uma integração de fonte de dados do Amazon Security Lake no OpenSearch Service
Você pode usar o Amazon OpenSearch Serverless para consultar dados de segurança diretamente no Amazon Security Lake. Para fazer isso, você cria uma fonte de dados que permite usar recursos de OpenSearch ETL zero nos dados do Security Lake. Ao criar uma fonte de dados, você pode pesquisar diretamente, obter insights e analisar os dados armazenados no Security Lake. Você pode acelerar o desempenho da consulta e usar OpenSearch análises avançadas em conjuntos de dados selecionados do Security Lake usando indexação sob demanda.
**Topics**
+ [Pré-requisitos](#direct-query-s3security-lake-prereq)
+ [Procedimento](#direct-query-security-lake-create)
+ [Próximas etapas](#direct-query-security-lake-next-steps)
+ [Recursos adicionais do](#direct-query-security-lake-additional-resources)
## Pré-requisitos
Antes de começar, certifique-se de ter revisto a seguinte documentação:
+ [Limitações](direct-query-security-lake-overview.md#direct-query-security-lake-limitations)
+ [Recomendações](direct-query-security-lake-overview.md#direct-query-security-lake-recommendations)
+ [Cotas](direct-query-security-lake-overview.md#direct-query-security-lake-quotas)
Antes de criar uma fonte de dados, realize as seguintes ações no Security Lake:
+ **Habilitar o Security Lake**. Configure o Security Lake para coletar registros da Região da AWS mesma forma que seu OpenSearch recurso. Para saber mais, consulte [Introdução ao Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html) no Guia do usuário do Amazon Security Lake.
+ **Configure as permissões do Security Lake**. Certifique-se de ter aceitado as permissões do perfil vinculado ao serviço para gerenciamento de recursos e que o console não mostre nenhum problema na página **Problemas**. Para saber mais, consulte [Perfil baseado no serviço para o Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/using-service-linked-roles.html) no Guia do usuário do Amazon Security Lake.
+ **Compartilhe as fontes de dados do Security Lake**. Ao acessar OpenSearch na mesma conta do Security Lake, certifique-se de que não haja nenhuma mensagem para registrar seus buckets do Security Lake no Lake Formation no console do Security Lake. Para OpenSearch acesso entre contas, configure um assinante de consulta do Lake Formation no console do Security Lake. Use a conta associada ao seu OpenSearch recurso como assinante. Para saber mais, consulte [Gerenciamento de usuários no Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/create-query-subscriber-procedures.html) no Guia do usuário do Amazon Security Lake.
Além disso, você também deve ter os seguintes recursos em sua Conta da AWS:
+ **(Opcional) um perfil do IAM criado manualmente.** Você pode usar esse perfil para gerenciar o acesso à sua fonte de dados. Como alternativa, você pode fazer com que o OpenSearch Service crie uma função para você automaticamente com as permissões necessárias. Se você escolher usar um perfil do IAM criado manualmente, siga as orientações em [Permissões necessárias para perfis do IAM criados manualmente](#direct-query-security-lake-additional-resources-required-permissions).
## Procedimento
Você pode configurar uma fonte de dados para se conectar a um banco de dados do Security Lake no Console de gerenciamento da AWS.
### Para configurar uma fonte de dados usando o Console de gerenciamento da AWS
1. Navegue até o console do Amazon OpenSearch Service em[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. No painel de navegação à esquerda, vá para **Gerenciamento central** e escolha **Fontes de dados conectadas**.
1. Selecione **Conectar**.
1. Escolha **Security Lake** como o tipo de fonte de dados.
1. Escolha **Próximo**.
1. Em **Detalhes da conexão de dados**, insira um nome e uma descrição opcional.
1. Em **Configurações de permissão de acesso do IAM**, escolha como gerenciar o acesso à sua fonte de dados.
1. Se quiser criar automaticamente um perfil para essa fonte de dados, siga estas etapas:
1. Selecione **Criar uma novo perfil**.
1. Insira um nome para a função do IAM.
1. Selecione uma ou mais AWS Glue tabelas para definir quais dados podem ser consultados.
1. Se quiser usar um perfil existente gerenciado por você, siga estas etapas:
1. Selecione **Usar perfil existente**.
1. Selecione um perfil existente no menu suspenso.
**nota**
Ao usar seu próprio perfil, confira se ele tem todas as permissões necessárias anexando as políticas necessárias com o console do IAM. Para saber mais, consulte [Permissões necessárias para perfis do IAM criados manualmente](#direct-query-security-lake-additional-resources-required-permissions).
1. (Opcional) Em **Tags**, adicione tags à fonte de dados.
1. Escolha **Próximo**.
1. Em **Configurar OpenSearch**, escolha como configurar OpenSearch.
1. Revise os nomes de recurso padrão e as configurações de retenção de dados.
Quando você usa as configurações padrão, um novo OpenSearch aplicativo e espaço de trabalho do Essentials são criados para você sem custo adicional. OpenSearch permite que você analise várias fontes de dados. Ele inclui espaços de trabalho, que fornecem experiências personalizadas para casos de uso mais conhecidos. Os espaços de trabalho são compatíveis com controle de acesso, permitindo que você crie espaços privados para seus casos de uso e os compartilhe apenas com seus colaboradores.
1. Use configurações personalizadas:
1. Escolha **Customize (Personalizar)**.
1. Edite o nome da coleção e as configurações de retenção de dados conforme necessário.
1. Selecione o OpenSearch aplicativo e o espaço de trabalho que você deseja usar.
1. Escolha **Próximo**.
1. Revise suas opções e escolha **Editar** se precisar fazer alguma alteração.
1. Escolha **Conectar** para configurar a fonte de dados. Fique nesta página enquanto sua fonte de dados é criada. Quando ela ficar pronta, você será direcionado para a página de detalhes da fonte de dados.
## Próximas etapas
### Visite OpenSearch Painéis e crie um painel
Depois de criar uma fonte de dados, o OpenSearch Service fornece uma URL de OpenSearch painéis. Você usa a URL para consultar os dados usando SQL ou PPL. A integração do Security Lake vem com modelos de consulta pré-empacotados para SQL e PPL a fim de ajudar você a começar a analisar os logs.
Para saber mais, consulte [Configurando e consultando uma fonte de dados do Security Lake em painéis OpenSearch](direct-query-security-lake-configure.md).
## Recursos adicionais do
### Permissões necessárias para perfis do IAM criados manualmente
Ao criar uma fonte de dados, você escolhe um perfil do IAM para gerenciar o acesso aos dados. Você tem duas opções:
1. Criar um novo perfil do IAM automaticamente
1. Use um perfil do IAM existente que você criou manualmente
Se usar um perfil criado manualmente, você precisará anexar as permissões corretas a ele. As permissões devem permitir o acesso à fonte de dados específica e permitir que o OpenSearch Serviço assuma a função para que o OpenSearch Serviço possa acessar e interagir com segurança com seus dados. Além disso, conceda LakeFormation permissões à função para quaisquer bancos de dados e tabelas que você queira consultar. Conceda `DESCRIBE` permissões para a função nos SecurityLake bancos de dados que você deseja consultar a partir da conexão de consulta direta. Conceda permissões de `SELECT and DESCRIBE`, pelo menos, ao perfil da fonte de dados para as tabelas do banco de dados.
O exemplo de política a seguir demonstra as permissões de privilégio mínimo necessárias para criar e gerenciar uma fonte de dados. Se você tiver permissões mais abrangentes, como a política `AdminstratorAccess`, elas incluirão as permissões de privilégio mínimo do exemplo de política.
No exemplo de política a seguir, *placeholder text * substitua o por suas próprias informações.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonOpenSearchDirectQueryServerlessAccess",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll",
"aoss:DashboardsAccessAll"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collectionname/*"
},
{
"Sid": "AmazonOpenSearchDirectQueryGlueAccess",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTableVersions",
"glue:GetTables",
"glue:SearchTables",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:table/databasename/*",
"arn:aws:glue:us-east-1:111122223333:database/databasename",
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Sid": "AmazonOpenSearchDirectQueryLakeFormationAccess",
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess"
],
"Resource": [
"*"
]
}
]
}
```
------
O perfil também deve ter a seguinte política de confiança, que especifica o ID de destino.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "directquery.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obter instruções sobre como criar o perfil, consulte [Criar um perfil usando políticas de confiança personalizadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
Por padrão, a função tem acesso somente aos índices da fonte de dados de consulta direta. Embora você possa configurar a função para limitar ou conceder acesso à sua fonte de dados, é recomendável não ajustar o acesso dessa função. **Se você excluir a fonte de dados, essa função será excluída**. Isso removerá o acesso de outros usuários se eles estiverem mapeados para a função.
### Consultar dados do Security Lake criptografados com uma chave gerenciada pelo cliente
Se o bucket do Security Lake associado à conexão de dados for criptografado usando criptografia do lado do servidor com um cliente gerenciado AWS KMS key, você deverá adicionar a função de LakeFormation serviço à política principal. Isso permite que o serviço acesse e leia os dados para suas consultas.
No exemplo de política a seguir, *placeholder text * substitua o por suas próprias informações.
```
{
"Sid": "Allow LakeFormation to access the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```