本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
禁用 Security Lake
当您禁用 Amazon Security Lake 时,Security Lake 会停止从您的 AWS 源收集日志和事件。现有的 Security Lake 设置以及在 AWS 账户 中创建的资源将得到保留。此外,您存储在他人中或发布给其他人的数据 AWS 服务,例如 AWS Lake Formation 表和 AWS CloudTrail 日志中的敏感数据,仍然可用。存储在 Amazon Simple Storage Service(Amazon S3)桶中的数据在您的 Amazon S3 存储生命周期内可用。
从 Security Lake 控制台的 “设置” 页面禁用 Security Lake 会停止收集所有 AWS 区域 当前已启用 Security Lake 的 AWS 日志和事件。您可以使用控制台上的区域页面来停止在特定区域收集日志。Security Lake API AWS CLI 以及您在请求中指定的区域中停止日志收集。
如果您使用与的集成, AWS Organizations 并且您的账户属于集中管理多个 Security Lake 账户的组织,则只有委派的 Security Lake 管理员才能为自己和成员账户禁用 Security Lake。但是,退出组织会停止收集成员账户的日志。
当您为组织禁用 Security Lake 时,如果按照本页面上提供的禁用说明进行操作,则会保留指定的委派管理员。您无需再次指定委派管理员即可重新启用 Security Lake。
如果您在 Security Lake 中配置了一个或多个自定义源并禁用了该服务,则还必须独立于 Security Lake 禁用每个源。否则,自定义源将继续向 Amazon S3 发送日志。此外,您必须禁用订阅用户集成,否则订阅用户仍将能够使用来自 Security Lake 的数据。有关如何删除自定义来源或订阅用户集成的详细信息,请参阅相应提供商的文档。
重要
如果您禁用 Security Lake,请同时删除数据湖的现有 AWS Glue 资源。否则,如果您稍后再次启用 Security Lake,则后续查询将无法正常运行。尽管删除 AWS Glue 资源是主要要求,但组织可以灵活地管理与数据湖相关的额外资源。
如果您选择移除 AWS Glue 组件之外的资源,那么遵循 “要么全有要么全无” 的方法至关重要。如果您决定删除辅助资源,则必须全面删除所有关联的组件。这些额外资源包括:安全湖 SQS 队列 (AmazonSecurityLakeManager-xxx)、安全湖 Lambda 函数、事件源映射以及相关的 IAM 角色,例如角色。AmazonSecurityLakeMetaStoreManagerV2
在此过程中,您无需移除存储数据湖数据的 Amazon S3 存储桶。Organizations 可以在不影响清理程序的情况下保留这些存储桶。关键的考虑因素是避免部分移除资源,这可能会在未来的部署中导致配置问题。
计划停用数据湖时,请仔细评估是只删除 AWS Glue 资源还是要执行彻底的资源清理。如果您选择全面删除,请确保遵循系统的删除流程并移除所有相关组件。
重新启用安全湖后,将在新的 Amazon S3 存储桶中创建一个新的数据湖,并将数据收集到这个新的 S3 存储桶中。如果您之前删除过 AWS Glue 表,则会创建一组新的 AWS Glue 表。
在禁用 Security Lake 之前收集的所有数据都将保留在之前的 Amazon S3 存储桶中。如果要查询旧数据,则必须使用 Amazon S3 Sync 命令将数据移动到新存储桶。有关更多详细信息,请参阅《命令参考》中的 “同步
本主题介绍如何使用安全湖控制台、Security Lake API 或禁用安全湖 AWS CLI。
