本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
停用 Security Lake
當您停用 Amazon Security Lake 時,Security Lake 會 AWS 停止從您的來源收集日誌和事件。 AWS 帳戶 系統會保留現有的 Security Lake 設定和在 中建立的資源。此外,您存放在 中或發佈至其他 的資料仍然可用 AWS 服務,例如 AWS Lake Formation 資料表和 AWS CloudTrail 日誌中的敏感資料。存放在 Amazon Simple Storage Service (Amazon S3) 儲存貯體中的資料仍會根據您的 Amazon S3 儲存生命週期保持可用。
從 Security Lake 主控台的設定頁面停用 Security Lake 會停止目前啟用 AWS 區域 Security Lake 的所有 中的 AWS 日誌和事件集合。您可以使用 主控台上的區域頁面,在特定區域中停止日誌收集。Security Lake API 和 AWS CLI 也會在您請求中指定的區域中停止日誌收集。
如果您使用與 的整合, AWS Organizations 而且您的帳戶屬於集中管理多個 Security Lake 帳戶的組織,則只有委派的 Security Lake 管理員可以停用 Security Lake 本身和成員帳戶。不過,離開組織會停止成員帳戶的日誌收集。
當您停用組織的 Security Lake 時,如果您遵循此頁面提供的停用指示,委派管理員指定會保留。您不需要再次指定委派管理員,即可重新啟用 Security Lake。
如果您在 Security Lake 中設定一或多個自訂來源並停用服務,您還必須獨立於 Security Lake 停用每個來源。否則,自訂來源將繼續將日誌傳送至 Amazon S3。此外,您必須停用訂閱者整合,否則訂閱者仍然可以使用來自 Security Lake 的資料。如需如何移除自訂來源或訂閱者整合的詳細資訊,請參閱個別供應商的文件。
重要
如果您停用 Security Lake,也請刪除資料湖的現有 AWS Glue 資源。否則,如果您稍後再次啟用 Security Lake,後續查詢將無法正常運作。雖然刪除 AWS Glue 資源是主要需求,但組織可以靈活地管理與資料湖相關聯的其他資源。
如果您選擇移除 AWS Glue 元件以外的資源,請務必遵循「全部或全部」方法。如果您決定刪除輔助資源,您必須完整移除所有相關聯的元件。這些其他資源包括:Security Lake SQS Queues (AmazonSecurityLakeManager-xxx)、Security Lake Lambda 函數、事件來源映射,以及相關 IAM 角色,例如 AmazonSecurityLakeMetaStoreManagerV2角色。
在此過程中,您不需要移除存放資料湖資料的 Amazon S3 儲存貯體。組織可以保留這些儲存貯體,而不會影響清除程序。關鍵考量是避免部分移除資源,這可能會導致未來部署中的組態問題。
計劃停用資料湖時,請仔細評估是否只移除 AWS Glue 資源或執行完整的資源清除。如果您選擇全面移除,請確保您遵循系統化刪除程序並移除所有相關聯的元件。
重新啟用 Security Lake 時,會在新的 Amazon S3 儲存貯體中建立新的資料湖,並在此新的 S3 儲存貯體中收集資料。如果您先前已刪除 AWS Glue 資料表,則會建立新的一組 AWS Glue 資料表。
在停用 Security Lake 之前收集的所有資料都會保留在先前的 Amazon S3 儲存貯體中。如果您想要查詢舊資料,您必須使用 Amazon S3 Sync命令將資料移至新的儲存貯體。如需詳細資訊,請參閱《 命令參考》中的 Sync
本主題說明如何使用 Security Lake 主控台、Security Lake API 或 來停用 Security Lake AWS CLI。
