기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Security Lake에서 롤업 리전 구성
롤업 리전은 하나 이상의 기여 리전의 데이터를 통합합니다. 롤업 리전을 지정하면 리전 규정 준수 요구 사항을 준수하는 데 도움이 될 수 있습니다.
Amazon S3의 제한으로 인해 고객 관리형 키(CMK) 암호화된 리전 데이터 레이크에서 S3 관리형 암호화된(기본 암호화) 리전 데이터 레이크로의 복제는 지원되지 않습니다.
**중요**
사용자 지정 소스를 생성한 경우 사용자 지정 소스 데이터가 대상에 올바르게 복제되도록 하려면 사용자 [지정 소스 수집 모범 사례에 설명된 모범 사례를](https://docs.aws.amazon.com//security-lake/latest/userguide/custom-sources.html#custom-sources-best-practices) 따르는 것이 좋습니다. 페이지에 설명된 대로 S3 파티션 데이터 경로 형식을 따르지 않는 데이터에서는 복제를 수행할 수 없습니다.
롤업 리전을 추가하기 전에 먼저 AWS Identity and Access Management (IAM) 에서 두 가지 역할을 생성해야 합니다.
+ [데이터 복제를 위한 IAM 역할](#iam-role-replication)
+ [AWS Glue 파티션을 등록하기 위한 IAM 역할](#iam-role-partitions)
**참고**
Security Lake 콘솔을 사용할 때 Security Lake는 사용자를 대신하여 이러한 IAM 역할을 생성하거나 기존 역할을 사용합니다. 그러나 Security Lake API 또는를 사용할 때는 이러한 역할을 생성해야 합니다 AWS CLI.
## 데이터 복제를 위한 IAM 역할
이 IAM 역할은 Amazon S3에 여러 리전에 걸쳐 소스 로그와 이벤트를 복제할 수 있는 권한을 부여합니다.
이러한 권한을 부여하려면 접두사 `SecurityLake`로 시작하는 IAM 역할을 생성하고 다음 샘플 정책을 역할에 연결해야 합니다. Security Lake에서 롤업 리전을 생성할 때 역할의 Amazon 리소스 이름(ARN) 이 필요합니다. 이 정책에서 `sourceRegions`는 기여 `destinationRegions` 리전이며 롤업 리전입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadS3ReplicationSetting",
"Action": [
"s3:ListBucket",
"s3:GetReplicationConfiguration",
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:GetObjectRetention",
"s3:GetObjectLegalHold"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
"arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{bucketOwnerAccountId}}"
]
}
}
},
{
"Sid": "AllowS3Replication",
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ReplicateTags",
"s3:GetObjectVersionTagging"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{bucketOwnerAccountId}}"
]
}
}
}
]
}
```
------
다음 신뢰 정책을 역할에 첨부하여 Amazon S3가 역할을 맡을 수 있도록 허용합니다:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3ToAssume",
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
AWS Key Management Service (AWS KMS)의 고객 관리형 키를 사용하여 Security Lake 데이터 레이크를 암호화하는 경우 데이터 복제 정책의 권한 외에도 다음 권한을 부여해야 합니다.
```
{
"Action": [
"kms:Decrypt"
],
"Effect": "Allow",
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{sourceRegion1}.amazonaws.com",
"s3.{sourceRegion2}.amazonaws.com"
],
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
"arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
]
}
},
"Resource": [
"{sourceRegion1KmsKeyArn}",
"{sourceRegion2KmsKeyArn}"
]
},
{
"Action": [
"kms:Encrypt"
],
"Effect": "Allow",
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{destinationRegion1}.amazonaws.com",
],
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
]
}
},
"Resource": [
"{destinationRegionKmsKeyArn}"
]
}
```
복제 역할에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [권한 설정을](https://docs.aws.amazon.com/AmazonS3/latest/userguide/setting-repl-config-perm-overview.html) 참조하세요.
## AWS Glue 파티션을 등록하기 위한 IAM 역할
이 IAM 역할은 Security Lake에서 다른 리전에서 복제된 S3 객체의 파티션을 등록하는 데 사용하는 AWS Glue 파티션 업데이터 AWS Lambda 함수에 대한 권한을 부여합니다. 이 역할을 생성하지 않으면 구독자는 해당 객체의 이벤트를 쿼리할 수 없습니다.
이러한 권한을 부여하려면 `AmazonSecurityLakeMetaStoreManager`라는 이름이 지정된 역할을 생성해야 합니다 (Security Lake에 온보딩하는 동안 이 역할을 이미 생성했을 수 있음). 샘플 정책을 포함하여 이 역할에 대한 자세한 내용은 [1단계: IAM 역할 생성](get-started-programmatic.md#prerequisites)을 참조하십시오.
Lake Formation 콘솔에서는 다음 단계에 따라 데이터 레이크 관리자로서 `AmazonSecurityLakeMetaStoreManager` 권한도 부여해야 합니다.
1. Lake Formation 콘솔([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/))을 엽니다.
1. 관리 사용자로 로그인
1. **Welcome to Lake Formation** 창이 나타나면 1단계에서 생성하거나 선택한 사용자를 선택한 다음 시작하기를 선택합니다.
1. **Welcome to Lake Formation** 창이 표시되지 않는 경우 다음 단계를 수행하여 Lake Formation 관리자를 구성하십시오.
1. 탐색 창의 **권한** 아래에서 **관리 역할 및 작업을** 선택합니다. 콘솔 페이지의 **데이터 레이크 관리자** 섹션에서 **관리자 선택**을 선택합니다.
1. **데이터 레이크 관리자 관리** 대화 상자에서 IAM 사용자 및 역할에 대해 생성한 **AmazonSecurityLakeMetaStoreManager** IAM 역할을 선택한 다음 **저장**을 선택합니다.
데이터 레이크 관리자의 권한 변경에 대한 자세한 내용은 *AWS Lake Formation 개발자 가이드의* [데이터 레이크 관리자 생성을](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin) 참조하십시오.
## 롤업 리전 추가
원하는 액세스 방법을 선택하고 다음 단계에 따라 롤업 리전을 추가하세요.
**참고**
리전은 여러 롤업 리전에 데이터를 제공할 수 있습니다. 하지만 롤업 리전은 다른 롤업 리전의 기여 리전이 될 수 없습니다.
------
#### [ Console ]
1. Security Lake 콘솔([https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/))을 엽니다.
1. 탐색 창의 **설정** 아래에서 **롤업 리전**을 선택합니다.
1. **수정**을 선택한 다음 **롤업 리전 추가**를 선택합니다.
1. 롤업 리전 및 기여 리전을 지정합니다. 여러 롤업 리전을 추가하려면 이 단계를 반복합니다.
1. 롤업 리전을 처음 추가하는 경우 **서비스 액세스를** 위해 새 IAM 역할을 생성하거나 Security Lake에 여러 리전에 걸쳐 데이터를 복제할 수 있는 권한을 부여하는 기존 IAM 역할을 사용하십시오.
1. 마쳤으면 **저장**을 선택합니다.
Security Lake에 온보딩할 때 롤업 리전을 추가할 수도 있습니다. 자세한 내용은 [Amazon Security Lake 시작하기](getting-started.md) 단원을 참조하십시오.
------
#### [ API ]
프로그래밍 방식으로 롤업 리전을 추가하려면 Security Lake API의 [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html) 작업을 사용합니다. 를 사용하는 경우 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) 명령을 AWS CLI실행합니다. 요청 시 `region` 필드를 사용하여 롤업 리전에 데이터를 제공할 리전을 지정하십시오. `replicationConfiguration` 파라미터 `regions` 배열에서 각 롤업 리전의 리전 코드를 지정합니다. 리전 코드 목록은 *AWS 일반 참조*의 [Amazon Security Lake 엔드포인트를](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) 참조하십시오.
예를 들어 다음 명령은를 롤업 리전`ap-northeast-2`으로 설정합니다. `us-east-1` 리전은 `ap-northeast-2` 리전에 데이터를 제공합니다. 또한이 예제에서는 데이터 레이크에 추가된 객체에 대해 365일의 만료 기간을 설정합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'
```
Security Lake에 온보딩할 때 롤업 리전을 추가할 수도 있습니다. 이렇게 하려면 [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html) 작업을 사용합니다(또는를 사용하는 경우 AWS CLI[create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) 명령). 온보딩 중 롤업 리전 구성에 대한 자세한 내용은 섹션을 참조하세요[Amazon Security Lake 시작하기](getting-started.md).
------
## 롤업 리전 업데이트 또는 제거
원하는 액세스 방법을 선택하고 다음 단계에 따라 Security Lake에서 롤업 리전을 업데이트하거나 제거하십시오.
------
#### [ Console ]
1. Security Lake 콘솔([https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/))을 엽니다.
1. 탐색 창의 **설정** 아래에서 **롤업 리전**을 선택합니다.
1. **수정**을 선택합니다.
1. 롤업 리전의 기여 리전을 변경하려면 롤업 리전 행에서 업데이트된 기여 리전을 지정하십시오.
1. 롤업 리전을 제거하려면 롤업 영역 행에서 **제거를** 선택합니다.
1. 마쳤으면 **저장**을 선택합니다.
------
#### [ API ]
프로그래밍 방식으로 롤업 리전을 구성하려면 Security Lake API의 [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html) 작업을 사용합니다. 를 사용하는 경우 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) 명령을 AWS CLI실행합니다. 요청 시 지원되는 파라미터를 사용하여 롤업 설정을 지정하십시오.
+ 기여 리전을 추가하려면 `region` 필드를 사용하여 추가할 리전의 리전 코드를 지정합니다. `replicationConfiguration` 객체 `regions` 배열에서 데이터를 제공할 각 롤업 리전의 리전 코드를 지정합니다. 리전 코드 목록은 *AWS 일반 참조*의 [Amazon Security Lake 엔드포인트를](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) 참조하십시오.
+ 영향을 주는 리전을 제거하려면 `region` 필드를 사용하여 제거할 리전의 리전 코드를 지정합니다. 입력 파라미터에 대한 값을 지정합니다.
예를 들어 다음 명령은 `us-east-1` 및를 모두 기여 리전`us-east-2`으로 구성합니다. 두 리전 모두 `ap-northeast-3` 롤업 리전에 데이터를 제공합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'
```
------