本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 OpenSearch Service 中建立 Amazon Security Lake 資料來源整合
您可以使用 Amazon OpenSearch Serverless 直接查詢 Amazon Security Lake 中的安全資料。若要這樣做,您可以建立資料來源,讓您能夠在 Security Lake 資料上使用 OpenSearch 零 ETL 功能。當您建立資料來源時,您可以直接搜尋、從 Security Lake 中獲取洞見和分析存放在 Security Lake 中的資料。您可以加速查詢效能,並在使用隨需索引的特定 Security Lake 資料集上使用進階 OpenSearch 分析。
**Topics**
+ [先決條件](#direct-query-s3security-lake-prereq)
+ [程序](#direct-query-security-lake-create)
+ [後續步驟](#direct-query-security-lake-next-steps)
+ [其他資源](#direct-query-security-lake-additional-resources)
## 先決條件
開始之前,請確定您已檢閱下列文件:
+ [限制](direct-query-security-lake-overview.md#direct-query-security-lake-limitations)
+ [建議](direct-query-security-lake-overview.md#direct-query-security-lake-recommendations)
+ [配額](direct-query-security-lake-overview.md#direct-query-security-lake-quotas)
在建立資料來源之前,請在 Security Lake 中採取下列動作:
+ **啟用 Security Lake**。設定 Security Lake 在與 OpenSearch 資源 AWS 區域 相同的 上收集日誌。如需說明,請參閱[《Amazon Security Lake 使用者指南](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html)》中的 Amazon Security Lake 入門。
+ **設定 Security Lake 許可**。請確定您已接受資源管理的服務連結角色許可,而且主控台不會在**問題**頁面下顯示任何問題。如需詳細資訊,請參閱《Amazon [Security Lake 使用者指南》中的 Security Lake 的服務連結角色](https://docs.aws.amazon.com/security-lake/latest/userguide/using-service-linked-roles.html)。
+ **共用 Security Lake 資料來源**。在與 Security Lake 相同的帳戶中存取 OpenSearch 時,請確保 Security Lake 主控台中沒有向 Lake Formation 註冊 Security Lake 儲存貯體的訊息。對於跨帳戶 OpenSearch 存取,請在 Security Lake 主控台中設定 Lake Formation 查詢訂閱者。使用與您的 OpenSearch 資源相關聯的帳戶作為訂閱者。如需詳細資訊,請參閱《Amazon [Security Lake 使用者指南》中的 Security Lake 中的訂閱者管理](https://docs.aws.amazon.com/security-lake/latest/userguide/create-query-subscriber-procedures.html)。
此外,您還必須在 中擁有下列資源 AWS 帳戶:
+ **(選用) 手動建立的 IAM 角色。**您可以使用此角色來管理對資料來源的存取。或者,您可以讓 OpenSearch Service 自動為您建立具有所需許可的角色。如果您選擇使用手動建立的 IAM 角色,請遵循 中的指引[手動建立 IAM 角色的必要許可](#direct-query-security-lake-additional-resources-required-permissions)。
## 程序
您可以將資料來源設定為從 內與 Security Lake 資料庫連線 AWS 管理主控台。
### 使用 設定資料來源 AWS 管理主控台
1. 在 [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/) 瀏覽至 Amazon OpenSearch Service 主控台。
1. 在左側導覽窗格中,前往**中央管理**並選擇**已連線的資料來源**。
1. 選擇**連線**。
1. 選擇 **Security Lake** 作為資料來源類型。
1. 選擇**下一步**。
1. 在**資料連線詳細資訊**下,輸入名稱和選用的描述。
1. 在 **IAM 許可存取設定**下,選擇如何管理對資料來源的存取。
1. 如果您想要自動為此資料來源建立角色,請遵循下列步驟:
1. 選取**建立新角色**。
1. 輸入 IAM 角色的名稱。
1. 選取一或多個 AWS Glue 資料表,以定義可查詢的資料。
1. 如果您想要使用自己管理的現有角色,請遵循下列步驟:
1. 選取**使用現有角色**。
1. 從下拉式功能表中選取現有角色。
**注意**
使用您自己的角色時,您必須從 IAM 主控台連接必要的政策,以確保它具有所有必要的許可。如需詳細資訊,請參閱[手動建立 IAM 角色的必要許可](#direct-query-security-lake-additional-resources-required-permissions)。
1. (選用) 在**標籤**下,將標籤新增至資料來源。
1. 選擇**下一步**。
1. 在**設定 OpenSearch** 下,選擇如何設定 OpenSearch。
1. 檢閱預設資源名稱和資料保留設定。
當您使用預設設定時,會為您建立新的 OpenSearch 應用程式和 Essentials 工作區,無需額外費用。OpenSearch 可讓您分析多個資料來源。它包含工作區,可為熱門使用案例提供量身打造的體驗。Workspaces 支援存取控制,可讓您為使用案例建立私有空間,並僅與協作者共用。
1. 使用自訂設定:
1. 請選擇 **Customize (自訂)**。
1. 視需要編輯集合名稱和資料保留設定。
1. 選取您要使用的 OpenSearch 應用程式和工作區。
1. 選擇**下一步**。
1. 檢閱您的選擇,如果您需要進行任何變更,請選擇**編輯**。
1. 選擇**連線**以設定資料來源。建立資料來源時,請保留在此頁面上。準備就緒後,系統會將您導向至資料來源詳細資訊頁面。
## 後續步驟
### 造訪 OpenSearch Dashboards 並建立儀表板
建立資料來源之後,OpenSearch Service 會為您提供 OpenSearch Dashboards URL。您可以使用它來查詢使用 SQL 或 PPL 的資料。Security Lake 整合隨附 SQL 和 PPL 的預先封裝查詢範本,讓您開始分析日誌。
如需詳細資訊,請參閱[在 OpenSearch Dashboards 中設定和查詢 Security Lake 資料來源](direct-query-security-lake-configure.md)。
## 其他資源
### 手動建立 IAM 角色的必要許可
建立資料來源時,您可以選擇 IAM 角色來管理對資料的存取。您有兩種選擇:
1. 自動建立新的 IAM 角色
1. 使用您手動建立的現有 IAM 角色
如果您使用手動建立的角色,則需要將正確的許可連接到角色。許可必須允許存取特定資料來源,並允許 OpenSearch Service 擔任該角色,以便 OpenSearch Service 可以安全地存取您的資料並與之互動。此外,針對您要查詢的任何資料庫和資料表,將 LakeFormation 許可授予角色。將`DESCRIBE`許可授予您要從直接查詢連線查詢的 SecurityLake 資料庫上的角色。授予資料庫內資料表之資料來源角色的至少`SELECT and DESCRIBE`許可。
下列範例政策示範建立和管理資料來源所需的最低權限許可。如果您有更廣泛的許可,例如 `AdminstratorAccess` 政策,這些許可會包含範例政策中最低權限的許可。
在下列範例政策中,將*預留位置文字*取代為您自己的資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonOpenSearchDirectQueryServerlessAccess",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll",
"aoss:DashboardsAccessAll"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collectionname/*"
},
{
"Sid": "AmazonOpenSearchDirectQueryGlueAccess",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTableVersions",
"glue:GetTables",
"glue:SearchTables",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:table/databasename/*",
"arn:aws:glue:us-east-1:111122223333:database/databasename",
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Sid": "AmazonOpenSearchDirectQueryLakeFormationAccess",
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess"
],
"Resource": [
"*"
]
}
]
}
```
------
角色也必須具有下列信任政策,指定目標 ID。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "directquery.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
如需建立角色的指示,請參閱[使用自訂信任政策建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)。
根據預設,角色只能存取直接查詢資料來源索引。雖然您可以設定角色來限制或授予對資料來源的存取權,但建議您不要調整此角色的存取權。**如果您刪除資料來源,則會刪除此角色**。如果任何其他使用者映射到角色,這將移除其存取權。
### 查詢使用客戶受管金鑰加密的 Security Lake 資料
如果與資料連線相關聯的 Security Lake 儲存貯體使用伺服器端加密與客戶受管的 進行加密 AWS KMS key,您必須將 LakeFormation 服務角色新增至金鑰政策。這可讓服務存取和讀取查詢的資料。
在下列範例政策中,將*預留位置文字*取代為您自己的資訊。
```
{
"Sid": "Allow LakeFormation to access the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```