Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Security Lake programmgesteuert aktivieren
<a name="get-started-programmatic"></a>

In diesem Tutorial wird erklärt, wie Sie Security Lake programmgesteuert aktivieren und verwenden können. Die Amazon Security Lake-API bietet Ihnen umfassenden, programmatischen Zugriff auf Ihr Security Lake-Konto, Ihre Daten und Ressourcen. Alternativ können Sie AWS Befehlszeilentools — die [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)oder die [AWS Tools für PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html) — oder die verwenden, [AWS SDKs](https://aws.amazon.com/developertools/)um auf Security Lake zuzugreifen.

## Schritt 1: IAM-Rollen erstellen
<a name="prerequisites"></a>

Wenn Sie programmgesteuert auf Security Lake zugreifen, müssen Sie einige AWS Identity and Access Management (IAM-) Rollen erstellen, um Ihren Data Lake zu konfigurieren.

**Wichtig**  
Es ist nicht erforderlich, diese IAM-Rollen zu erstellen, wenn Sie die Security Lake-Konsole verwenden, um Security Lake zu aktivieren und zu konfigurieren.

Sie müssen Rollen in IAM erstellen, wenn Sie eine oder mehrere der folgenden Aktionen ausführen möchten (klicken Sie auf die Links, um weitere Informationen zu den IAM-Rollen für jede Aktion zu erhalten):
+ [Eine benutzerdefinierte Quelle erstellen — Benutzerdefinierte](custom-sources.md#iam-roles-custom-sources) Quellen sind Quellen, die nicht systemintern unterstützt werden und Daten an Security AWS-Services Lake senden.
+ [Einen Abonnenten mit Datenzugriff erstellen](prereqs-creating-subscriber.md#iam-role-subscriber) — Abonnenten mit Berechtigungen können direkt von Ihrem Data Lake aus auf S3-Objekte zugreifen.
+ [Einen Abonnenten mit Abfragezugriff erstellen](prereqs-query-subscriber.md#iam-role-query-subscriber) — Abonnenten mit Berechtigungen können mithilfe von Diensten wie Amazon Athena Daten von Security Lake abfragen.
+ [Konfiguration einer Rollup-Region — Eine Rollup-Region](add-rollup-region.md#iam-role-replication) konsolidiert Daten aus mehreren. AWS-Regionen

Nachdem Sie die zuvor genannten Rollen erstellt haben, fügen Sie die [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS verwaltete Richtlinie der Rolle hinzu, die Sie zur Aktivierung von Security Lake verwenden. Diese Richtlinie gewährt Administratorberechtigungen, die es einem Principal ermöglichen, sich bei Security Lake anzumelden und auf alle Security Lake-Aktionen zuzugreifen.

Fügen Sie die [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS verwaltete Richtlinie an, um Ihren Data Lake zu erstellen oder Daten von Security Lake abzufragen. Diese Richtlinie ist erforderlich, damit Security Lake ETL-Jobs (Extrahieren, Transformieren und Laden) für rohe Protokoll- und Ereignisdaten unterstützt, die es aus Quellen empfängt.

## Schritt 2: Amazon Security Lake aktivieren
<a name="enable-service-programmatic"></a>

Verwenden Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)Betrieb der Security Lake-API, um Security Lake programmgesteuert zu aktivieren. Wenn Sie den verwenden AWS CLI, führen Sie den [create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html)Befehl aus. Verwenden Sie in Ihrer Anfrage das `region` Feld des `configurations` Objekts, um den Regionalcode für die Region anzugeben, in der Security Lake aktiviert werden soll. Eine Liste der Regionscodes finden Sie unter [Amazon Security Lake-Endpoints](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) in der *Allgemeine AWS-Referenz*.

**Beispiel 1**

Der folgende Beispielbefehl aktiviert Security Lake in den `us-east-2` Regionen `us-east-1` und. In beiden Regionen ist dieser Data Lake mit verwalteten Amazon S3 S3-Schlüsseln verschlüsselt. Objekte laufen nach 365 Tagen ab, und Objekte werden nach 60 Tagen in die Speicherklasse `ONEZONE_IA` S3 überführt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**Beispiel 2**

Der folgende Beispielbefehl aktiviert Security Lake in der `us-east-2` Region. Dieser Data Lake ist mit einem vom Kunden verwalteten Schlüssel verschlüsselt, der in AWS Key Management Service (AWS KMS) erstellt wurde. Objekte laufen nach 500 Tagen ab, und Objekte werden nach 30 Tagen in die Speicherklasse `GLACIER` S3 überführt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**Anmerkung**  
Wenn Sie Security Lake bereits aktiviert haben und die Konfigurationseinstellungen für eine Region oder Quelle aktualisieren möchten, verwenden Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)Vorgang oder, falls Sie den verwenden AWS CLI, den [update-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)Befehl. Verwenden Sie den `CreateDataLake` Vorgang nicht.

## Schritt 3: Quellen konfigurieren
<a name="define-collection-objective-programmatic"></a>

Security Lake sammelt Protokoll- und Ereignisdaten aus einer Vielzahl von Quellen und in Ihrem AWS-Konten Land AWS-Regionen. Folgen Sie diesen Anweisungen, um herauszufinden, welche Daten Security Lake sammeln soll. Sie können diese Anweisungen nur verwenden, um eine nativ unterstützte Quelle AWS-Service hinzuzufügen. Informationen zum Hinzufügen einer benutzerdefinierten Quelle finden Sie unter. [Sammeln von Daten aus benutzerdefinierten Quellen in Security Lake](custom-sources.md)

Um eine oder mehrere Sammlungsquellen programmgesteuert zu definieren, verwenden Sie den [CreateAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateAwsLogSource.html)Betrieb der Security Lake-API. Geben Sie für jede Quelle einen regional eindeutigen Wert für den Parameter an. `sourceName` Verwenden Sie optional zusätzliche Parameter, um den Geltungsbereich der Quelle auf bestimmte Konten (`accounts`) oder eine bestimmte Version (`sourceVersion`) zu beschränken.

**Anmerkung**  
Wenn Sie keinen optionalen Parameter in Ihre Anfrage aufnehmen, wendet Security Lake Ihre Anfrage auf alle Konten oder alle Versionen der angegebenen Quelle an, je nachdem, welchen Parameter Sie ausschließen. Wenn Sie beispielsweise der delegierte Security Lake-Administrator für eine Organisation sind und den `accounts` Parameter ausschließen, wendet Security Lake Ihre Anfrage auf alle Konten in Ihrer Organisation an. Wenn Sie den `sourceVersion` Parameter ausschließen, wendet Security Lake Ihre Anfrage ebenfalls auf alle Versionen der angegebenen Quelle an.

Wenn Ihre Anfrage eine Region angibt, in der Sie Security Lake nicht aktiviert haben, tritt ein Fehler auf. Um diesen Fehler zu beheben, stellen Sie sicher, dass das `regions` Array nur die Regionen angibt, in denen Sie Security Lake aktiviert haben. Alternativ können Sie Security Lake in der Region aktivieren und Ihre Anfrage dann erneut einreichen.

Wenn Sie Security Lake zum ersten Mal in einem Konto aktivieren, sind alle ausgewählten Protokoll- und Ereignisquellen Teil einer 15-tägigen kostenlosen Testphase. Weitere Informationen zu Nutzungsstatistiken finden Sie unter[Überprüfung der Nutzung und der geschätzten Kosten](reviewing-usage-costs.md).

## Schritt 4: Speichereinstellungen und Rollup-Regionen konfigurieren (optional)
<a name="define-target-objective-programmatic"></a>

Sie können die Amazon S3 S3-Speicherklasse angeben, in der Security Lake Ihre Daten speichern soll und für wie lange. Sie können auch eine Rollup-Region angeben, um Daten aus mehreren Regionen zu konsolidieren. Dies sind optionale Schritte. Weitere Informationen finden Sie unter [Lebenszyklusmanagement in Security Lake](lifecycle-management.md).

Verwenden Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)Betrieb der Security Lake-API, um ein Zielziel programmgesteuert zu definieren, wenn Sie Security Lake aktivieren. Wenn Sie Security Lake bereits aktiviert haben und ein Zielziel definieren möchten, verwenden Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)Vorgang, nicht den `CreateDataLake` Vorgang.

Verwenden Sie für beide Operationen die unterstützten Parameter, um die gewünschten Konfigurationseinstellungen anzugeben:
+ Um eine Rollup-Region anzugeben, geben Sie in dem `region` Feld die Region an, aus der Sie Daten zu den Rollup-Regionen beitragen möchten. Geben Sie im `regions` Array des `replicationConfiguration` Objekts den Regionalcode für jede Rollup-Region an. Eine Liste der Regionscodes finden Sie unter [Amazon Security Lake-Endpoints](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) in der *Allgemeine AWS-Referenz*.
+ Verwenden Sie die folgenden `lifecycleConfiguration` Parameter, um die Aufbewahrungseinstellungen für Ihre Daten festzulegen:
  + Geben Sie für die Gesamtzahl der Tage (`days`) an`transitions`, an denen Sie S3-Objekte in einer bestimmten Amazon S3 S3-Speicherklasse (`storageClass`) speichern möchten.
  + Geben Sie für die Gesamtzahl der Tage an`expiration`, an denen Sie Objekte in Amazon S3 speichern möchten, und verwenden Sie dabei eine beliebige Speicherklasse, nachdem Objekte erstellt wurden. Wenn diese Aufbewahrungsfrist endet, laufen Objekte ab und Amazon S3 löscht sie.

  Security Lake wendet die angegebenen Aufbewahrungseinstellungen auf die Region an, die Sie im `region` Feld des `configurations` Objekts angeben.

Mit dem folgenden Befehl wird beispielsweise ein Data Lake mit `ap-northeast-2` einer Rollup-Region erstellt. Die `us-east-1` Region wird Daten zur Region beitragen. `ap-northeast-2` In diesem Beispiel wird auch eine 10-tägige Ablauffrist für Objekte festgelegt, die dem Data Lake hinzugefügt werden.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

Sie haben jetzt Ihren Data Lake erstellt. Verwenden Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html)Betrieb der Security Lake-API, um die Aktivierung von Security Lake und Ihre Data Lake-Einstellungen in jeder Region zu überprüfen.

Wenn bei der Erstellung Ihres Data Lakes Probleme oder Fehler auftreten, können Sie mithilfe des Vorgangs eine Liste von Ausnahmen anzeigen und Benutzer über Ausnahmen im Zusammenhang mit dem [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html)Vorgang informieren. Weitere Informationen finden Sie unter [Fehlerbehebung beim Data Lake-Status](securitylake-data-lake-troubleshoot.md).

## Schritt 5: Ihre eigenen Daten anzeigen und abfragen
<a name="explore-data-lake-programmatic"></a>

Nachdem Sie Ihren Data Lake erstellt haben, können Sie Amazon Athena oder ähnliche Dienste verwenden, um Ihre Daten aus AWS Lake Formation Datenbanken und Tabellen anzuzeigen und abzufragen. Wenn Sie Security Lake programmgesteuert aktivieren, werden Datenbankansichtsberechtigungen nicht automatisch gewährt. Das Data Lake-Administratorkonto in AWS Lake Formation muss `SELECT` Berechtigungen für die IAM-Rolle gewähren, mit der Sie die entsprechenden Datenbanken und Tabellen abfragen möchten. Die Rolle muss mindestens über *Datenanalystenberechtigungen* verfügen. Weitere Informationen zu Berechtigungsstufen finden Sie in der Referenz zu [Personas und IAM-Berechtigungen von Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html). Anweisungen zum Erteilen von `SELECT` Berechtigungen finden Sie unter [Erteilen von Datenkatalogberechtigungen mithilfe der benannten Ressourcenmethode](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html) im *AWS Lake Formation Entwicklerhandbuch*.

## Schritt 6: Abonnenten erstellen
<a name="subscribe-data-programmatic"></a>

Nachdem Sie Ihren Data Lake erstellt haben, können Sie Abonnenten hinzufügen, um Ihre Daten zu nutzen. Abonnenten können Daten konsumieren, indem sie direkt auf Objekte in Ihren Amazon S3 S3-Buckets zugreifen oder den Data Lake abfragen. Weitere Informationen zu Abonnenten finden Sie unter. [Abonnentenverwaltung in Security Lake](subscriber-management.md)