Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erste Schritte mit Amazon Security Lake
<a name="getting-started"></a>

In den Themen in diesem Abschnitt wird erklärt, wie Sie Security Lake aktivieren und mit der Nutzung beginnen. Sie erfahren, wie Sie Ihre Data Lake-Einstellungen konfigurieren und die Protokollerfassung einrichten. Sie können Security Lake über das AWS-Managementkonsole oder programmgesteuert aktivieren und verwenden. Unabhängig davon, welche Methode Sie verwenden, müssen Sie zuerst einen Benutzer AWS-Konto und einen Administratorbenutzer einrichten. Die nachfolgenden Schritte unterscheiden sich je nach Zugriffsmethode. 

Die Security Lake-Konsole bietet einen optimierten Prozess für den Einstieg und erstellt alle erforderlichen AWS Identity and Access Management (IAM-) Rollen, die Sie für die Erstellung Ihres Data Lakes benötigen.

Wenn Sie programmgesteuert auf Security Lake zugreifen, müssen Sie einige AWS Identity and Access Management (IAM-) Rollen erstellen, um Ihren Data Lake zu konfigurieren.

**Wichtig**  
Security Lake unterstützt kein Backfilling vorhandener AWS unformatierter Protokollquellenereignisse, die vor der Aktivierung von Security Lake generiert wurden.

**Topics**
+ [Einrichtung Ihres AWS-Konto](initial-account-setup.md)
+ [Überlegungen bei der Aktivierung von Security Lake](enable-securitylake-considerations.md)
+ [Security Lake über die Konsole aktivieren](get-started-console.md)
+ [Security Lake programmgesteuert aktivieren](get-started-programmatic.md)

# Einrichtung Ihres AWS-Konto
<a name="initial-account-setup"></a>

Bevor Sie Amazon Security Lake aktivieren können, benötigen Sie einen AWS-Konto. Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.

## Melde dich an für eine AWS-Konto
<a name="sign-up-for-aws"></a>

Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.

**Um sich für eine anzumelden AWS-Konto**

1. Öffnen Sie [https://portal.aws.amazon.com/billing/die Anmeldung.](https://portal.aws.amazon.com/billing/signup)

1. Folgen Sie den Online-Anweisungen.

   Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.

   Wenn Sie sich für eine anmelden AWS-Konto, *Root-Benutzer des AWS-Kontos*wird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Du kannst jederzeit deine aktuellen Kontoaktivitäten einsehen und dein Konto verwalten, indem du zu [https://aws.amazon.com/](https://aws.amazon.com/)gehst und **Mein Konto** auswählst.

## Erstellen eines Benutzers mit Administratorzugriff
<a name="create-an-admin"></a>

Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.

**Sichern Sie Ihre Root-Benutzer des AWS-Kontos**

1.  Melden Sie sich [AWS-Managementkonsole](https://console.aws.amazon.com/)als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

   Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter [Anmelden als Root-Benutzer](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) im *AWS-Anmeldung -Benutzerhandbuch* zu.

1. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.

   Anweisungen finden Sie unter [Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto Root-Benutzer (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) im *IAM-Benutzerhandbuch*.

**Erstellen eines Benutzers mit Administratorzugriff**

1. Aktivieren Sie das IAM Identity Center.

   Anweisungen finden Sie unter [Aktivieren AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

1. Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.

   *Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie IAM-Identity-Center-Verzeichnis im Benutzerhandbuch unter [Benutzerzugriff mit der Standardeinstellung konfigurieren](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html).AWS IAM Identity Center *

**Anmelden als Administratorbenutzer**
+ Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.

  Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie [im *AWS-Anmeldung Benutzerhandbuch* unter Anmeldung beim AWS Access-Portal](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html).

**Weiteren Benutzern Zugriff zuweisen**

1. Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.

   Anweisungen hierzu finden Sie unter [ Berechtigungssatz erstellen](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

1. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.

   Eine genaue Anleitung finden Sie unter [ Gruppen hinzufügen](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

## Identifizieren Sie das Konto, das Sie verwenden werden, um Security Lake zu aktivieren
<a name="prerequisite-organizations"></a>

Security Lake lässt sich integrieren AWS Organizations , um die Protokollerfassung für mehrere Konten in einer Organisation zu verwalten. Wenn Sie Security Lake für eine Organisation verwenden möchten, müssen Sie Ihr Organisationsverwaltungskonto verwenden, um einen delegierten Security Lake-Administrator zu benennen. Anschließend müssen Sie die Anmeldeinformationen des delegierten Administrators verwenden, um Security Lake zu aktivieren, Mitgliedskonten hinzuzufügen und Security Lake für sie zu aktivieren. Weitere Informationen finden Sie unter [Verwaltung mehrerer Konten mit AWS Organizations in Security Lake](multi-account-management.md).

Alternativ können Sie Security Lake ohne die Organisationsintegration für ein eigenständiges Konto verwenden, das nicht Teil einer Organisation ist.

# Überlegungen bei der Aktivierung von Security Lake
<a name="enable-securitylake-considerations"></a>

**Bevor Sie Security Lake aktivieren, sollten Sie Folgendes beachten**:
+ Security Lake bietet regionsübergreifende Verwaltungsfunktionen, was bedeutet, dass Sie Ihren Data Lake erstellen und die Protokollerfassung auf allen AWS-Regionen Ebenen konfigurieren können. Um Security Lake in [allen unterstützten Regionen](supported-regions.md) zu aktivieren, können Sie einen beliebigen unterstützten regionalen Endpunkt auswählen. Sie können auch [Rollup-Regionen](add-rollup-region.md) hinzufügen, um Daten aus mehreren Regionen in einer einzigen Region zusammenzufassen.
+ Wir empfehlen, Security Lake in allen unterstützten Programmen zu aktivieren. AWS-Regionen Wenn Sie dies tun, kann Security Lake Daten sammeln, die mit nicht autorisierten oder ungewöhnlichen Aktivitäten in Verbindung stehen, auch in Regionen, die Sie nicht aktiv nutzen. Wenn Security Lake nicht in allen unterstützten Regionen aktiviert ist, ist seine Fähigkeit, Daten von anderen Diensten zu sammeln, die Sie in mehreren Regionen verwenden, eingeschränkt.
+ Wenn Sie Security Lake zum ersten Mal in einer beliebigen Region aktivieren, werden die folgenden dienstbezogenen Rollen für Ihr Konto erstellt:
  + [AWSServiceRoleForSecurityLake](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html): Diese Rolle beinhaltet die Berechtigungen, andere in AWS-Services Ihrem Namen anzurufen und den Security Data Lake zu betreiben. Wenn Sie Security Lake als [delegierten Security Lake-Administrator](multi-account-management.md#delegated-admin-important) aktivieren, erstellt Security Lake die [dienstbezogene Rolle](using-service-linked-roles.md) in jedem Mitgliedskonto der Organisation.
  + [AWSServiceRoleForSecurityLakeResourceManagement](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html): Security Lake verwendet diese Rolle für die kontinuierliche Überwachung und Leistungsverbesserungen, wodurch Latenz und Kosten potenziell reduziert werden können. Diese dienstbezogene Rolle vertraut darauf, dass der `resource-management.securitylake.amazonaws.com` Dienst die Rolle übernimmt. Durch die Aktivierung dieser Servicerolle erhält sie auch Zugriff auf Lake Formation. 

    Informationen darüber, wie sich dies auf die vorhandenen Konten auswirkt, die Security Lake vor dem 17. April 2025 aktiviert haben, finden Sie unter[Update for existing accounts](multi-account-management.md#security-lake-existing-account-resource-management-slr).

  Informationen zur Funktionsweise von dienstbezogenen Rollen finden Sie unter [Verwenden von Berechtigungen für serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) im *IAM-Benutzerhandbuch*.
+ Security Lake unterstützt Amazon S3 Object Lock nicht. Wenn die Data Lake-Buckets erstellt werden, ist S3 Object Lock standardmäßig deaktiviert. Wenn Object Lock für einen Bucket aktiviert wird, wird die Übermittlung von normalisierten Protokolldaten an den Data Lake unterbrochen.
+ Wenn Sie Security Lake in einer Region erneut aktivieren, müssen Sie die entsprechende AWS Glue Datenbank der Region aus Ihrer vorherigen Verwendung von Security Lake löschen.

# Security Lake über die Konsole aktivieren
<a name="get-started-console"></a>

In diesem Tutorial wird erklärt, wie Sie Security Lake über die aktivieren und konfigurieren AWS-Managementkonsole. Als Teil von bietet die AWS-Managementkonsole Security Lake-Konsole einen optimierten Prozess für den Einstieg und erstellt alle erforderlichen AWS Identity and Access Management (IAM-) Rollen, die Sie für die Erstellung Ihres Data Lakes benötigen.

## Schritt 1: Quellen konfigurieren
<a name="define-collection-objective"></a>

Security Lake sammelt Protokoll- und Ereignisdaten aus einer Vielzahl von Quellen und in Ihrem AWS-Konten Land AWS-Regionen. Folgen Sie diesen Anweisungen, um herauszufinden, welche Daten Security Lake sammeln soll. Sie können diese Anweisungen nur verwenden, um eine nativ unterstützte Quelle AWS-Service hinzuzufügen. Informationen zum Hinzufügen einer benutzerdefinierten Quelle finden Sie unter. [Sammeln von Daten aus benutzerdefinierten Quellen in Security Lake](custom-sources.md)

**So konfigurieren Sie die Erfassung von Protokollquellen**

1. Öffnen Sie die Security Lake-Konsole unter [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Wählen Sie mithilfe der AWS-Region Auswahltaste in der oberen rechten Ecke der Seite eine Region aus. Sie können Security Lake während des Onboardings in der aktuellen Region und anderen Regionen aktivieren.

1. Wählen Sie **Erste Schritte**.

1. **Wählen Sie unter Protokoll- und Ereignisquellen** auswählen eine der folgenden Optionen für die **Quellenauswahl**:

   1. ** AWS Standardquellen aufnehmen** — Wenn Sie die empfohlene Option wählen, CloudTrail AWS WAF werden S3-Datenereignisse standardmäßig nicht aufgenommen. Dies liegt daran, dass die Aufnahme großer Mengen beider Quelltypen die Nutzungskosten erheblich beeinflussen kann. Um diese Quellen aufzunehmen, wählen Sie zunächst die Option **Bestimmte AWS Quellen aufnehmen und wählen Sie dann diese Quellen** aus der Liste der **Protokoll- und Ereignisquellen** aus.

   1. **Bestimmte AWS Quellen aufnehmen** — Mit dieser Option können Sie eine oder mehrere Protokoll- und Ereignisquellen auswählen, die Sie aufnehmen möchten.
**Anmerkung**  
Wenn Sie Security Lake zum ersten Mal in einem Konto aktivieren, sind alle ausgewählten Protokoll- und Ereignisquellen Teil einer 15-tägigen kostenlosen Testphase. Weitere Informationen zu Nutzungsstatistiken finden Sie unter[Überprüfung der Nutzung und der geschätzten Kosten](reviewing-usage-costs.md).

1. Wählen Sie unter **Versionen** die Version der Datenquelle aus, aus der Sie Protokoll- und Ereignisquellen aufnehmen möchten. Weitere Informationen zu Versionen erhalten Sie unter [Identifizierung der OCSF-Quelle](open-cybersecurity-schema-framework.md#ocsf-source-identification).
**Wichtig**  
Wenn Sie nicht über die erforderlichen Rollenberechtigungen verfügen, um die neue Version der AWS Protokollquelle in der angegebenen Region zu aktivieren, wenden Sie sich an Ihren Security Lake-Administrator. Weitere Informationen finden Sie unter [Rollenberechtigungen aktualisieren](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html#update-role-permissions).

1. **Wählen Sie unter Ausgewählte Regionen aus**, ob Protokoll- und Ereignisquellen aus allen unterstützten Regionen oder aus bestimmten Regionen aufgenommen werden sollen. Wenn Sie „**Bestimmte Regionen**“ wählen, wählen Sie aus, aus welchen Regionen Daten aufgenommen werden sollen.

1. Gehen **Sie für „Konten auswählen**“ wie folgt vor:

   1. Wählen Sie aus, ob Security Lake Daten von „**Alle Konten“ oder „**Spezifischen Konten****“ in Ihrer Organisation aufnimmt. Security Lake wird für diese Konten mit den Einstellungen aktiviert, die Sie bei dieser Konfiguration ausgewählt haben.

   1. Das Kontrollkästchen **Security Lake automatisch für neue Organisationskonten** aktivieren ist standardmäßig aktiviert. Diese Einstellungen für die automatische Aktivierung gelten für den Beitritt zu AWS-Konten Ihrer Organisation. Sie können die Einstellungen für die automatische Aktivierung jederzeit bearbeiten.
**Anmerkung**  
Die Einstellungen für die automatische Aktivierung gelten nur für Konten, wenn sie Ihrer Organisation beitreten, nicht für bestehende Konten. Weitere Informationen finden Sie unter [Bearbeitung der neuen Kontokonfiguration in der Konsole](multi-account-management.md#security-lake-new-account-auto-enable).

   

1. Erstellen Sie für **den Zugriff auf Dienste** eine neue IAM-Rolle oder verwenden Sie eine bestehende IAM-Rolle, die Security Lake die Erlaubnis erteilt, Daten aus Ihren Quellen zu sammeln und sie Ihrem Data Lake hinzuzufügen. Eine Rolle wird in allen Regionen verwendet, in denen Sie Security Lake aktivieren.

1. Wählen Sie **Weiter** aus.

## Schritt 2: Definieren Sie Speichereinstellungen und Rollup-Regionen (optional)
<a name="define-target-objective"></a>

Sie können die Amazon S3 S3-Speicherklasse angeben, in der Security Lake Ihre Daten speichern soll und für wie lange. Sie können auch eine Rollup-Region angeben, um Daten aus mehreren Regionen zu konsolidieren. Dies sind optionale Schritte. Weitere Informationen finden Sie unter [Lebenszyklusmanagement in Security Lake](lifecycle-management.md).

**Um Speicher- und Rollup-Einstellungen zu konfigurieren**

1. **Wenn Sie Daten aus mehreren beitragenden Regionen in einer Rollup-Region konsolidieren möchten, wählen Sie unter **Rollup-Regionen auswählen die Option Rollup-Region** hinzufügen aus.** Geben Sie die Rollup-Region und die Regionen an, die dazu beitragen sollen. Sie können eine oder mehrere Rollup-Regionen einrichten.

1. **Wählen Sie für Ausgewählte Speicherklassen** eine Amazon S3 S3-Speicherklasse aus. Die Standard-Speicherklasse ist **S3 Standard**. Geben Sie einen Aufbewahrungszeitraum (in Tagen) an, wenn Sie möchten, dass die Daten nach dieser Zeit in eine andere Speicherklasse übertragen werden, und wählen Sie **Übergang hinzufügen** aus. Nach Ablauf der Aufbewahrungsfrist laufen die Objekte ab und Amazon S3 löscht sie. Weitere Informationen zu Amazon S3 S3-Speicherklassen und Aufbewahrung finden Sie unter[Verwaltung der Aufbewahrung](lifecycle-management.md#retention-management).

1. Wenn Sie im ersten Schritt eine Rollup-Region ausgewählt haben, erstellen Sie für den **Servicezugriff** eine neue IAM-Rolle oder verwenden Sie eine bestehende IAM-Rolle, die Security Lake die Erlaubnis erteilt, Daten über mehrere Regionen hinweg zu replizieren.

1. Wählen Sie **Weiter** aus.

## Schritt 3: Überprüfen und erstellen Sie einen Data Lake
<a name="review-create"></a>

Überprüfen Sie die Quellen, aus denen Security Lake Daten sammelt, Ihre Rollup-Regionen und Ihre Aufbewahrungseinstellungen. Erstellen Sie dann Ihren Data Lake.

**Um den Data Lake zu überprüfen und zu erstellen**

1. Überprüfen Sie bei der Aktivierung von Security Lake die **Protokoll- und Ereignisquellen**, **Regionen**, **Rollup-Regionen** und **Speicherklassen**.

1. Wählen Sie **Erstellen** aus.

Nachdem Sie Ihren Data Lake erstellt haben, wird die **Übersichtsseite** in der Security Lake-Konsole angezeigt. **Diese Seite bietet einen Überblick über die Anzahl der **Regionen** und **Rollup-Regionen**, Informationen zu Abonnenten und Probleme.**

Das Menü **Probleme** zeigt Ihnen eine Zusammenfassung der Probleme der letzten 14 Tage, die sich auf den Security Lake-Service oder Ihre Amazon S3 S3-Buckets auswirken. Weitere Informationen zu den einzelnen Problemen finden Sie auf der Seite **Probleme** der Security Lake-Konsole. 

## Schritt 4: Ihre eigenen Daten anzeigen und abfragen
<a name="explore-data-lake"></a>

Nachdem Sie Ihren Data Lake erstellt haben, können Sie Amazon Athena oder ähnliche Dienste verwenden, um Ihre Daten aus AWS Lake Formation Datenbanken und Tabellen anzuzeigen und abzufragen. Wenn Sie die Konsole verwenden, gewährt Security Lake der Rolle, die Sie zur Aktivierung von Security Lake verwenden, automatisch Datenbankansichtsberechtigungen. Die Rolle muss mindestens über *Datenanalystenberechtigungen* verfügen. Weitere Informationen zu Berechtigungsstufen finden Sie in der Referenz zu [Personas und IAM-Berechtigungen von Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html). Anweisungen zum Erteilen von `SELECT` Berechtigungen finden Sie unter [Erteilen von Datenkatalogberechtigungen mithilfe der benannten Ressourcenmethode](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html) im *AWS Lake Formation Entwicklerhandbuch*.

## Schritt 5: Abonnenten erstellen
<a name="subscribe-data"></a>

Nachdem Sie Ihren Data Lake erstellt haben, können Sie Abonnenten hinzufügen, um Ihre Daten zu nutzen. Abonnenten können Daten konsumieren, indem sie direkt auf Objekte in Ihren Amazon S3 S3-Buckets zugreifen oder den Data Lake abfragen. Weitere Informationen zu Abonnenten finden Sie unter. [Abonnentenverwaltung in Security Lake](subscriber-management.md)

# Security Lake programmgesteuert aktivieren
<a name="get-started-programmatic"></a>

In diesem Tutorial wird erklärt, wie Sie Security Lake programmgesteuert aktivieren und verwenden können. Die Amazon Security Lake-API bietet Ihnen umfassenden, programmatischen Zugriff auf Ihr Security Lake-Konto, Ihre Daten und Ressourcen. Alternativ können Sie AWS Befehlszeilentools — die [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)oder die [AWS Tools für PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html) — oder die verwenden, [AWS SDKs](https://aws.amazon.com/developertools/)um auf Security Lake zuzugreifen.

## Schritt 1: IAM-Rollen erstellen
<a name="prerequisites"></a>

Wenn Sie programmgesteuert auf Security Lake zugreifen, müssen Sie einige AWS Identity and Access Management (IAM-) Rollen erstellen, um Ihren Data Lake zu konfigurieren.

**Wichtig**  
Es ist nicht erforderlich, diese IAM-Rollen zu erstellen, wenn Sie die Security Lake-Konsole verwenden, um Security Lake zu aktivieren und zu konfigurieren.

Sie müssen Rollen in IAM erstellen, wenn Sie eine oder mehrere der folgenden Aktionen ausführen möchten (klicken Sie auf die Links, um weitere Informationen zu den IAM-Rollen für jede Aktion zu erhalten):
+ [Eine benutzerdefinierte Quelle erstellen — Benutzerdefinierte](custom-sources.md#iam-roles-custom-sources) Quellen sind Quellen, die nicht systemintern unterstützt werden und Daten an Security AWS-Services Lake senden.
+ [Einen Abonnenten mit Datenzugriff erstellen](prereqs-creating-subscriber.md#iam-role-subscriber) — Abonnenten mit Berechtigungen können direkt von Ihrem Data Lake aus auf S3-Objekte zugreifen.
+ [Einen Abonnenten mit Abfragezugriff erstellen](prereqs-query-subscriber.md#iam-role-query-subscriber) — Abonnenten mit Berechtigungen können mithilfe von Diensten wie Amazon Athena Daten von Security Lake abfragen.
+ [Konfiguration einer Rollup-Region — Eine Rollup-Region](add-rollup-region.md#iam-role-replication) konsolidiert Daten aus mehreren. AWS-Regionen

Nachdem Sie die zuvor genannten Rollen erstellt haben, fügen Sie die [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS verwaltete Richtlinie der Rolle hinzu, die Sie zur Aktivierung von Security Lake verwenden. Diese Richtlinie gewährt Administratorberechtigungen, die es einem Principal ermöglichen, sich bei Security Lake anzumelden und auf alle Security Lake-Aktionen zuzugreifen.

Fügen Sie die [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS verwaltete Richtlinie an, um Ihren Data Lake zu erstellen oder Daten von Security Lake abzufragen. Diese Richtlinie ist erforderlich, damit Security Lake ETL-Jobs (Extrahieren, Transformieren und Laden) für rohe Protokoll- und Ereignisdaten unterstützt, die es aus Quellen empfängt.

## Schritt 2: Amazon Security Lake aktivieren
<a name="enable-service-programmatic"></a>

Verwenden Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)Betrieb der Security Lake-API, um Security Lake programmgesteuert zu aktivieren. Wenn Sie den verwenden AWS CLI, führen Sie den [create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html)Befehl aus. Verwenden Sie in Ihrer Anfrage das `region` Feld des `configurations` Objekts, um den Regionalcode für die Region anzugeben, in der Security Lake aktiviert werden soll. Eine Liste der Regionscodes finden Sie unter [Amazon Security Lake-Endpoints](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) in der *Allgemeine AWS-Referenz*.

**Beispiel 1**

Der folgende Beispielbefehl aktiviert Security Lake in den `us-east-2` Regionen `us-east-1` und. In beiden Regionen ist dieser Data Lake mit verwalteten Amazon S3 S3-Schlüsseln verschlüsselt. Objekte laufen nach 365 Tagen ab, und Objekte werden nach 60 Tagen in die Speicherklasse `ONEZONE_IA` S3 überführt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**Beispiel 2**

Der folgende Beispielbefehl aktiviert Security Lake in der `us-east-2` Region. Dieser Data Lake ist mit einem vom Kunden verwalteten Schlüssel verschlüsselt, der in AWS Key Management Service (AWS KMS) erstellt wurde. Objekte laufen nach 500 Tagen ab, und Objekte werden nach 30 Tagen in die Speicherklasse `GLACIER` S3 überführt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**Anmerkung**  
Wenn Sie Security Lake bereits aktiviert haben und die Konfigurationseinstellungen für eine Region oder Quelle aktualisieren möchten, verwenden Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)Vorgang oder, falls Sie den verwenden AWS CLI, den [update-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)Befehl. Verwenden Sie den `CreateDataLake` Vorgang nicht.

## Schritt 3: Quellen konfigurieren
<a name="define-collection-objective-programmatic"></a>

Security Lake sammelt Protokoll- und Ereignisdaten aus einer Vielzahl von Quellen und in Ihrem AWS-Konten Land AWS-Regionen. Folgen Sie diesen Anweisungen, um herauszufinden, welche Daten Security Lake sammeln soll. Sie können diese Anweisungen nur verwenden, um eine nativ unterstützte Quelle AWS-Service hinzuzufügen. Informationen zum Hinzufügen einer benutzerdefinierten Quelle finden Sie unter. [Sammeln von Daten aus benutzerdefinierten Quellen in Security Lake](custom-sources.md)

Um eine oder mehrere Sammlungsquellen programmgesteuert zu definieren, verwenden Sie den [CreateAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateAwsLogSource.html)Betrieb der Security Lake-API. Geben Sie für jede Quelle einen regional eindeutigen Wert für den Parameter an. `sourceName` Verwenden Sie optional zusätzliche Parameter, um den Geltungsbereich der Quelle auf bestimmte Konten (`accounts`) oder eine bestimmte Version (`sourceVersion`) zu beschränken.

**Anmerkung**  
Wenn Sie keinen optionalen Parameter in Ihre Anfrage aufnehmen, wendet Security Lake Ihre Anfrage auf alle Konten oder alle Versionen der angegebenen Quelle an, je nachdem, welchen Parameter Sie ausschließen. Wenn Sie beispielsweise der delegierte Security Lake-Administrator für eine Organisation sind und den `accounts` Parameter ausschließen, wendet Security Lake Ihre Anfrage auf alle Konten in Ihrer Organisation an. Wenn Sie den `sourceVersion` Parameter ausschließen, wendet Security Lake Ihre Anfrage ebenfalls auf alle Versionen der angegebenen Quelle an.

Wenn Ihre Anfrage eine Region angibt, in der Sie Security Lake nicht aktiviert haben, tritt ein Fehler auf. Um diesen Fehler zu beheben, stellen Sie sicher, dass das `regions` Array nur die Regionen angibt, in denen Sie Security Lake aktiviert haben. Alternativ können Sie Security Lake in der Region aktivieren und Ihre Anfrage dann erneut einreichen.

Wenn Sie Security Lake zum ersten Mal in einem Konto aktivieren, sind alle ausgewählten Protokoll- und Ereignisquellen Teil einer 15-tägigen kostenlosen Testphase. Weitere Informationen zu Nutzungsstatistiken finden Sie unter[Überprüfung der Nutzung und der geschätzten Kosten](reviewing-usage-costs.md).

## Schritt 4: Speichereinstellungen und Rollup-Regionen konfigurieren (optional)
<a name="define-target-objective-programmatic"></a>

Sie können die Amazon S3 S3-Speicherklasse angeben, in der Security Lake Ihre Daten speichern soll und für wie lange. Sie können auch eine Rollup-Region angeben, um Daten aus mehreren Regionen zu konsolidieren. Dies sind optionale Schritte. Weitere Informationen finden Sie unter [Lebenszyklusmanagement in Security Lake](lifecycle-management.md).

Verwenden Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)Betrieb der Security Lake-API, um ein Zielziel programmgesteuert zu definieren, wenn Sie Security Lake aktivieren. Wenn Sie Security Lake bereits aktiviert haben und ein Zielziel definieren möchten, verwenden Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)Vorgang, nicht den `CreateDataLake` Vorgang.

Verwenden Sie für beide Operationen die unterstützten Parameter, um die gewünschten Konfigurationseinstellungen anzugeben:
+ Um eine Rollup-Region anzugeben, geben Sie in dem `region` Feld die Region an, aus der Sie Daten zu den Rollup-Regionen beitragen möchten. Geben Sie im `regions` Array des `replicationConfiguration` Objekts den Regionalcode für jede Rollup-Region an. Eine Liste der Regionscodes finden Sie unter [Amazon Security Lake-Endpoints](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) in der *Allgemeine AWS-Referenz*.
+ Verwenden Sie die folgenden `lifecycleConfiguration` Parameter, um die Aufbewahrungseinstellungen für Ihre Daten festzulegen:
  + Geben Sie für die Gesamtzahl der Tage (`days`) an`transitions`, an denen Sie S3-Objekte in einer bestimmten Amazon S3 S3-Speicherklasse (`storageClass`) speichern möchten.
  + Geben Sie für die Gesamtzahl der Tage an`expiration`, an denen Sie Objekte in Amazon S3 speichern möchten, und verwenden Sie dabei eine beliebige Speicherklasse, nachdem Objekte erstellt wurden. Wenn diese Aufbewahrungsfrist endet, laufen Objekte ab und Amazon S3 löscht sie.

  Security Lake wendet die angegebenen Aufbewahrungseinstellungen auf die Region an, die Sie im `region` Feld des `configurations` Objekts angeben.

Mit dem folgenden Befehl wird beispielsweise ein Data Lake mit `ap-northeast-2` einer Rollup-Region erstellt. Die `us-east-1` Region wird Daten zur Region beitragen. `ap-northeast-2` In diesem Beispiel wird auch eine 10-tägige Ablauffrist für Objekte festgelegt, die dem Data Lake hinzugefügt werden.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

Sie haben jetzt Ihren Data Lake erstellt. Verwenden Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html)Betrieb der Security Lake-API, um die Aktivierung von Security Lake und Ihre Data Lake-Einstellungen in jeder Region zu überprüfen.

Wenn bei der Erstellung Ihres Data Lakes Probleme oder Fehler auftreten, können Sie mithilfe des Vorgangs eine Liste von Ausnahmen anzeigen und Benutzer über Ausnahmen im Zusammenhang mit dem [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html)Vorgang informieren. Weitere Informationen finden Sie unter [Fehlerbehebung beim Data Lake-Status](securitylake-data-lake-troubleshoot.md).

## Schritt 5: Ihre eigenen Daten anzeigen und abfragen
<a name="explore-data-lake-programmatic"></a>

Nachdem Sie Ihren Data Lake erstellt haben, können Sie Amazon Athena oder ähnliche Dienste verwenden, um Ihre Daten aus AWS Lake Formation Datenbanken und Tabellen anzuzeigen und abzufragen. Wenn Sie Security Lake programmgesteuert aktivieren, werden Datenbankansichtsberechtigungen nicht automatisch gewährt. Das Data Lake-Administratorkonto in AWS Lake Formation muss `SELECT` Berechtigungen für die IAM-Rolle gewähren, mit der Sie die entsprechenden Datenbanken und Tabellen abfragen möchten. Die Rolle muss mindestens über *Datenanalystenberechtigungen* verfügen. Weitere Informationen zu Berechtigungsstufen finden Sie in der Referenz zu [Personas und IAM-Berechtigungen von Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html). Anweisungen zum Erteilen von `SELECT` Berechtigungen finden Sie unter [Erteilen von Datenkatalogberechtigungen mithilfe der benannten Ressourcenmethode](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html) im *AWS Lake Formation Entwicklerhandbuch*.

## Schritt 6: Abonnenten erstellen
<a name="subscribe-data-programmatic"></a>

Nachdem Sie Ihren Data Lake erstellt haben, können Sie Abonnenten hinzufügen, um Ihre Daten zu nutzen. Abonnenten können Daten konsumieren, indem sie direkt auf Objekte in Ihren Amazon S3 S3-Buckets zugreifen oder den Data Lake abfragen. Weitere Informationen zu Abonnenten finden Sie unter. [Abonnentenverwaltung in Security Lake](subscriber-management.md)