Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Crear un suscriptor con acceso a consultas en Security Lake
<a name="create-query-subscriber-procedures"></a>

Elige el método que prefieras para crear un suscriptor con acceso de consulta en el actual Región de AWS. Un suscriptor solo puede consultar datos desde el Región de AWS lugar en el que se creó. Para crear un suscriptor, necesitarás tener el Cuenta de AWS ID y el ID externo del suscriptor. El ID externo es un identificador único que te proporciona el suscriptor. Para obtener más información sobre el externo IDs, consulte [Cómo utilizar un identificador externo al conceder acceso a sus AWS recursos a un tercero](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) en la *Guía del usuario de IAM*.

**nota**  
Security Lake no admite la versión 1 del uso compartido de datos entre cuentas de Lake Formation. Debe actualizar a la versión 2 o 3 del uso compartido de datos entre cuentas de Lake Formation. Para conocer los pasos para actualizar la **configuración de la versión multicuenta** a través de la AWS Lake Formation consola o la AWS CLI, consulte [Para habilitar la nueva versión](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html#version-update-steps) en la *Guía para AWS Lake Formation desarrolladores*.

------
#### [ Console ]

1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Inicie sesión en la cuenta de administrador delegado.

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee crear el suscriptor.

1. En el panel de navegación izquierdo, elija **Suscriptores**.

1. En la página **Suscriptores**, selecciona **Crear** suscriptor.

1. Para ver **los detalles del suscriptor**, introduce un **nombre de suscriptor** y una **descripción** opcional.

   La **región** se rellena automáticamente tal y como la has seleccionado actualmente Región de AWS y no se puede modificar.

1. En el **caso de las fuentes de registros y eventos**, elija las fuentes que desee que Security Lake incluya al devolver los resultados de la consulta.

1. En **Método de acceso a datos**, elija **Lake Formation** para crear un acceso de consulta para el suscriptor.

1. Para **las credenciales del suscriptor**, proporcione el Cuenta de AWS ID del suscriptor y el [ID externo](https://docs.aws.amazon.com//security-lake/latest/userguide/prereqs-creating-subscriber.html#subscriber-external-id).

1. (Opcional) En el caso de las **etiquetas**, introduce hasta 50 etiquetas para asignarlas al suscriptor.

   Una *etiqueta* es una etiqueta que se puede definir y asignar a determinados tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar los recursos de diferentes maneras. Para obtener más información, consulte [Etiquetado de los recursos de Security Lake](tagging-resources.md).

1. Seleccione **Crear**.

------
#### [ API ]

Para crear un suscriptor con acceso a consultas mediante programación, utilice el [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html)funcionamiento de la API de Security Lake. Si utilizas AWS Command Line Interface (AWS CLI), ejecuta el comando [create-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-subscriber.html). 

En tu solicitud, usa estos parámetros para especificar los siguientes ajustes para el suscriptor:
+ En `accessTypes`, especifique `LAKEFORMATION`.
+ Para `sources` ello, especifique cada fuente que desee que Security Lake incluya al devolver los resultados de la consulta.
+ Para`subscriberIdentity`, especifique la AWS identidad y el identificador externo que el suscriptor utiliza para consultar los datos de origen.

En el siguiente ejemplo, se crea un suscriptor con acceso de consulta en la AWS región actual para la identidad del suscriptor especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\\) de continuación de línea para mejorar la legibilidad.

```
$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": {{129345678912}},"externalId": {{123456789012}}} \
--sources [{"awsLogSource": {"sourceName": {{VPC_FLOW,}} "sourceVersion": {{2.0}}}}] \
--subscriber-name {{subscriber name}} \
--access-types {{LAKEFORMATION}}
```

------

## Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)
<a name="grant-query-access-subscriber"></a>

Security Lake utiliza el intercambio de tablas entre cuentas de Lake Formation para facilitar el acceso a las consultas de los suscriptores. Al crear un suscriptor con acceso de consulta en la consola, API o API de Security Lake AWS CLI, Security Lake comparte información sobre las tablas de Lake Formation relevantes con el suscriptor mediante la creación de un [recurso compartido](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-terms-and-concepts.html#term-resource-share) en AWS Resource Access Manager (AWS RAM).

Al realizar determinados tipos de modificaciones en un suscriptor con acceso a consultas, Security Lake crea un nuevo recurso compartido. Para obtener más información, consulte [Edición de un suscriptor con acceso a consultas en Security Lake](editing-query-access-subscriber.md).

El suscriptor debe seguir estos pasos para consumir datos de las tablas de Lake Formation:

1. **Aceptar el recurso compartido**: el suscriptor debe aceptar el recurso compartido que contiene `resourceShareArn` y `resourceShareName` que se genera al crear o editar el suscriptor. Elija uno de los siguientes métodos de acceso:
   + Para la consola y AWS CLI, consulte [Aceptar una invitación para compartir recursos de AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).
   + Para la API, invoque la [GetResourceShareInvitations](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourceShareInvitations.html)API. Filtra por `resourceShareArn` y `resourceShareName` para encontrar el recurso compartido correcto. Acepta la invitación con la [AcceptResourceShareInvitation](https://docs.aws.amazon.com/ram/latest/APIReference/API_AcceptResourceShareInvitation.html)API.

   La invitación para compartir recursos caduca en 12 horas, por lo que debes validarla y aceptarla en un plazo de 12 horas. Si la invitación caduca, seguirás viéndola en ese `PENDING` estado, pero al aceptarla no tendrás acceso a los recursos compartidos. Cuando hayan transcurrido más de 12 horas, elimina al suscriptor de Lake Formation y vuelve a crearlo para recibir una nueva invitación para compartir recursos.

1. **Crear un enlace de recursos a la base de datos compartida**: el suscriptor debe crear un enlace de recursos a la base de datos compartida de Lake Formation AWS Lake Formation (si usa la consola) o AWS Glue (si usa API/AWS CLI). Este enlace de recursos dirige la cuenta del suscriptor a la base de datos compartida. Elija uno de los siguientes métodos de acceso:
   + Para la consola y AWS CLI, [consulte Crear un enlace de recurso a una base de datos de catálogo de datos compartida.](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-database.html) en la *Guía para AWS Lake Formation desarrolladores*.
   + Recomendamos a los suscriptores que también creen una base de datos única con la [CreateDatabase](https://docs.aws.amazon.com/glue/latest/webapi/API_CreateDatabase.html)API para almacenar las tablas de enlaces de recursos.

1. **Consulte las tablas compartidas**: servicios como Amazon Athena pueden hacer referencia a las tablas directamente y los nuevos datos que Security Lake recopila están disponibles automáticamente para consultarlos. Las consultas se ejecutan en el Cuenta de AWS suscriptor y los costos incurridos por las consultas se facturan al suscriptor. Puede controlar el acceso de lectura a los recursos en su propia cuenta de Security Lake.

Para obtener más información sobre la concesión de permisos entre cuentas, consulte [Uso compartido de datos entre cuentas en Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html) en la Guía para *AWS Lake Formation desarrolladores*.