Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Introducción a Amazon Security Lake
<a name="getting-started"></a>

En los temas de esta sección se explica cómo habilitar y empezar a usar Security Lake. Aprenderá a configurar los ajustes de su lago de datos y a configurar la recopilación de registros. Puede habilitar y usar Security Lake a través de Consola de administración de AWS o mediante programación. Sea cual sea el método que utilice, primero debe configurar un usuario administrativo Cuenta de AWS y uno. Los pasos siguientes varían según el método de acceso. 

La consola de Security Lake ofrece un proceso simplificado para empezar y crea todas las funciones AWS Identity and Access Management (IAM) necesarias para crear su lago de datos.

Si accede a Security Lake mediante programación, es necesario crear algunas funciones AWS Identity and Access Management (de IAM) para configurar su lago de datos.

**importante**  
Security Lake no admite la reposición de eventos de fuentes de registro AWS sin procesar existentes que se generaron antes de habilitar Security Lake.

**Topics**
+ [Configurando tu Cuenta de AWS](initial-account-setup.md)
+ [Consideraciones a la hora de habilitar Security Lake](enable-securitylake-considerations.md)
+ [Habilitar Security Lake mediante la consola](get-started-console.md)
+ [Habilitar Security Lake mediante programación](get-started-programmatic.md)

# Configurando tu Cuenta de AWS
<a name="initial-account-setup"></a>

Antes de poder activar Amazon Security Lake, debe tener una Cuenta de AWS. Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.

## Inscríbase en una Cuenta de AWS
<a name="sign-up-for-aws"></a>

Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.

**Para suscribirte a una Cuenta de AWS**

1. Abrir [https://portal.aws.amazon.com/billing/registro](https://portal.aws.amazon.com/billing/signup).

1. Siga las instrucciones que se le indiquen.

   Parte del procedimiento de registro consiste en recibir una llamada telefónica o mensaje de texto e indicar un código de verificación en el teclado del teléfono.

   Cuando te registras en un Cuenta de AWS, *Usuario raíz de la cuenta de AWS*se crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar [Tareas que requieren acceso de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. En cualquier momento, puede ver la actividad de su cuenta actual y administrarla accediendo a [https://aws.amazon.com/](https://aws.amazon.com/)y seleccionando **Mi cuenta**.

## Creación de un usuario con acceso administrativo
<a name="create-an-admin"></a>

Después de crear un usuario administrativo Cuenta de AWS, asegúrelo Usuario raíz de la cuenta de AWS AWS IAM Identity Center, habilite y cree un usuario administrativo para no usar el usuario root en las tareas diarias.

**Proteja su Usuario raíz de la cuenta de AWS**

1.  Inicie sesión [Consola de administración de AWS](https://console.aws.amazon.com/)como propietario de la cuenta seleccionando el **usuario root** e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.

   Para obtener ayuda para iniciar sesión con el usuario raíz, consulte [Iniciar sesión como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) en la *Guía del usuario de AWS Sign-In *.

1. Active la autenticación multifactor (MFA) para el usuario raíz.

   Para obtener instrucciones, consulte [Habilitar un dispositivo MFA virtual para el usuario Cuenta de AWS raíz (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) en la Guía del usuario de *IAM*.

**Creación de un usuario con acceso administrativo**

1. Activar IAM Identity Center.

   Consulte las instrucciones en [Activar AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) en la *Guía del usuario de AWS IAM Identity Center *.

1. En IAM Identity Center, conceda acceso administrativo a un usuario.

   Para ver un tutorial sobre su uso Directorio de IAM Identity Center como fuente de identidad, consulte [Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) Guía del *AWS IAM Identity Center usuario*.

**Inicio de sesión como usuario con acceso de administrador**
+ Para iniciar sesión con el usuario de IAM Identity Center, use la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

  Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte [Iniciar sesión en el portal de AWS acceso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) en la *Guía del AWS Sign-In usuario*.

**Concesión de acceso a usuarios adicionales**

1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.

   Para conocer las instrucciones, consulte [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) en la *Guía del usuario de AWS IAM Identity Center *.

1. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.

   Para conocer las instrucciones, consulte [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) en la *Guía del usuario de AWS IAM Identity Center *.

## Identifique la cuenta que usará para habilitar Security Lake
<a name="prerequisite-organizations"></a>

Security Lake se integra AWS Organizations para gestionar la recopilación de registros en varias cuentas de una organización. Si desea usar Security Lake para una organización, debe usar su cuenta de administración de Organizations para designar un administrador delegado de Security Lake. Luego, debe usar las credenciales del administrador delegado para habilitar Security Lake, agregar cuentas de miembros y habilitar Security Lake para ellos. Para obtener más información, consulte [Administrar varias cuentas AWS Organizations con Security Lake](multi-account-management.md).

Como alternativa, puede usar Security Lake sin la integración de Organizations para una cuenta independiente que no forme parte de una organización.

# Consideraciones a la hora de habilitar Security Lake
<a name="enable-securitylake-considerations"></a>

**Antes de habilitar Security Lake, tenga en cuenta lo siguiente**:
+ Security Lake proporciona características de administración entre regiones, lo que significa que puede crear su lago de datos y configurar la recopilación de registros entre Regiones de AWS. Para habilitar Security Lake en [todas las regiones compatibles](supported-regions.md), puede elegir cualquier punto de conexión regional compatible. También puede añadir [regiones acumulativas](add-rollup-region.md) para agregar datos de varias regiones a una sola región.
+ Recomendamos activar Security Lake en todas las Regiones de AWS compatibles. Si lo hace, Security Lake puede recopilar datos relacionados con actividades no autorizadas o inusuales, incluso en las regiones que no utiliza activamente. Si Security Lake no está activado en todas las regiones compatibles, se reduce su capacidad de recopilar datos de otros servicios que se utilizan en varias regiones.
+ Al activar Security Lake por primera vez en una región, se crean las siguientes funciones vinculadas al servicio para su cuenta:
  + [AWSServiceRoleForSecurityLake](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html): Esta función incluye los permisos para llamar a otras personas Servicios de AWS en tu nombre y gestionar el lago de datos de seguridad. Si habilita Security Lake como [administrador delegado de Security Lake](multi-account-management.md#delegated-admin-important), Security Lake crea el [rol vinculado a servicios](using-service-linked-roles.md) en cada cuenta de miembro de la organización.
  + [AWSServiceRoleForSecurityLakeResourceManagement](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html): Security Lake utiliza esta función para realizar una supervisión continua y mejorar el rendimiento, lo que puede reducir la latencia y los costes. Este rol vinculado a servicios confía en el servicio `resource-management.securitylake.amazonaws.com` para asumir el rol. Al habilitar esta función de servicio, también tendrá acceso a Lake Formation. 

    Para obtener información sobre cómo afecta esto a las cuentas existentes que habilitaban Security Lake antes del 17 de abril de 2025, consulte[Update for existing accounts](multi-account-management.md#security-lake-existing-account-resource-management-slr).

  *Para obtener información sobre cómo funcionan las funciones vinculadas a servicios, consulte [Uso de permisos de funciones vinculadas a servicios en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) la Guía del usuario de IAM.*
+ Security Lake no admite el bloqueo de objetos de Amazon S3. Cuando se crean los buckets del lago de datos, el bloqueo de objetos de S3 está desactivado de forma predeterminada. Al habilitar el bloqueo de objetos en un bucket, se interrumpe la entrega de datos de registro normalizados al lago de datos.
+ Si va a volver a habilitar Security Lake en una región, debe eliminar la AWS Glue base de datos correspondiente a la región del uso anterior de Security Lake.

# Habilitar Security Lake mediante la consola
<a name="get-started-console"></a>

En este tutorial se explica cómo habilitar y configurar Security Lake a través del Consola de administración de AWS. Como parte de ello Consola de administración de AWS, la consola de Security Lake ofrece un proceso simplificado para empezar y crea todas las funciones AWS Identity and Access Management (IAM) necesarias para crear su lago de datos.

## Paso 1: Configurar las fuentes
<a name="define-collection-objective"></a>

Security Lake recopila datos de registros y eventos de diversos orígenes y de todas las Cuentas de AWS y Regiones de AWS. Siga estas instrucciones para identificar qué datos desea que Security Lake recopile. Solo puede usar estas instrucciones para agregar un Servicio de AWS compatible de forma nativa como origen. Para obtener información acerca de cómo agregar un origen personalizado, consulte [Recopilación de datos de fuentes personalizadas en Security Lake](custom-sources.md).

**Para configurar la recopilación de fuentes de registro**

1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Con el Región de AWS selector de la esquina superior derecha de la página, seleccione una región. Puede activar Security Lake en la región actual y en otras regiones durante la incorporación.

1. Elija **Comenzar**.

1. En **Seleccionar fuentes de registros y eventos**, elija una de las siguientes opciones para la selección de **fuentes**:

   1. **Ingesta AWS las fuentes predeterminadas**: si eliges la opción recomendada, CloudTrail los eventos de datos de S3 no AWS WAF se incluyen para la ingesta de forma predeterminada. Esto se debe a que la ingesta de un gran volumen de ambos tipos de fuentes puede afectar significativamente a los costos de uso. Para ingerir estas fuentes, primero seleccione la opción **Ingerir AWS fuentes específicas** y, a continuación, seleccione estas fuentes de la lista de fuentes de **registros y eventos**.

   1. **Ingesta AWS fuentes específicas: con esta opción, puede seleccionar una o más fuentes de registros y eventos que desee ingerir**.
**nota**  
Al habilitar Security Lake en una cuenta por primera vez, todos los orígenes de registros y eventos seleccionados formarán parte de un periodo de prueba gratuito de 15 días. Para obtener más información sobre las estadísticas de uso, consulte [Revisar el uso de los costos estimados](reviewing-usage-costs.md).

1. En **Versiones**, elija la versión de la fuente de datos desde la que desee ingerir las fuentes de registros y eventos. Para obtener más información acerca de las versiones, consulte [Identificación del origen de OCSF](open-cybersecurity-schema-framework.md#ocsf-source-identification).
**importante**  
Si no tiene los permisos de rol necesarios para habilitar la nueva versión de la fuente de AWS registro en la región especificada, póngase en contacto con el administrador de Security Lake. Para obtener más información, consulte [Actualizar los permisos de los roles](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html#update-role-permissions).

1. En **Seleccionar regiones**, elija si desea ingerir los orígenes de registros y eventos de todas las regiones compatibles o de regiones específicas. Si elige **Regiones específicas**, seleccione las regiones de las que deseas ingerir los datos.

1. Para **seleccionar cuentas**, lleve a cabo los siguientes pasos:

   1. Elija si Security Lake ingerirá datos de **todas las cuentas** o de **cuentas específicas** de su organización. Security Lake se habilitará para estas cuentas con los ajustes que elija durante esta configuración.

   1. La casilla **Habilitar automáticamente Security Lake para las nuevas cuentas de la organización** está seleccionada de forma predeterminada. Esta configuración de activación automática se aplicará Cuentas de AWS cuando se unan a tu organización. Puede editar la configuración de activación automática en cualquier momento.
**nota**  
La configuración de activación automática solo se aplicará a las cuentas cuando se unan a tu organización, no a las cuentas existentes. Para obtener más información, consulte [Edición de la nueva configuración de la cuenta en la consola](multi-account-management.md#security-lake-new-account-auto-enable).

   

1. Para **Acceso al servicio**, cree un nuevo rol de IAM o utilice un rol de IAM existente que dé permiso a Security Lake para recopilar datos de sus fuentes y añadirlos a su lago de datos. Un rol se utiliza en todas las regiones en las que se habilita Security Lake.

1. Elija **Siguiente**.

## Paso 2: Defina la configuración de almacenamiento y acumule las regiones (opcional)
<a name="define-target-objective"></a>

Puede especificar la clase de almacenamiento de Amazon S3 en la que desea que Security Lake almacene los datos y durante cuánto tiempo. También puede especificar una región acumulativa para consolidar los datos de varias regiones. Estos son pasos opcionales. Para obtener más información, consulte [Administración del ciclo de vida en Security Lake](lifecycle-management.md).

**Para configurar los ajustes de almacenamiento y acumulación**

1. Si desea consolidar los datos de varias regiones contribuyentes en una región acumulativa, en **Seleccionar regiones de acumulación**, elija **Agregar región de acumulación**. Especifique la región acumulativa y las regiones que contribuirán a ella. Puede configurar una o más regiones acumulativas.

1. En **Seleccionar clases de almacenamiento**, elija una de Amazon S3. La clase de almacenamiento predeterminada es **S3 Standard**. Indique un período de retención (en días) si desea que los datos pasen a otra clase de almacenamiento después de ese tiempo y seleccione **Añadir transición**. Una vez finalizado el período de retención, los objetos caducan y Amazon S3 los elimina. Para obtener más información acerca de las clases de almacenamiento y la retención de Amazon S3, consulte [Administración de retención](lifecycle-management.md#retention-management).

1. Si seleccionó una región acumulativa en el primer paso, para **Acceso al servicio**, cree un nuevo rol de IAM o utilice un rol de IAM existente que dé permiso a Security Lake para replicar datos en varias regiones.

1. Elija **Siguiente**.

## Paso 3: Revisar y crear un lago de datos
<a name="review-create"></a>

Revise los orígenes de los que Security Lake recopilará datos, sus regiones acumulativas y su configuración de retención. A continuación, cree su lago de datos.

**Para revisar y crear el lago de datos**

1. Al habilitar Security Lake, revise **Orígenes de registros y eventos**, **Regiones**, **Regiones acumulativas** y **Clases de almacenamiento**.

1. Seleccione **Crear**.

Tras crear el lago de datos, verá la página **Resumen** en la consola de Security Lake. **En esta página se ofrece un resumen del número de **regiones y regiones** **acumulativas,** información sobre los suscriptores y los problemas.**

El menú **Problemas** muestra un resumen de los problemas de los últimos 14 días que están afectando al servicio Security Lake o a sus buckets de Amazon S3. Para obtener más información sobre cada problema, puede ir a la página de **problemas** de la consola de Security Lake. 

## Paso 4: Vea y consulte sus propios datos
<a name="explore-data-lake"></a>

Tras crear el lago de datos, puede utilizar Amazon Athena o servicios similares para ver y consultar los datos de AWS Lake Formation bases de datos y tablas. Cuando utiliza la consola, Security Lake concede automáticamente permisos de visualización de la base de datos al rol que utilice para habilitar Security Lake. Como mínimo, el rol debe tener permisos de *analista de datos*. Para obtener más información sobre los niveles de permisos, consulte la [referencia sobre los permisos de IAM y las personas de Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html). Para obtener instrucciones sobre cómo conceder permisos `SELECT`, consulte [Concesión de permisos de catálogo de datos mediante el método de recurso indicado](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html) en la *Guía para desarrolladores de AWS Lake Formation *.

## Paso 5: Crear suscriptores
<a name="subscribe-data"></a>

Después de crear su lago de datos, puede añadir suscriptores para consumir sus datos. Los suscriptores pueden consumir datos accediendo directamente a los objetos de sus buckets de Amazon S3 o consultando el lago de datos. Para obtener más información sobre los suscriptores, consulte [Gestión de suscriptores en Security Lake](subscriber-management.md).

# Habilitar Security Lake mediante programación
<a name="get-started-programmatic"></a>

En este tutorial se explica cómo habilitar y empezar a usar Security Lake mediante programación. La API de Amazon Security Lake le proporciona un acceso completo y programático a su cuenta, datos y recursos de Security Lake. Como alternativa, puede utilizar las herramientas de línea de AWS comandos ([AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)o las [AWS Herramientas para PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html)) o las herramientas para acceder [AWS SDKs](https://aws.amazon.com/developertools/)a Security Lake.

## Paso 1: Crear funciones de IAM
<a name="prerequisites"></a>

Si accede a Security Lake mediante programación, es necesario crear algunos roles AWS Identity and Access Management (de IAM) para configurar su lago de datos.

**importante**  
No es necesario crear estas funciones de IAM si utiliza la consola de Security Lake para habilitar y configurar Security Lake.

Debe crear roles en IAM si va a realizar una o más de las siguientes acciones (elija los enlaces para ver más información sobre los roles de IAM para cada acción):
+ [Creación de un origen personalizado](custom-sources.md#iam-roles-custom-sources): los orígenes personalizados son orígenes distintos de los Servicios de AWS compatibles de forma nativa y que envían datos a Security Lake.
+ [Crear un suscriptor con acceso a los datos](prereqs-creating-subscriber.md#iam-role-subscriber): los suscriptores con permisos pueden acceder directamente a los objetos de S3 desde su lago de datos.
+ [Crear un suscriptor con acceso a consultas](prereqs-query-subscriber.md#iam-role-query-subscriber): los suscriptores con permisos pueden consultar datos de Security Lake mediante servicios como Amazon Athena.
+ [Configuración de una región acumulativa](add-rollup-region.md#iam-role-replication): una región acumulativa consolida los datos de varias Regiones de AWS.

Tras crear los roles mencionados anteriormente, asocie la política [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS administrada al rol que está utilizando para habilitar Security Lake. Esta política otorga permisos administrativos que brindan a una entidad principal acceso completo a todas las acciones de Security Lake.

Adjunte la política [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS administrada para crear su lago de datos o consulte los datos de Security Lake. Esta política es necesaria para que Security Lake admita tareas de extracción, transformación y carga (ETL) en datos sin procesar de registros y eventos que recibe de las fuentes.

## Paso 2: Habilitar Amazon Security Lake
<a name="enable-service-programmatic"></a>

Para habilitar Security Lake mediante programación, utilice la [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)operación de la API de Security Lake. Si está utilizando el AWS CLI, ejecute el [create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html)comando. En su solicitud, utilice el campo `region` del objeto `configurations` para especificar el código de región de la región en la que se va a habilitar Security Lake. Para obtener una lista de los códigos de región, consulte los [puntos de conexión de Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) en la *Referencia general de AWS*.

**Ejemplo 1**

El siguiente comando de ejemplo habilita Security Lake en las `us-east-2` regiones `us-east-1` y. En ambas regiones, este lago de datos está cifrado con claves administradas de Amazon S3. Los objetos caducan después de 365 días y los objetos pasan a la clase de almacenamiento `ONEZONE_IA` S3 después de 60 días. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**Ejemplo 2**

El siguiente comando de ejemplo habilita Security Lake en la `us-east-2` región. Este lago de datos está cifrado con una clave gestionada por el cliente que se creó en AWS Key Management Service (AWS KMS). Los objetos caducan después de 500 días y los objetos pasan a la clase de almacenamiento `GLACIER` S3 después de 30 días. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**nota**  
Si ya ha activado Security Lake y desea actualizar los ajustes de configuración de una región o fuente, utilice la [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)operación o, si utiliza el AWS CLI, el [update-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)comando. No utilice la `CreateDataLake` operación.

## Paso 3: Configurar las fuentes
<a name="define-collection-objective-programmatic"></a>

Security Lake recopila datos de registros y eventos de diversos orígenes y de todas las Cuentas de AWS y Regiones de AWS. Siga estas instrucciones para identificar qué datos desea que Security Lake recopile. Solo puede usar estas instrucciones para agregar un Servicio de AWS compatible de forma nativa como origen. Para obtener información acerca de cómo agregar un origen personalizado, consulte [Recopilación de datos de fuentes personalizadas en Security Lake](custom-sources.md).

Para definir una o más fuentes de recopilación mediante programación, utilice la [CreateAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateAwsLogSource.html)operación de la API de Security Lake. Para cada origen, especifique un valor regional único para el parámetro `sourceName`. Si lo desea, utilice parámetros adicionales para limitar el alcance del origen a cuentas específicas (`accounts`) o a una versión específica (`sourceVersion`).

**nota**  
Si no incluye un parámetro opcional en la solicitud, Security Lake la aplicará a todas las cuentas o a todas las versiones del origen especificado, en función del parámetro que excluya. Por ejemplo, si es el administrador delegado de Security Lake de una organización y excluye el parámetro `accounts`, Security Lake aplicará su solicitud a todas las cuentas de la organización. Del mismo modo, si excluye el parámetro `sourceVersion`, Security Lake aplicará su solicitud a todas las versiones del origen especificado.

Si su solicitud especifica una región en la que no ha activado Security Lake, se produce un error. Para solucionar este error, asegúrese de que la matriz `regions` especifique solo las regiones en las que ha activado Security Lake. Como alternativa, puede habilitar Security Lake en la región y después enviar la solicitud de nuevo.

Al habilitar Security Lake en una cuenta por primera vez, todos los orígenes de registros y eventos seleccionados formarán parte de un periodo de prueba gratuito de 15 días. Para obtener más información sobre las estadísticas de uso, consulte [Revisar el uso de los costos estimados](reviewing-usage-costs.md).

## Paso 4: Configurar los ajustes de almacenamiento y agrupar las regiones (opcional)
<a name="define-target-objective-programmatic"></a>

Puede especificar la clase de almacenamiento de Amazon S3 en la que desea que Security Lake almacene los datos y durante cuánto tiempo. También puede especificar una región acumulativa para consolidar los datos de varias regiones. Estos son pasos opcionales. Para obtener más información, consulte [Administración del ciclo de vida en Security Lake](lifecycle-management.md).

Para definir un objetivo objetivo mediante programación al habilitar Security Lake, utilice el [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)funcionamiento de la API de Security Lake. Si ya ha activado Security Lake y quiere definir un objetivo objetivo, utilice la [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)operación, no la `CreateDataLake` operación.

Para cualquiera de las dos operaciones, utilice los parámetros compatibles para especificar los ajustes de configuración que desee:
+ Para especificar una región acumulada, utilice el `region` campo para especificar la región en la que desea aportar datos a las regiones acumuladas. En la `regions` matriz del `replicationConfiguration` objeto, especifique el código de región de cada región acumulada. Para obtener una lista de los códigos de región, consulte los [puntos de conexión de Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) en la *Referencia general de AWS*.
+ Para especificar la configuración de retención de sus datos, utilice los parámetros `lifecycleConfiguration`:
  + Para `transitions`, especifique el número total de días (`days`) que desea almacenar los objetos de S3 en una clase de almacenamiento de Amazon S3 determinada (`storageClass`).
  + Para `expiration`, especifique el número total de días que desea almacenar los objetos en Amazon S3, utilizando cualquier clase de almacenamiento, una vez creados los objetos. Una vez finalizado el período de retención, los objetos caducan y Amazon S3 los elimina.

  Security Lake aplica la configuración de retención especificada a la región que especifique en el campo `region` del objeto `configurations`.

Por ejemplo, el siguiente comando crea un lago de datos con una `ap-northeast-2` región acumulativa. La `us-east-1` región aportará datos a la `ap-northeast-2` región. En este ejemplo también se establece un período de caducidad de 10 días para los objetos que se agreguen al lago de datos.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

Ya ha creado su lago de datos. Utilice el [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html)funcionamiento de la API de Security Lake para verificar la activación de Security Lake y la configuración de su lago de datos en cada región.

Si surgen problemas o errores al crear su lago de datos, puede ver una lista de excepciones mediante la [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html)operación y notificar a los usuarios las excepciones mediante la [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html)operación. Para obtener más información, consulte [Solución de problemas del estado del lago de datos](securitylake-data-lake-troubleshoot.md).

## Paso 5: Vea y consulte sus propios datos
<a name="explore-data-lake-programmatic"></a>

Tras crear el lago de datos, puede utilizar Amazon Athena o servicios similares para ver y consultar los datos de AWS Lake Formation bases de datos y tablas. Al activar Security Lake mediante programación, los permisos de visualización de la base de datos no se conceden automáticamente. La cuenta de administrador del lago de datos AWS Lake Formation debe conceder `SELECT` permisos a la función de IAM que desee utilizar para consultar las bases de datos y tablas pertinentes. Como mínimo, el rol debe tener permisos de *analista de datos*. Para obtener más información sobre los niveles de permisos, consulte la [referencia sobre los permisos de IAM y las personas de Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html). Para obtener instrucciones sobre cómo conceder permisos `SELECT`, consulte [Concesión de permisos de catálogo de datos mediante el método de recurso indicado](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html) en la *Guía para desarrolladores de AWS Lake Formation *.

## Paso 6: Crear suscriptores
<a name="subscribe-data-programmatic"></a>

Después de crear su lago de datos, puede añadir suscriptores para consumir sus datos. Los suscriptores pueden consumir datos accediendo directamente a los objetos de sus buckets de Amazon S3 o consultando el lago de datos. Para obtener más información sobre los suscriptores, consulte [Gestión de suscriptores en Security Lake](subscriber-management.md).