Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memulai dengan Amazon Security Lake
<a name="getting-started"></a>

Topik di bagian ini menjelaskan cara mengaktifkan dan mulai menggunakan Security Lake. Anda akan belajar cara mengkonfigurasi pengaturan data lake Anda dan mengatur pengumpulan log. Anda dapat mengaktifkan dan menggunakan Security Lake melalui Konsol Manajemen AWS atau secara terprogram. Metode apa pun yang Anda gunakan, Anda harus terlebih dahulu mengatur Akun AWS dan pengguna administratif. Langkah-langkah setelah itu berbeda berdasarkan metode akses. 

Konsol Security Lake menawarkan proses yang efisien untuk memulai, dan menciptakan semua peran yang diperlukan AWS Identity and Access Management (IAM) yang Anda butuhkan untuk membuat data lake Anda.

Jika Anda mengakses Security Lake secara terprogram, Anda perlu membuat beberapa peran AWS Identity and Access Management (IAM) untuk mengonfigurasi data lake Anda.

**penting**  
Security Lake tidak mendukung penimbunan kembali peristiwa sumber log AWS mentah yang ada yang dihasilkan sebelum mengaktifkan Security Lake.

**Topics**
+ [Menyiapkan Anda Akun AWS](initial-account-setup.md)
+ [Pertimbangan saat mengaktifkan Security Lake](enable-securitylake-considerations.md)
+ [Mengaktifkan Security Lake menggunakan konsol](get-started-console.md)
+ [Mengaktifkan Security Lake secara terprogram](get-started-programmatic.md)

# Menyiapkan Anda Akun AWS
<a name="initial-account-setup"></a>

Sebelum Anda dapat mengaktifkan Amazon Security Lake, Anda harus memiliki file Akun AWS. Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya.

## Mendaftar untuk Akun AWS
<a name="sign-up-for-aws"></a>

Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya.

**Untuk mendaftar untuk Akun AWS**

1. Buka [https://portal.aws.amazon.com/billing/pendaftaran.](https://portal.aws.amazon.com/billing/signup)

1. Ikuti petunjuk online.

   Bagian dari prosedur pendaftaran melibatkan menerima panggilan telepon atau pesan teks dan memasukkan kode verifikasi pada keypad telepon.

   Saat Anda mendaftar untuk sebuah Akun AWS, sebuah *Pengguna root akun AWS*dibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya di akun. Sebagai praktik keamanan terbaik, tetapkan akses administratif ke pengguna, dan gunakan hanya pengguna root untuk melakukan [tugas yang memerlukan akses pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

AWS mengirimi Anda email konfirmasi setelah proses pendaftaran selesai. Kapan saja, Anda dapat melihat aktivitas akun Anda saat ini dan mengelola akun Anda dengan masuk [https://aws.amazon.com.rproxy.govskope.cake/](https://aws.amazon.com/) dan memilih **Akun Saya**.

## Buat pengguna dengan akses administratif
<a name="create-an-admin"></a>

Setelah Anda mendaftar Akun AWS, amankan Pengguna root akun AWS, aktifkan AWS IAM Identity Center, dan buat pengguna administratif sehingga Anda tidak menggunakan pengguna root untuk tugas sehari-hari.

**Amankan Anda Pengguna root akun AWS**

1.  Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/)sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.

   Untuk bantuan masuk dengan menggunakan pengguna root, lihat [Masuk sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) di *AWS Sign-In Panduan Pengguna*.

1. Mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna root Anda.

   Untuk petunjuk, lihat [Mengaktifkan perangkat MFA virtual untuk pengguna Akun AWS root (konsol) Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) di Panduan Pengguna *IAM*.

**Buat pengguna dengan akses administratif**

1. Aktifkan Pusat Identitas IAM.

   Untuk mendapatkan petunjuk, silakan lihat [Mengaktifkan AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) di *Panduan Pengguna AWS IAM Identity Center *.

1. Di Pusat Identitas IAM, berikan akses administratif ke pengguna.

   Untuk tutorial tentang menggunakan Direktori Pusat Identitas IAM sebagai sumber identitas Anda, lihat [Mengkonfigurasi akses pengguna dengan default Direktori Pusat Identitas IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) di *Panduan AWS IAM Identity Center Pengguna*.

**Masuk sebagai pengguna dengan akses administratif**
+ Untuk masuk dengan pengguna Pusat Identitas IAM, gunakan URL masuk yang dikirim ke alamat email saat Anda membuat pengguna Pusat Identitas IAM.

  Untuk bantuan masuk menggunakan pengguna Pusat Identitas IAM, lihat [Masuk ke portal AWS akses](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.

**Tetapkan akses ke pengguna tambahan**

1. Di Pusat Identitas IAM, buat set izin yang mengikuti praktik terbaik menerapkan izin hak istimewa paling sedikit.

   Untuk petunjuknya, lihat [Membuat set izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) di *Panduan AWS IAM Identity Center Pengguna*.

1. Tetapkan pengguna ke grup, lalu tetapkan akses masuk tunggal ke grup.

   Untuk petunjuk, lihat [Menambahkan grup](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) di *Panduan AWS IAM Identity Center Pengguna*.

## Identifikasi akun yang akan Anda gunakan untuk mengaktifkan Security Lake
<a name="prerequisite-organizations"></a>

Security Lake terintegrasi dengan AWS Organizations mengelola pengumpulan log di beberapa akun dalam suatu organisasi. Jika Anda ingin menggunakan Security Lake untuk organisasi, Anda harus menggunakan akun manajemen Organizations Anda untuk menunjuk administrator Security Lake yang didelegasikan. Kemudian, Anda harus menggunakan kredensi administrator yang didelegasikan untuk mengaktifkan Security Lake, menambahkan akun anggota, dan mengaktifkan Security Lake untuk mereka. Untuk informasi selengkapnya, lihat [Mengelola banyak akun dengan AWS Organizations di Security Lake](multi-account-management.md).

Atau, Anda dapat menggunakan Security Lake tanpa integrasi Organizations untuk akun mandiri yang bukan bagian dari organisasi.

# Pertimbangan saat mengaktifkan Security Lake
<a name="enable-securitylake-considerations"></a>

**Sebelum mengaktifkan Security Lake, pertimbangkan hal berikut:**
+ Security Lake menyediakan fitur manajemen lintas wilayah, yang berarti Anda dapat membuat danau data dan mengonfigurasi pengumpulan log di seluruh wilayah Wilayah AWS. Untuk mengaktifkan Security Lake di [semua Wilayah yang didukung](supported-regions.md), Anda dapat memilih titik akhir Regional yang didukung. Anda juga dapat menambahkan [Wilayah rollup](add-rollup-region.md) untuk mengumpulkan data dari beberapa wilayah ke satu Wilayah.
+ Kami merekomendasikan untuk mengaktifkan Security Lake di semua yang didukung Wilayah AWS. Jika Anda melakukan ini, Security Lake dapat mengumpulkan data yang terhubung ke aktivitas yang tidak sah atau tidak biasa bahkan di Wilayah yang tidak Anda gunakan secara aktif. Jika Security Lake tidak diaktifkan di semua Wilayah yang didukung, kemampuannya untuk mengumpulkan data dari layanan lain yang Anda gunakan di beberapa Wilayah akan berkurang.
+ Saat Anda mengaktifkan Security Lake untuk pertama kalinya di Wilayah mana pun, ini akan membuat peran terkait layanan berikut untuk akun Anda:
  + [AWSServiceRoleForSecurityLake](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html): Peran ini mencakup izin untuk memanggil orang lain Layanan AWS atas nama Anda dan mengoperasikan danau data keamanan. Jika Anda mengaktifkan Security Lake sebagai [administrator Security Lake yang didelegasikan](multi-account-management.md#delegated-admin-important), Security Lake akan membuat [peran terkait layanan](using-service-linked-roles.md) di setiap akun anggota di organisasi.
  + [AWSServiceRoleForSecurityLakeResourceManagement](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html)Security Lake menggunakan peran ini untuk melakukan pemantauan berkelanjutan dan peningkatan kinerja, yang berpotensi mengurangi latensi dan biaya. Peran terkait layanan ini mempercayai `resource-management.securitylake.amazonaws.com` layanan untuk mengambil peran tersebut. Mengaktifkan peran layanan ini juga akan memberinya akses ke Lake Formation. 

    Untuk informasi tentang bagaimana hal ini berdampak pada akun yang ada yang mengaktifkan Security Lake sebelum 17 April 2025, lihat[Update for existing accounts](multi-account-management.md#security-lake-existing-account-resource-management-slr).

  *Untuk informasi tentang cara kerja peran terkait layanan, lihat [Menggunakan izin peran terkait layanan di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html).*
+ Security Lake tidak mendukung Amazon S3 Object Lock. Saat bucket data lake dibuat, S3 Object Lock dinonaktifkan secara default. Mengaktifkan Object Lock pada bucket mengganggu pengiriman data log yang dinormalisasi ke data lake.
+ Jika Anda mengaktifkan kembali Security Lake di suatu wilayah, Anda harus menghapus AWS Glue database terkait wilayah tersebut dari penggunaan Security Lake sebelumnya.

# Mengaktifkan Security Lake menggunakan konsol
<a name="get-started-console"></a>

Tutorial ini menjelaskan cara mengaktifkan dan mengkonfigurasi Security Lake melalui Konsol Manajemen AWS. Sebagai bagian dari Konsol Manajemen AWS, konsol Security Lake menawarkan proses yang efisien untuk memulai, dan menciptakan semua peran yang diperlukan AWS Identity and Access Management (IAM) yang Anda butuhkan untuk membuat data lake Anda.

## Langkah 1: Konfigurasikan sumber
<a name="define-collection-objective"></a>

Security Lake mengumpulkan data log dan peristiwa dari berbagai sumber dan di seluruh Anda Akun AWS dan Wilayah AWS. Ikuti petunjuk ini untuk mengidentifikasi data mana yang ingin dikumpulkan Security Lake. Anda hanya dapat menggunakan petunjuk ini untuk menambahkan sumber yang didukung secara asli Layanan AWS . Untuk informasi tentang menambahkan sumber kustom, lihat[Mengumpulkan data dari sumber khusus di Security Lake](custom-sources.md).

**Untuk mengkonfigurasi koleksi sumber log**

1. Buka konsol Security Lake di [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah. Anda dapat mengaktifkan Danau Keamanan di Wilayah saat ini dan Wilayah lain saat melakukan orientasi.

1. Pilih **Mulai**.

1. Untuk **Pilih sumber log dan peristiwa**, pilih salah satu opsi berikut untuk **pemilihan Sumber**:

   1. **Menyerap AWS sumber default** — Saat Anda memilih opsi yang disarankan, CloudTrail - Peristiwa data S3 dan tidak AWS WAF disertakan untuk konsumsi secara default. Ini karena menelan volume tinggi dari kedua jenis sumber dapat secara signifikan mempengaruhi biaya penggunaan. Untuk mencerna sumber-sumber ini, pertama-tama pilih opsi ** AWS sumber spesifik Ingest**, lalu pilih sumber ini dari **daftar Log dan sumber peristiwa**.

   1. **Menelan AWS sumber tertentu** - Dengan opsi ini, Anda dapat memilih satu atau lebih sumber log dan peristiwa yang ingin Anda konsumsi.
**catatan**  
Saat Anda mengaktifkan Security Lake di akun untuk pertama kalinya, semua log dan sumber peristiwa yang dipilih akan menjadi bagian dari periode uji coba gratis 15 hari. Untuk informasi selengkapnya tentang statistik penggunaan, lihat[Meninjau penggunaan dan perkiraan biaya](reviewing-usage-costs.md).

1. Untuk **Versi**, pilih versi sumber data tempat Anda ingin menyerap sumber log dan peristiwa. Untuk informasi selengkapnya tentang versi, lihat[Identifikasi sumber OCSF](open-cybersecurity-schema-framework.md#ocsf-source-identification).
**penting**  
Jika Anda tidak memiliki izin peran yang diperlukan untuk mengaktifkan versi baru sumber AWS log di Wilayah yang ditentukan, hubungi administrator Security Lake Anda. Untuk informasi selengkapnya, lihat [Memperbarui izin peran](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html#update-role-permissions).

1. Untuk **Wilayah Terpilih**, pilih apakah akan menyerap sumber log dan peristiwa dari semua Wilayah yang didukung atau Wilayah tertentu. Jika Anda memilih **Wilayah Tertentu**, pilih Wilayah mana untuk menyerap data.

1. Untuk **akun Pilih**, lakukan langkah-langkah berikut:

   1. Pilih apakah Security Lake akan menyerap data dari **Semua akun** atau **Akun khusus** di organisasi Anda. Security Lake akan diaktifkan untuk akun ini dengan pengaturan yang Anda pilih selama konfigurasi ini.

   1. Kotak centang **Aktifkan Danau Keamanan untuk akun organisasi baru secara otomatis** dipilih secara default. Pengaturan aktifkan otomatis ini akan berlaku Akun AWS saat mereka bergabung dengan organisasi Anda. Anda dapat mengedit pengaturan aktifkan otomatis kapan saja.
**catatan**  
Pengaturan aktifkan otomatis hanya akan berlaku untuk akun saat mereka bergabung dengan organisasi Anda, bukan ke akun yang ada. Untuk informasi selengkapnya, lihat [Mengedit konfigurasi akun baru di konsol](multi-account-management.md#security-lake-new-account-auto-enable).

   

1. Untuk **akses Layanan**, buat peran IAM baru atau gunakan peran IAM yang ada yang memberikan izin Security Lake untuk mengumpulkan data dari sumber Anda dan menambahkannya ke data lake Anda. Satu peran digunakan di semua Wilayah di mana Anda mengaktifkan Security Lake.

1. Pilih **Berikutnya**.

## Langkah 2: Tentukan pengaturan penyimpanan dan rollup Regions (opsional)
<a name="define-target-objective"></a>

Anda dapat menentukan kelas penyimpanan Amazon S3 di mana Anda ingin Security Lake menyimpan data Anda dan untuk berapa lama. Anda juga dapat menentukan Wilayah rollup untuk mengkonsolidasikan data dari beberapa Wilayah. Ini adalah langkah opsional. Untuk informasi selengkapnya, lihat [Manajemen siklus hidup di Security Lake](lifecycle-management.md).

**Untuk mengkonfigurasi pengaturan penyimpanan dan rollup**

1. **Jika Anda ingin mengkonsolidasikan data dari beberapa Wilayah yang berkontribusi ke Wilayah rollup, untuk **Pilih Wilayah rollup, pilih Tambahkan Wilayah rollup**.** Tentukan Wilayah rollup dan Wilayah yang akan berkontribusi padanya. Anda dapat mengatur satu atau lebih Wilayah rollup.

1. Untuk **Pilih kelas penyimpanan**, pilih kelas penyimpanan Amazon S3. Kelas penyimpanan default adalah **S3 Standard**. Berikan periode retensi (dalam beberapa hari) jika Anda ingin data beralih ke kelas penyimpanan lain setelah waktu itu, dan pilih **Tambahkan transisi**. Setelah periode retensi berakhir, objek kedaluwarsa dan Amazon S3 menghapusnya. Untuk informasi selengkapnya tentang kelas penyimpanan dan retensi Amazon S3, lihat. [Manajemen retensi](lifecycle-management.md#retention-management)

1. Jika Anda memilih Wilayah rollup pada langkah pertama, untuk **akses Layanan**, buat peran IAM baru atau gunakan peran IAM yang ada yang memberikan izin Security Lake untuk mereplikasi data di beberapa Wilayah.

1. Pilih **Berikutnya**.

## Langkah 3: Tinjau dan buat data lake
<a name="review-create"></a>

Tinjau sumber tempat Security Lake akan mengumpulkan data dari, Wilayah rollup Anda, dan pengaturan retensi Anda. Kemudian, buat danau data Anda.

**Untuk meninjau dan membuat data lake**

1. **Saat mengaktifkan Security Lake, tinjau **sumber Log dan peristiwa**, **Wilayah, Wilayah** **Rollup**, dan kelas Penyimpanan.**

1. Pilih **Buat**.

Setelah membuat data lake Anda, Anda akan melihat halaman **Ringkasan** di konsol Security Lake. **Halaman ini memberikan gambaran umum tentang jumlah **Wilayah dan Wilayah** **Rollup**, informasi tentang pelanggan, dan Masalah.**

Menu **Masalah** menunjukkan ringkasan masalah dari 14 hari terakhir yang memengaruhi layanan Security Lake atau bucket Amazon S3 Anda. Untuk detail tambahan tentang setiap masalah, Anda dapat membuka halaman **Masalah** di konsol Security Lake. 

## Langkah 4: Lihat dan kueri data Anda sendiri
<a name="explore-data-lake"></a>

Setelah membuat data lake Anda, Anda dapat menggunakan Amazon Athena atau layanan serupa untuk melihat dan menanyakan data Anda dari AWS Lake Formation database dan tabel. Saat Anda menggunakan konsol, Security Lake secara otomatis memberikan izin tampilan database ke peran yang Anda gunakan untuk mengaktifkan Security Lake. Minimal, peran tersebut harus memiliki izin *analis data*. Untuk informasi selengkapnya tentang tingkat izin, lihat [personas Lake Formation dan referensi izin IAM](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html). *Untuk petunjuk tentang pemberian `SELECT` izin, lihat [Memberikan izin Katalog Data menggunakan metode sumber daya bernama di Panduan Pengembang](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html).AWS Lake Formation *

## Langkah 5: Buat pelanggan
<a name="subscribe-data"></a>

Setelah membuat data lake Anda, Anda dapat menambahkan pelanggan untuk mengkonsumsi data Anda. Pelanggan dapat mengkonsumsi data dengan langsung mengakses objek di bucket Amazon S3 Anda atau dengan menanyakan data lake. Untuk informasi selengkapnya tentang pelanggan, lihat[Manajemen pelanggan di Security Lake](subscriber-management.md).

# Mengaktifkan Security Lake secara terprogram
<a name="get-started-programmatic"></a>

Tutorial ini menjelaskan cara mengaktifkan dan mulai menggunakan Security Lake secara terprogram. Amazon Security Lake API memberi Anda akses terprogram yang komprehensif ke akun, data, dan sumber daya Security Lake Anda. Atau, Anda dapat menggunakan alat baris AWS perintah — [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)atau [AWS Alat untuk PowerShell —atau [AWS SDKs](https://aws.amazon.com/developertools/)untuk](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html) mengakses Security Lake.

## Langkah 1: Buat peran IAM
<a name="prerequisites"></a>

Jika Anda mengakses Security Lake secara terprogram, Anda perlu membuat beberapa peran AWS Identity and Access Management (IAM) untuk mengonfigurasi data lake Anda.

**penting**  
Tidak perlu membuat peran IAM ini jika Anda menggunakan konsol Security Lake untuk mengaktifkan dan mengkonfigurasi Security Lake.

Anda harus membuat peran di IAM jika Anda akan mengambil satu atau beberapa tindakan berikut (pilih tautan untuk melihat informasi selengkapnya tentang peran IAM untuk setiap tindakan):
+ [Membuat sumber kustom — Sumber](custom-sources.md#iam-roles-custom-sources) kustom adalah sumber selain yang didukung secara asli Layanan AWS yang mengirim data ke Security Lake.
+ [Membuat pelanggan dengan akses data](prereqs-creating-subscriber.md#iam-role-subscriber) — Pelanggan dengan izin dapat langsung mengakses objek S3 dari danau data Anda.
+ [Membuat pelanggan dengan akses kueri](prereqs-query-subscriber.md#iam-role-query-subscriber) — Pelanggan dengan izin dapat meminta data dari Security Lake menggunakan layanan seperti Amazon Athena.
+ [Mengkonfigurasi Wilayah rollup — Wilayah rollup](add-rollup-region.md#iam-role-replication) mengkonsolidasikan data dari beberapa. Wilayah AWS

Setelah membuat peran yang disebutkan sebelumnya, lampirkan kebijakan [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS terkelola ke peran yang Anda gunakan untuk mengaktifkan Security Lake. Kebijakan ini memberikan izin administratif yang memungkinkan kepala sekolah untuk masuk ke Security Lake dan mengakses semua tindakan Security Lake.

Lampirkan kebijakan [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS terkelola untuk membuat data lake atau data kueri dari Security Lake. Kebijakan ini diperlukan untuk Security Lake untuk mendukung pekerjaan ekstrak, transformasi, dan pemuatan (ETL) pada log mentah dan data peristiwa yang diterimanya dari sumber.

## Langkah 2: Aktifkan Amazon Security Lake
<a name="enable-service-programmatic"></a>

Untuk mengaktifkan Security Lake secara terprogram, gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)pengoperasian Security Lake API. Jika Anda menggunakan AWS CLI, jalankan [create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html)perintah. Dalam permintaan Anda, gunakan `region` bidang `configurations` objek untuk menentukan kode Wilayah untuk Wilayah untuk mengaktifkan Danau Keamanan. Untuk daftar kode Wilayah, lihat [titik akhir Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) di. *Referensi Umum AWS*

**Contoh 1**

Contoh perintah berikut memungkinkan Security Lake in the `us-east-1` and `us-east-2` Regions. Di kedua Wilayah, danau data ini dienkripsi dengan kunci terkelola Amazon S3. Objek kedaluwarsa setelah 365 hari, dan objek bertransisi ke kelas penyimpanan `ONEZONE_IA` S3 setelah 60 hari. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**Contoh 2**

Contoh perintah berikut memungkinkan Security Lake in the `us-east-2` Region. Data lake ini dienkripsi dengan kunci terkelola pelanggan yang dibuat di AWS Key Management Service ()AWS KMS. Objek kedaluwarsa setelah 500 hari, dan objek bertransisi ke kelas penyimpanan `GLACIER` S3 setelah 30 hari. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**catatan**  
Jika Anda telah mengaktifkan Security Lake dan ingin memperbarui pengaturan konfigurasi untuk Wilayah atau sumber, gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)operasi, atau jika menggunakan AWS CLI, [update-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)perintah. Jangan gunakan `CreateDataLake` operasi.

## Langkah 3: Konfigurasikan sumber
<a name="define-collection-objective-programmatic"></a>

Security Lake mengumpulkan data log dan peristiwa dari berbagai sumber dan di seluruh Anda Akun AWS dan Wilayah AWS. Ikuti petunjuk ini untuk mengidentifikasi data mana yang ingin dikumpulkan Security Lake. Anda hanya dapat menggunakan petunjuk ini untuk menambahkan sumber yang didukung secara asli Layanan AWS . Untuk informasi tentang menambahkan sumber kustom, lihat[Mengumpulkan data dari sumber khusus di Security Lake](custom-sources.md).

Untuk menentukan satu atau lebih sumber koleksi secara terprogram, gunakan [CreateAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateAwsLogSource.html)pengoperasian Security Lake API. Untuk setiap sumber, tentukan nilai unik Regional untuk `sourceName` parameter. Secara opsional gunakan parameter tambahan untuk membatasi ruang lingkup sumber ke akun tertentu (`accounts`) atau versi tertentu (`sourceVersion`).

**catatan**  
Jika Anda tidak menyertakan parameter opsional dalam permintaan Anda, Security Lake menerapkan permintaan Anda ke semua akun atau semua versi sumber yang ditentukan, tergantung pada parameter yang Anda kecualikan. Misalnya, jika Anda adalah administrator Security Lake yang didelegasikan untuk organisasi dan Anda mengecualikan `accounts` parameternya, Security Lake menerapkan permintaan Anda ke semua akun di organisasi Anda. Demikian pula, jika Anda mengecualikan `sourceVersion` parameter, Security Lake menerapkan permintaan Anda ke semua versi sumber yang ditentukan.

Jika permintaan Anda menentukan Wilayah di mana Anda belum mengaktifkan Security Lake, terjadi kesalahan. Untuk mengatasi kesalahan ini, pastikan bahwa `regions` array hanya menentukan Wilayah di mana Anda telah mengaktifkan Security Lake. Atau, Anda dapat mengaktifkan Danau Keamanan di Wilayah, dan kemudian mengirimkan permintaan Anda lagi.

Saat Anda mengaktifkan Security Lake di akun untuk pertama kalinya, semua log dan sumber peristiwa yang dipilih akan menjadi bagian dari periode uji coba gratis 15 hari. Untuk informasi selengkapnya tentang statistik penggunaan, lihat[Meninjau penggunaan dan perkiraan biaya](reviewing-usage-costs.md).

## Langkah 4: Konfigurasikan pengaturan penyimpanan dan rollup Regions (opsional)
<a name="define-target-objective-programmatic"></a>

Anda dapat menentukan kelas penyimpanan Amazon S3 di mana Anda ingin Security Lake menyimpan data Anda dan untuk berapa lama. Anda juga dapat menentukan Wilayah rollup untuk mengkonsolidasikan data dari beberapa Wilayah. Ini adalah langkah opsional. Untuk informasi selengkapnya, lihat [Manajemen siklus hidup di Security Lake](lifecycle-management.md).

Untuk menentukan tujuan target secara terprogram saat Anda mengaktifkan Security Lake, gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)pengoperasian Security Lake API. Jika Anda sudah mengaktifkan Security Lake dan ingin menentukan tujuan target, gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)operasi, bukan `CreateDataLake` operasinya.

Untuk operasi mana pun, gunakan parameter yang didukung untuk menentukan pengaturan konfigurasi yang Anda inginkan:
+ Untuk menentukan Wilayah rollup, gunakan `region` bidang untuk menentukan Wilayah yang ingin Anda sumbangkan data ke Wilayah rollup. Dalam `regions` larik `replicationConfiguration` objek, tentukan kode Wilayah untuk setiap Wilayah rollup. Untuk daftar kode Wilayah, lihat [titik akhir Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) di. *Referensi Umum AWS*
+ Untuk menentukan pengaturan retensi untuk data Anda, gunakan `lifecycleConfiguration` parameter:
  + Untuk`transitions`, tentukan jumlah total days (`days`) yang ingin Anda simpan objek S3 di kelas `storageClass` penyimpanan Amazon S3 tertentu ().
  + Untuk`expiration`, tentukan jumlah hari yang ingin Anda simpan objek di Amazon S3, menggunakan kelas penyimpanan apa pun, setelah objek dibuat. Ketika periode retensi ini berakhir, objek kedaluwarsa dan Amazon S3 menghapusnya.

  Security Lake menerapkan pengaturan retensi yang ditentukan ke Wilayah yang Anda tentukan di `region` bidang `configurations` objek.

Misalnya, perintah berikut membuat data lake dengan `ap-northeast-2` sebagai Region rollup. `us-east-1`Wilayah akan menyumbangkan data ke `ap-northeast-2` Wilayah. Contoh ini juga menetapkan periode kedaluwarsa 10 hari untuk objek yang ditambahkan ke danau data.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

Anda sekarang telah membuat danau data Anda. Gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html)pengoperasian Security Lake API untuk memverifikasi pemberdayaan Security Lake dan pengaturan data lake Anda di setiap Wilayah.

Jika masalah atau kesalahan muncul dalam pembuatan data lake Anda, Anda dapat melihat daftar pengecualian dengan menggunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html)operasi, dan memberi tahu pengguna tentang pengecualian dengan operasi tersebut. [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html) Untuk informasi selengkapnya, lihat [Memecahkan masalah status danau data](securitylake-data-lake-troubleshoot.md).

## Langkah 5: Lihat dan kueri data Anda sendiri
<a name="explore-data-lake-programmatic"></a>

Setelah membuat data lake Anda, Anda dapat menggunakan Amazon Athena atau layanan serupa untuk melihat dan menanyakan data Anda dari AWS Lake Formation database dan tabel. Saat Anda mengaktifkan Security Lake secara terprogram, izin tampilan basis data tidak diberikan secara otomatis. Akun administrator data lake AWS Lake Formation harus memberikan `SELECT` izin ke peran IAM yang ingin Anda gunakan untuk menanyakan database dan tabel yang relevan. Minimal, peran tersebut harus memiliki izin *analis data*. Untuk informasi selengkapnya tentang tingkat izin, lihat [personas Lake Formation dan referensi izin IAM](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html). *Untuk petunjuk tentang pemberian `SELECT` izin, lihat [Memberikan izin Katalog Data menggunakan metode sumber daya bernama di Panduan Pengembang](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html).AWS Lake Formation *

## Langkah 6: Buat pelanggan
<a name="subscribe-data-programmatic"></a>

Setelah membuat data lake Anda, Anda dapat menambahkan pelanggan untuk mengkonsumsi data Anda. Pelanggan dapat mengkonsumsi data dengan langsung mengakses objek di bucket Amazon S3 Anda atau dengan menanyakan data lake. Untuk informasi selengkapnya tentang pelanggan, lihat[Manajemen pelanggan di Security Lake](subscriber-management.md).