Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Guida introduttiva ad Amazon Security Lake
<a name="getting-started"></a>

Gli argomenti di questa sezione spiegano come abilitare e iniziare a utilizzare Security Lake. Imparerai come configurare le impostazioni del data lake e configurare la raccolta dei log. Puoi abilitare e utilizzare Security Lake tramite Console di gestione AWS o a livello di codice. Indipendentemente dal metodo utilizzato, è necessario innanzitutto configurare un utente Account AWS e un utente amministrativo. I passaggi successivi variano in base al metodo di accesso. 

La console Security Lake offre un processo semplificato per iniziare e crea tutti i ruoli AWS Identity and Access Management (IAM) necessari per creare il data lake.

Se accedi a Security Lake in modo programmatico, è necessario creare alcuni ruoli AWS Identity and Access Management (IAM) per configurare il data lake.

**Importante**  
Security Lake non supporta il riempimento degli eventi di origine dei log non AWS elaborati esistenti generati prima dell'attivazione di Security Lake.

**Topics**
+ [Configurare il Account AWS](initial-account-setup.md)
+ [Considerazioni sull'abilitazione di Security Lake](enable-securitylake-considerations.md)
+ [Abilitazione di Security Lake tramite la console](get-started-console.md)
+ [Attivazione di Security Lake a livello di codice](get-started-programmatic.md)

# Configurare il Account AWS
<a name="initial-account-setup"></a>

Prima di poter abilitare Amazon Security Lake, devi disporre di un Account AWS. Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

## Registrati per un Account AWS
<a name="sign-up-for-aws"></a>

Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

**Per iscriverti a un Account AWS**

1. Apri la [https://portal.aws.amazon.com/billing/registrazione.](https://portal.aws.amazon.com/billing/signup)

1. Segui le istruzioni online.

   Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.

   Quando ti iscrivi a un Account AWS, *Utente root dell'account AWS*viene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire [attività che richiedono l’accesso di un utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a [https://aws.amazon.com/](https://aws.amazon.com/)e scegliendo **Il mio account**.

## Crea un utente con accesso amministrativo
<a name="create-an-admin"></a>

Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.

**Proteggi i tuoi Utente root dell'account AWS**

1.  Accedi [Console di gestione AWS](https://console.aws.amazon.com/)come proprietario dell'account scegliendo **Utente root** e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

   Per informazioni sull’accesso utilizzando un utente root, consulta la pagina [Accedere come utente root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) nella *Guida per l’utente di Accedi ad AWS *.

1. Abilita l’autenticazione a più fattori (MFA) per l’utente root.

   Per istruzioni, consulta [Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) nella Guida per l'*utente IAM*.

**Crea un utente con accesso amministrativo**

1. Abilita il Centro identità IAM.

   Per istruzioni, consulta [Abilitazione del AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) nella *Guida per l’utente di AWS IAM Identity Center *.

1. Nel Centro identità IAM, assegna l’accesso amministrativo a un utente.

   Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta [Configurare l'accesso utente con l'impostazione predefinita IAM Identity Center directory](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) nella *Guida per l'AWS IAM Identity Center utente*.

**Accesso come utente amministratore**
+ Per accedere come utente del Centro identità IAM, utilizza l’URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l’utente del Centro identità IAM.

  Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta [AWS Accedere al portale di accesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) nella *Guida per l'Accedi ad AWS utente*.

**Assegnazione dell’accesso ad altri utenti**

1. Nel Centro identità IAM, crea un set di autorizzazioni conforme alla best practice per l’applicazione di autorizzazioni con il privilegio minimo.

   Segui le istruzioni riportate nella pagina [Creazione di un set di autorizzazioni](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) nella *Guida per l’utente di AWS IAM Identity Center *.

1. Assegna al gruppo prima gli utenti e poi l’accesso con autenticazione unica (Single Sign-On).

   Per istruzioni, consulta [Aggiungere gruppi](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) nella *Guida per l’utente di AWS IAM Identity Center *.

## Identifica l'account che utilizzerai per abilitare Security Lake
<a name="prerequisite-organizations"></a>

Security Lake si integra AWS Organizations per gestire la raccolta dei log su più account di un'organizzazione. Se si desidera utilizzare Security Lake per un'organizzazione, è necessario utilizzare l'account di gestione Organizations per designare un amministratore delegato di Security Lake. Quindi, è necessario utilizzare le credenziali dell'amministratore delegato per abilitare Security Lake, aggiungere account membro e abilitare Security Lake per tali account. Per ulteriori informazioni, consulta [Gestione di più account con AWS Organizations Security Lake](multi-account-management.md).

In alternativa, puoi utilizzare Security Lake senza l'integrazione Organizations per un account autonomo che non fa parte di un'organizzazione.

# Considerazioni sull'abilitazione di Security Lake
<a name="enable-securitylake-considerations"></a>

**Prima di abilitare Security Lake, considera quanto segue:**
+ Security Lake offre funzionalità di gestione interregionale, il che significa che puoi creare il tuo data lake e configurare la raccolta dei log in tutto Regioni AWS il mondo. Per abilitare Security Lake in [tutte le regioni supportate](supported-regions.md), puoi scegliere qualsiasi endpoint regionale supportato. Puoi anche aggiungere [regioni di rollup](add-rollup-region.md) per aggregare i dati di più regioni in un'unica regione.
+ Ti consigliamo di attivare Security Lake in tutte le piattaforme supportate. Regioni AWS In questo modo, Security Lake può raccogliere dati collegati ad attività non autorizzate o insolite anche nelle regioni che non utilizzi attivamente. Se Security Lake non è attivato in tutte le regioni supportate, la sua capacità di raccogliere dati da altri servizi utilizzati in più regioni è ridotta.
+ Quando abiliti Security Lake per la prima volta in qualsiasi regione, vengono creati i seguenti ruoli collegati ai servizi per il tuo account:
  + [AWSServiceRoleForSecurityLake](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html): Questo ruolo include le autorizzazioni per chiamare altre persone per tuo Servizi AWS conto e gestire il security data lake. Se abiliti Security Lake come [amministratore delegato di Security Lake](multi-account-management.md#delegated-admin-important), Security Lake crea il [ruolo collegato al servizio](using-service-linked-roles.md) in ogni account membro dell'organizzazione.
  + [AWSServiceRoleForSecurityLakeResourceManagement](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html): Security Lake utilizza questo ruolo per eseguire il monitoraggio continuo e il miglioramento delle prestazioni, che possono potenzialmente ridurre latenza e costi. Questo ruolo collegato al servizio si fida che il `resource-management.securitylake.amazonaws.com` servizio assuma il ruolo. L'abilitazione di questo ruolo di servizio gli garantirà anche l'accesso a Lake Formation. 

    Per informazioni sull'impatto di ciò sugli account esistenti che hanno abilitato Security Lake prima del 17 aprile 2025, consulta[Update for existing accounts](multi-account-management.md#security-lake-existing-account-resource-management-slr).

  *Per informazioni su come funzionano i ruoli collegati ai servizi, consulta [Using service-linked role permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) nella IAM User Guide.*
+ Security Lake non supporta Amazon S3 Object Lock. Quando vengono creati i bucket di data lake, S3 Object Lock è disabilitato per impostazione predefinita. L'abilitazione di Object Lock su un bucket interrompe la consegna di dati di log normalizzati al data lake.
+ Se si riattiva Security Lake in una regione, è necessario eliminare il AWS Glue database corrispondente della regione dal precedente utilizzo di Security Lake.

# Abilitazione di Security Lake tramite la console
<a name="get-started-console"></a>

Questo tutorial spiega come abilitare e configurare Security Lake tramite Console di gestione AWS. Come parte di Console di gestione AWS, la console Security Lake offre un processo semplificato per iniziare e crea tutti i ruoli AWS Identity and Access Management (IAM) necessari per creare il data lake.

## Fase 1: Configurare le fonti
<a name="define-collection-objective"></a>

Security Lake raccoglie dati di log ed eventi da una varietà di fonti e da tutto il tuo Account AWS territorio. Regioni AWS Segui queste istruzioni per identificare quali dati vuoi che Security Lake raccolga. Puoi usare queste istruzioni solo per aggiungere una fonte supportata nativamente Servizio AWS . Per informazioni sull'aggiunta di una fonte personalizzata, consulta. [Raccolta di dati da fonti personalizzate in Security Lake](custom-sources.md)

**Per configurare la raccolta di sorgenti di log**

1. Aprire la console di Security Lake all'indirizzo [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona una regione. Puoi abilitare Security Lake nella regione corrente e in altre regioni durante l'onboarding.

1. Scegli **Avvia**.

1. Per **Seleziona sorgenti di log ed eventi**, scegli una delle seguenti opzioni per la selezione della **sorgente:**

   1. **Inserisci AWS fonti predefinite**: quando scegli l'opzione consigliata, per impostazione predefinita, CloudTrail gli eventi e i dati S3 non AWS WAF sono inclusi per l'ingestione. Questo perché l'ingestione di volumi elevati di entrambi i tipi di fonti potrebbe avere un impatto significativo sui costi di utilizzo. Per importare queste fonti, seleziona prima l'opzione Inserisci ** AWS fonti specifiche, quindi seleziona queste fonti** dall'elenco Sorgenti di **log ed eventi**.

   1. **Inserisci AWS fonti specifiche**: con questa opzione, puoi selezionare una o più fonti di log ed eventi che desideri importare.
**Nota**  
Quando abiliti Security Lake in un account per la prima volta, tutte le fonti di log ed eventi selezionate faranno parte di un periodo di prova gratuito di 15 giorni. Per ulteriori informazioni sulle statistiche di utilizzo, vedere[Analisi dell'utilizzo e dei costi stimati](reviewing-usage-costs.md).

1. Per **Versioni**, scegli la versione dell'origine dati da cui desideri importare le fonti di registro e di eventi. Per ulteriori informazioni sulle versioni, consulta [Identificazione della fonte OCSF](open-cybersecurity-schema-framework.md#ocsf-source-identification).
**Importante**  
Se non disponi delle autorizzazioni di ruolo necessarie per abilitare la nuova versione dell'origine del AWS registro nella regione specificata, contatta l'amministratore di Security Lake. Per ulteriori informazioni, consulta [Aggiornare le autorizzazioni dei ruoli](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html#update-role-permissions).

1. Per **Select Regions**, scegli se importare le fonti di log ed eventi da tutte le regioni supportate o da regioni specifiche. Se scegli **Regioni specifiche**, seleziona le regioni da cui importare i dati.

1. Per **gli account Select**, procedi nel seguente modo:

   1. Scegli se Security Lake inserirà i dati da **Tutti gli account o Account** **specifici** della tua organizzazione. Security Lake verrà abilitato per questi account con le impostazioni scelte durante questa configurazione.

   1. La casella di controllo **Abilita automaticamente Security Lake per i nuovi account dell'organizzazione** è selezionata per impostazione predefinita. Queste impostazioni di attivazione automatica verranno applicate a Account AWS quando entrano a far parte della tua organizzazione. Puoi modificare le impostazioni di attivazione automatica in qualsiasi momento.
**Nota**  
Le impostazioni di attivazione automatica si applicheranno solo agli account che entrano a far parte dell'organizzazione, non agli account esistenti. Per ulteriori informazioni, consulta [Modifica della configurazione di un nuovo account nella console](multi-account-management.md#security-lake-new-account-auto-enable).

   

1. Per **accedere al servizio**, crea un nuovo ruolo IAM o utilizza un ruolo IAM esistente che autorizzi Security Lake a raccogliere dati dalle tue fonti e aggiungerli al tuo data lake. Un ruolo viene utilizzato in tutte le regioni in cui abiliti Security Lake.

1. Scegli **Next (Successivo)**.

## Fase 2: Definizione delle impostazioni di archiviazione e delle regioni di rollup (opzionale)
<a name="define-target-objective"></a>

Puoi specificare la classe di storage Amazon S3 in cui desideri che Security Lake memorizzi i tuoi dati e per quanto tempo. Puoi anche specificare una regione di rollup per consolidare i dati provenienti da più regioni. Questi sono passaggi facoltativi. Per ulteriori informazioni, consulta [Gestione del ciclo di vita in Security Lake](lifecycle-management.md).

**Per configurare le impostazioni di archiviazione e rollup**

1. **Se desideri consolidare i dati di più regioni contribuenti in una regione di rollup, per **Seleziona regioni di rollup, scegli Aggiungi regione di rollup**.** Specificate la regione di rollup e le regioni che vi contribuiranno. È possibile configurare una o più regioni di rollup.

1. Per le **classi di storage Select**, scegli una classe di storage Amazon S3. La classe di storage predefinita è **S3 Standard**. Fornisci un periodo di conservazione (in giorni) se desideri che i dati passino a un'altra classe di archiviazione dopo tale periodo e scegli **Aggiungi transizione**. Al termine del periodo di conservazione, gli oggetti scadono e Amazon S3 li elimina. Per ulteriori informazioni sulle classi di storage e sulla conservazione di Amazon S3, consulta. [Gestione della conservazione](lifecycle-management.md#retention-management)

1. Se hai selezionato una regione di rollup nel primo passaggio, per l'**accesso al servizio**, crea un nuovo ruolo IAM o utilizza un ruolo IAM esistente che autorizzi Security Lake a replicare i dati su più regioni.

1. Scegli **Next (Successivo)**.

## Fase 3: Rivedi e crea un data lake
<a name="review-create"></a>

Controlla le fonti da cui Security Lake raccoglierà i dati, le tue regioni di rollup e le tue impostazioni di conservazione. Quindi, crea il tuo data lake.

**Per rivedere e creare il data lake**

1. Durante l'attivazione di Security Lake, esamina le **sorgenti di log ed eventi**, **le regioni, le** **regioni di rollup** e **le classi di archiviazione**.

1. Scegli **Create** (Crea).

Dopo aver creato il data lake, verrà visualizzata la pagina di **riepilogo** sulla console di Security Lake. **Questa pagina fornisce una panoramica del numero di **regioni e aree** di **rollup**, informazioni sugli abbonati e sui problemi.**

Il menu **Problemi** mostra un riepilogo dei problemi degli ultimi 14 giorni che hanno avuto un impatto sul servizio Security Lake o sui bucket Amazon S3. Per ulteriori dettagli su ogni problema, puoi andare alla pagina **Problemi della console** Security Lake. 

## Passaggio 4: Visualizza e interroga i tuoi dati
<a name="explore-data-lake"></a>

Dopo aver creato il tuo data lake, puoi utilizzare Amazon Athena o servizi simili per visualizzare e interrogare i tuoi dati da AWS Lake Formation database e tabelle. Quando usi la console, Security Lake concede automaticamente le autorizzazioni di visualizzazione del database al ruolo che utilizzi per abilitare Security Lake. Come minimo, il ruolo deve disporre delle autorizzazioni di *analista dei dati*. Per ulteriori informazioni sui livelli di autorizzazione, consulta [Lake Formation personas e IAM permissions reference](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html). *Per istruzioni sulla concessione `SELECT` delle autorizzazioni, consulta Concessione delle autorizzazioni di [Data Catalog utilizzando il metodo della risorsa denominata nella Guida per gli sviluppatori](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html).AWS Lake Formation *

## Fase 5: Creare abbonati
<a name="subscribe-data"></a>

Dopo aver creato il data lake, puoi aggiungere abbonati per utilizzare i tuoi dati. Gli abbonati possono utilizzare i dati accedendo direttamente agli oggetti nei bucket Amazon S3 o interrogando il data lake. Per ulteriori informazioni sugli abbonati, consulta. [Gestione degli abbonati in Security Lake](subscriber-management.md)

# Attivazione di Security Lake a livello di codice
<a name="get-started-programmatic"></a>

Questo tutorial spiega come abilitare e iniziare a utilizzare Security Lake a livello di codice. L'API Amazon Security Lake ti offre un accesso completo e programmatico all'account, ai dati e alle risorse di Security Lake. In alternativa, puoi utilizzare gli strumenti da riga di AWS comando, [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)ovvero gli [AWS strumenti per PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html), o per accedere [AWS SDKs](https://aws.amazon.com/developertools/)a Security Lake.

## Fase 1: Creare ruoli IAM
<a name="prerequisites"></a>

Se accedi a Security Lake in modo programmatico, è necessario creare alcuni ruoli AWS Identity and Access Management (IAM) per configurare il data lake.

**Importante**  
Non è necessario creare questi ruoli IAM se si utilizza la console Security Lake per abilitare e configurare Security Lake.

Devi creare ruoli in IAM se intendi intraprendere una o più delle seguenti azioni (scegli i link per visualizzare ulteriori informazioni sui ruoli IAM per ciascuna azione):
+ [Creazione di una fonte personalizzata](custom-sources.md#iam-roles-custom-sources): le fonti personalizzate sono fonti diverse da quelle supportate nativamente Servizi AWS che inviano dati a Security Lake.
+ [Creazione di un abbonato con accesso ai dati](prereqs-creating-subscriber.md#iam-role-subscriber): gli abbonati con autorizzazioni possono accedere direttamente agli oggetti S3 dal data lake.
+ [Creazione di un abbonato con accesso tramite query](prereqs-query-subscriber.md#iam-role-query-subscriber): gli abbonati con autorizzazioni possono interrogare i dati da Security Lake utilizzando servizi come Amazon Athena.
+ [Configurazione di una regione di rollup: una regione di rollup consolida](add-rollup-region.md#iam-role-replication) i dati provenienti da più regioni. Regioni AWS

Dopo aver creato i ruoli menzionati in precedenza, collega la policy [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS gestita al ruolo che stai utilizzando per abilitare Security Lake. Questa politica concede autorizzazioni amministrative che consentono a un preside di accedere a Security Lake e accedere a tutte le azioni di Security Lake.

Allega la policy [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS gestita per creare il tuo data lake o interrogare i dati da Security Lake. Questa policy è necessaria affinché Security Lake supporti i processi di estrazione, trasformazione e caricamento (ETL) su dati non elaborati di log ed eventi che riceve dalle fonti.

## Passaggio 2: abilitare Amazon Security Lake
<a name="enable-service-programmatic"></a>

Per abilitare Security Lake a livello di codice, utilizza il [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)funzionamento dell'API Security Lake. Se utilizzi il AWS CLI, esegui il comando. [create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html) Nella richiesta, utilizzate il `region` campo dell'`configurations`oggetto per specificare il codice regionale per la regione in cui abilitare Security Lake. Per un elenco dei codici regionali, consulta gli [endpoint di Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) nel *Riferimenti generali di AWS*.

**Esempio 1**

Il comando di esempio seguente abilita Security Lake nelle `us-east-2` regioni `us-east-1` e. In entrambe le regioni, questo data lake è crittografato con chiavi gestite di Amazon S3. Gli oggetti scadono dopo 365 giorni e gli oggetti passano alla classe di storage `ONEZONE_IA` S3 dopo 60 giorni. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**Esempio 2**

Il comando di esempio seguente abilita Security Lake nella `us-east-2` regione. Questo data lake è crittografato con una chiave gestita dal cliente creata in AWS Key Management Service (AWS KMS). Gli oggetti scadono dopo 500 giorni e gli oggetti passano alla classe di storage `GLACIER` S3 dopo 30 giorni. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**Nota**  
Se hai già abilitato Security Lake e desideri aggiornare le impostazioni di configurazione per una regione o una fonte, usa l'[https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)operazione o, se usi il AWS CLI, il [update-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)comando. Non utilizzare l'`CreateDataLake`operazione.

## Fase 3: Configurare le fonti
<a name="define-collection-objective-programmatic"></a>

Security Lake raccoglie dati di log ed eventi da una varietà di fonti e da tutto il tuo Account AWS territorio. Regioni AWS Segui queste istruzioni per identificare quali dati vuoi che Security Lake raccolga. Puoi usare queste istruzioni solo per aggiungere una fonte supportata nativamente Servizio AWS . Per informazioni sull'aggiunta di una fonte personalizzata, consulta. [Raccolta di dati da fonti personalizzate in Security Lake](custom-sources.md)

Per definire una o più fonti di raccolta a livello di codice, utilizzate il [CreateAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateAwsLogSource.html)funzionamento dell'API Security Lake. Per ogni fonte, specificate un valore unico a livello regionale per il parametro. `sourceName` Facoltativamente, utilizzate parametri aggiuntivi per limitare l'ambito della fonte a account specifici (`accounts`) o a una versione specifica (`sourceVersion`).

**Nota**  
Se non includi un parametro opzionale nella richiesta, Security Lake applica la richiesta a tutti gli account o a tutte le versioni della fonte specificata, a seconda del parametro che escludi. Ad esempio, se sei l'amministratore delegato di Security Lake di un'organizzazione ed escludi il `accounts` parametro, Security Lake applica la richiesta a tutti gli account dell'organizzazione. Analogamente, se si esclude il `sourceVersion` parametro, Security Lake applica la richiesta a tutte le versioni della fonte specificata.

Se la richiesta specifica una regione in cui non hai abilitato Security Lake, si verifica un errore. Per risolvere questo errore, assicurati che l'`regions`array specifichi solo le regioni in cui hai abilitato Security Lake. In alternativa, puoi abilitare Security Lake nella regione e quindi inviare nuovamente la richiesta.

Quando abiliti Security Lake in un account per la prima volta, tutte le fonti di registro ed eventi selezionate faranno parte di un periodo di prova gratuito di 15 giorni. Per ulteriori informazioni sulle statistiche di utilizzo, vedere[Analisi dell'utilizzo e dei costi stimati](reviewing-usage-costs.md).

## Fase 4: Configurazione delle impostazioni di archiviazione e delle regioni di rollup (opzionale)
<a name="define-target-objective-programmatic"></a>

Puoi specificare la classe di storage Amazon S3 in cui desideri che Security Lake memorizzi i tuoi dati e per quanto tempo. Puoi anche specificare una regione di rollup per consolidare i dati provenienti da più regioni. Questi sono passaggi facoltativi. Per ulteriori informazioni, consulta [Gestione del ciclo di vita in Security Lake](lifecycle-management.md).

Per definire un obiettivo a livello di codice quando abiliti Security Lake, utilizza il [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)funzionamento dell'API Security Lake. Se hai già abilitato Security Lake e desideri definire un obiettivo target, usa l'[https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)operazione, non l'`CreateDataLake`operazione.

Per entrambe le operazioni, utilizzate i parametri supportati per specificare le impostazioni di configurazione desiderate:
+ Per specificare una regione di rollup, utilizzate il `region` campo per specificare la regione alla quale desiderate aggiungere dati alle regioni di rollup. Nell'`regions`array dell'`replicationConfiguration`oggetto, specificate il codice regionale per ogni regione di rollup. Per un elenco dei codici regionali, consulta gli [endpoint di Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) nel *Riferimenti generali di AWS*.
+ Per specificare le impostazioni di conservazione dei dati, utilizza i `lifecycleConfiguration` parametri:
  + Per`transitions`, specifica il numero totale di giorni (`days`) in cui desideri archiviare gli oggetti S3 in una particolare classe `storageClass` di storage Amazon S3 ().
  + Per`expiration`, specifica il numero totale di giorni in cui desideri archiviare gli oggetti in Amazon S3, utilizzando qualsiasi classe di storage, dopo la creazione degli oggetti. Al termine di questo periodo di conservazione, gli oggetti scadono e Amazon S3 li elimina.

  Security Lake applica le impostazioni di conservazione specificate alla regione specificata nel `region` campo dell'oggetto. `configurations`

Ad esempio, il comando seguente crea un data lake con `ap-northeast-2` come regione di rollup. La `us-east-1` regione fornirà dati alla `ap-northeast-2` regione. Questo esempio stabilisce anche un periodo di scadenza di 10 giorni per gli oggetti che vengono aggiunti al data lake.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

Ora hai creato il tuo data lake. Utilizza il [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html)funzionamento dell'API Security Lake per verificare l'abilitazione di Security Lake e delle impostazioni del data lake in ogni regione.

Se si verificano problemi o errori nella creazione del data lake, è possibile visualizzare un elenco di eccezioni utilizzando l'[https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html)operazione e notificare agli utenti le eccezioni durante l'operazione. [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html) Per ulteriori informazioni, consulta [Risoluzione dei problemi relativi allo stato del data lake](securitylake-data-lake-troubleshoot.md).

## Passaggio 5: Visualizza e interroga i tuoi dati
<a name="explore-data-lake-programmatic"></a>

Dopo aver creato il tuo data lake, puoi utilizzare Amazon Athena o servizi simili per visualizzare e interrogare i tuoi dati da AWS Lake Formation database e tabelle. Quando abiliti Security Lake a livello di codice, le autorizzazioni di visualizzazione del database non vengono concesse automaticamente. L'account amministratore del data lake in AWS Lake Formation deve concedere `SELECT` le autorizzazioni al ruolo IAM che desideri utilizzare per interrogare i database e le tabelle pertinenti. Come minimo, il ruolo deve disporre delle autorizzazioni di *analista dei dati*. Per ulteriori informazioni sui livelli di autorizzazione, consulta [Lake Formation personas e IAM permissions reference](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html). *Per istruzioni sulla concessione `SELECT` delle autorizzazioni, consulta Concessione delle autorizzazioni di [Data Catalog utilizzando il metodo della risorsa denominata nella Guida per gli sviluppatori](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html).AWS Lake Formation *

## Fase 6: Creare abbonati
<a name="subscribe-data-programmatic"></a>

Dopo aver creato il data lake, puoi aggiungere abbonati per utilizzare i tuoi dati. Gli abbonati possono utilizzare i dati accedendo direttamente agli oggetti nei bucket Amazon S3 o interrogando il data lake. Per ulteriori informazioni sugli abbonati, consulta. [Gestione degli abbonati in Security Lake](subscriber-management.md)