翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Security Lake の開始方法
このセクションのトピックでは、Security Lake を有効にして使用を開始する方法について説明します。データレイク設定を設定し、ログ収集を設定する方法について説明します。Security Lake を有効にして、 AWS マネジメントコンソール またはプログラムで使用できます。使用するいずれの方法でも、まず AWS アカウント と管理ユーザーを設定する必要があります。それ以降の手順は、アクセス方法によって異なります。
Security Lake コンソールは、開始するための合理化されたプロセスを提供し、データレイクの作成に必要なすべての AWS Identity and Access Management (IAM) ロールを作成します。
プログラムで Security Lake にアクセスする場合、データレイクを設定するには、一部の AWS Identity and Access Management (IAM) ロールを作成する必要があります。
**重要**
Security Lake は、Security Lake を有効にする前に生成された既存の AWS raw ログソースイベントのバックフィルをサポートしていません。
**Topics**
+ [のセットアップ AWS アカウント](initial-account-setup.md)
+ [Security Lake を有効にする際の考慮事項](enable-securitylake-considerations.md)
+ [コンソールを使用した Security Lake の有効化](get-started-console.md)
+ [Security Lake をプログラムで有効にする](get-started-programmatic.md)
# のセットアップ AWS アカウント
Amazon Security Lake を有効にする前に、 が必要です AWS アカウント。がない場合は AWS アカウント、次の手順を実行して作成します。
## にサインアップする AWS アカウント
がない場合は AWS アカウント、次の手順を実行して作成します。
**にサインアップするには AWS アカウント**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。
1. オンラインの手順に従います。
サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。
にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。[https://aws.amazon.com/](https://aws.amazon.com/) の **[マイアカウント]** をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。
## 管理アクセスを持つユーザーを作成する
にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように AWS アカウントのルートユーザー、 を保護し AWS IAM アイデンティティセンター、 を有効にして管理ユーザーを作成します。
**を保護する AWS アカウントのルートユーザー**
1. **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者[AWS マネジメントコンソール](https://console.aws.amazon.com/)として にサインインします。次のページでパスワードを入力します。
ルートユーザーを使用してサインインする方法については、「*AWS サインイン ユーザーガイド*」の「[ルートユーザーとしてサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)」を参照してください。
1. ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、*IAM* [ユーザーガイドの AWS アカウント 「ルートユーザー (コンソール) の仮想 MFA デバイス](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)を有効にする」を参照してください。
**管理アクセスを持つユーザーを作成する**
1. IAM アイデンティティセンターを有効にします。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[AWS IAM アイデンティティセンターの有効化](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。
1. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、*AWS IAM アイデンティティセンター 「 ユーザーガイド*」の[「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)」を参照してください。
**管理アクセス権を持つユーザーとしてサインインする**
+ IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、*AWS サインイン 「 ユーザーガイド*[」の AWS 「 アクセスポータルにサインイン](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)する」を参照してください。
**追加のユーザーにアクセス権を割り当てる**
1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)」を参照してください。
1. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[グループを追加する](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)」を参照してください。
## Security Lake を有効にするために使用するアカウントを特定してください。
Security Lake は と統合 AWS Organizations して、組織内の複数のアカウントにわたるログ収集を管理します。Organizations に Security Lake を使用する場合は、組織の管理アカウントを使用して委任された Security Lake 管理者を指定する必要があります。次に、委任された管理者の認証情報を使用して Security Lake を有効にし、メンバーアカウントを追加し、そのメンバーの Security Lake を有効にする必要があります。詳細については、「[Security Lake AWS Organizationsでの での複数のアカウントの管理](multi-account-management.md)」を参照してください。
また、Organizations の一部ではないスタンドアロンアカウントでは、組織統合なしで Security Lake を使用することもできます。
# Security Lake を有効にする際の考慮事項
**Security Lake を有効にする前に、以下の点を考慮してください**。
+ Security Lake はクロスリージョン管理機能を提供します。つまり、データ レイクを作成し、 AWS リージョン全体でログ収集を構成できます。[サポートされているすべてのリージョン](supported-regions.md)で Security Lake を有効にするには、サポートされている任意のリージョナルエンドポイントを選択できます。[ロールアップリージョン](add-rollup-region.md)を追加して、複数のリージョンのデータを 1 つのリージョンに集約することもできます。
+ サポートされているすべての AWS リージョンで Security Lake をアクティブ化することをお勧めします。このように設定することで、Security Lake はアクティブに使用されていないリージョンでも、許可されていないアクティビティや異常なアクティビティに関連するデータを収集できます。Security Lake がサポートされているすべてのリージョンでアクティブになっていない場合、Security Lake は複数のリージョンで使用している他のサービスからデータを収集する機能は低下します。
+ Security Lake を任意のリージョンで初めて有効にすると、アカウントに次のサービスにリンクされたロールが作成されます。
+ [AWSServiceRoleForSecurityLake](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html): このロールには、 AWS のサービス ユーザーに代わって他の を呼び出し、セキュリティデータレイクを運用するアクセス許可が含まれています。Security Lake [を委任されたSecurity Lake管理者](multi-account-management.md#delegated-admin-important)として有効にすると、Security Lake は組織内の各メンバーアカウントに[サービスリンクロール](using-service-linked-roles.md)を作成します。
+ [AWSServiceRoleForSecurityLakeResourceManagement](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html): Security Lake は、このロールを使用して継続的なモニタリングとパフォーマンスの向上を実行し、レイテンシーとコストを削減する可能性があります。このサービスリンクロールは、ロールを引き受ける上で `resource-management.securitylake.amazonaws.com` サービスを信頼します。このサービスロールを有効にすると、Lake Formation へのアクセスも許可されます。
これが 2025 年 4 月 17 日より前に Security Lake を有効にした既存のアカウントにどのように影響するかについては、「」を参照してください[Update for existing accounts](multi-account-management.md#security-lake-existing-account-resource-management-slr)。
サービスにリンクされたロールの仕組みについては、*IAM* [ユーザーガイドの「サービスにリンクされたロールのアクセス許可の使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)」を参照してください。
+ Security Lake は Amazon S3 Object Lock をサポートしていません。データレイクバケットが作成されると、S3 Object Lock はデフォルトで無効になります。バケットで Object Lock を有効にすると、データレイクへの正規化されたログデータの配信が中断されます。
+ リージョンで Security Lake を再度有効にする場合は、以前の Security Lake の使用からリージョンの対応する AWS Glue データベースを削除する必要があります。
# コンソールを使用した Security Lake の有効化
このチュートリアルでは、 を使用して Security Lake を有効にして設定する方法について説明します AWS マネジメントコンソール。の一部として AWS マネジメントコンソール、Security Lake コンソールは開始するための合理化されたプロセスを提供し、データレイクの作成に必要なすべての AWS Identity and Access Management (IAM) ロールを作成します。
## ステップ 1: ソースを設定する
Security Lake は、さまざまなソースから、 AWS アカウント および AWS リージョン全体からログとイベントデータを収集します。以下の手順に従って、Security Lake に収集させたいデータを特定してください。これらの手順は、ネイティブにサポートされている AWS のサービス をソースとして追加する場合にのみ使用できます。カスタムソースの追加については、[Security Lake のカスタムソースからデータを収集する](custom-sources.md) を参照してください。
**ログソースコレクションを設定するには**
1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、リージョンを選択します。Security Lake は、オンボーディング中に現在のリージョンと他のリージョンで有効にできます。
1. **[開始する]** を選択します。
1. **ログソースとイベントソースの選択** では、**ソースの選択**に次のいずれかのオプションを選択します。
1. **デフォルトの AWS ソースの取り込み** – 推奨オプションを選択すると、CloudTrail - S3 データイベント および AWS WAF はデフォルトでは取り込みに含まれません。これは、両方のソースタイプを大量に取り込むと、使用コストに大きな影響を与える可能性があるためです。これらのソースを取り込むには、まず**特定の AWS ソースの取り込み**オプションを選択し、次に**ログとイベントソースリストからこれらのソース**を選択します。
1. **特定の AWS ソースを取り込む** – このオプションでは、取り込む 1 つ以上のログソースとイベントソースを選択できます。
**注記**
アカウントで Security Lake を初めて有効にすると、選択したすべてのログソースとイベントソースが 15 日間の無料試用期間に含まれます。使用情報の詳細については、「[使用状況と推定コストの確認](reviewing-usage-costs.md)」を参照してください。
1. **バージョン** で、ログソースとイベントソースを取り込むデータソースのバージョンを選択します。バージョンの詳細については、「[OCSFソースの識別](open-cybersecurity-schema-framework.md#ocsf-source-identification)」を参照してください。
**重要**
指定されたリージョンで新しいバージョンの AWS ログソースを有効にするために必要なロールアクセス許可がない場合は、Security Lake 管理者にお問い合わせください。詳細については、[「ロールのアクセス許可の更新](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html#update-role-permissions)」を参照してください。
1. **[リージョンの選択]** では、サポートされているすべてのリージョンからログとイベント ソースを取り込むか、特定のリージョンから取り込むかを選択します。[**特定のリージョン**] を選択した場合は、データを取り込む地域を選択します。
1. **Select アカウント**では、次の手順を実行します。
1. Security Lake が組織内のすべての**アカウント**または**特定のアカウント**からデータを取り込むかどうかを選択します。これらのアカウントでは、この設定時に選択した設定で Security Lake が有効になります。
1. デフォルトでは、**新しい組織アカウントの Security Lake を自動的に有効にする**チェックボックスが選択されています。これらの自動有効化設定は、組織に参加する AWS アカウント ときに に適用されます。自動有効化の設定はいつでも編集できます。
**注記**
自動有効化設定は、既存のアカウントではなく、組織に参加するアカウントにのみ適用されます。詳細については、「[コンソールでの新しいアカウント設定の編集](multi-account-management.md#security-lake-new-account-auto-enable)」を参照してください。
1. **サービスアクセス**には、新しい IAM ロールを作成するか、ソースからデータを収集してデータレイクに追加する権限を Security Lake に付与する既存の IAM ロールを使用します。Security Lake を有効にしたすべてのリージョンで 1 つのロールが使用されます。
1. [**次へ**] を選択します。
## ステップ 2: ストレージ設定とロールアップリージョンを定義する (オプション)
Security Lake にデータを保存する Amazon S3 ストレージクラスとその期間を指定できます。ロールアップリージョンを指定して、複数のリージョンのデータを統合することもできます。これらはオプションのステップです。詳細については、「[Security Lakeのライフサイクル管理](lifecycle-management.md)」を参照してください。
**ストレージとロールアップの設定を構成するには**
1. 複数の対象リージョンのデータを 1 つのロールアップリージョンに統合する場合は、[**ロールアップリージョンの選択**] で [**ロールアップリージョンの追加**] を選択します。ロールアップリージョンとそれに寄与するリージョンを指定します。1 つ以上のロールアップリージョンを設定できます。
1. **[ストレージクラスを選択]** では、Amazon S3 ストレージクラスを選択します。デフォルトのストレージクラスは、**S3 Standard**です。それ以降にデータを別のストレージクラスに移行する場合は保持期間 (日単位) を指定し、[**Add transition**] を選択します。保持期間が終了すると、オブジェクトは期限切れになり、Amazon S3 はそれらを削除します。Amazon S3 ストレージ クラスと保持の詳細については、「[保持管理](lifecycle-management.md#retention-management)」を参照してください。
1. 最初のステップで**サービスアクセス**用にロールアップリージョンを選択した場合は、新しい IAM ロールを作成するか、Security Lake に複数のリージョンにデータを複製する権限を付与する既存の IAM ロールを使用してください。
1. [**次へ**] を選択します。
## ステップ 3: データレイクを確認して作成する
Security Lake がデータを収集するソース、ロールアップ地域、および保持設定を確認してください。次に、データレイクを作成します。
**データレイクを確認して作成するには**
1. Security Lake を有効にする際には、**ログとイベントのソース**、**リージョン**、**ロールアップリージョン**、**ストレージクラスを確認してください**。
1. **[作成]** を選択します。
データレイクを作成すると、Security Lake コンソールに **Summary** ページが表示されます。このページでは、**リージョン**と**ロールアップリージョン**の数、サブスクライバーに関する情報、および**問題**の概要を示します。
**問題**メニューには、Security Lake サービスまたは Amazon S3 バケットに影響を与えている過去 14 日間の問題の概要が表示されます。各問題の詳細については、Security Lake コンソール**の問題**ページを参照してください。
## ステップ 4: 独自のデータを表示してクエリする
データレイクを作成したら、Amazon Athena または同様のサービスを使用して、 AWS Lake Formation データベースやテーブルからデータを表示およびクエリできます。コンソールを使用すると、Security Lake を有効にするために使用するロールに、Security Lake によってデータベース表示アクセス許可が自動的に付与されます。ロールには少なくとも *Data Analyst* 権限が必要です。権限レベルの詳細については、「[Lake Formation ペルソナ」と「IAM 権限リファレンス](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html)」を参照してください。`SELECT`権限を付与する手順については、*『AWS Lake Formation 開発者ガイド』*の「[名前付きリソースメソッドを使用した Data Catalog 権限の付与](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html)」を参照してください。
## ステップ 5: サブスクライバーを作成する
データレイクを作成したら、データを使用するサブスクライバーを追加できます。サブスクライバーは、Amazon S3 バケット内のオブジェクトに直接アクセスするか、データレイクにクエリを実行することでデータを使用できます。サブスクライバーの詳細については、「[Security Lake でのサブスクライバー管理](subscriber-management.md)」を参照してください。
# Security Lake をプログラムで有効にする
このチュートリアルでは、Security Lake をプログラムで有効にして使用を開始する方法について説明します。Amazon Security Lake API は、Security Lake アカウント、データ、リソースへの包括的でプログラムによるアクセスを提供します。または、 [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)または [AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html) などの AWS コマンドラインツール、または [AWS SDKs](https://aws.amazon.com/developertools/) を使用して Security Lake にアクセスすることもできます。
## ステップ 1: IAM ロールを作成する
プログラムで Security Lake にアクセスする場合、データレイクを設定するには、一部の AWS Identity and Access Management (IAM) ロールを作成する必要があります。
**重要**
Security Lake コンソールを使用して Security Lake を有効にして設定する場合は、これらの IAM ロールを作成する必要はありません。
以下のアクションを 1 つ以上実行する場合は、IAM でロールを作成する必要があります (リンクを選択すると、各アクションの IAM ロールに関する詳細が表示されます)。
+ [カスタム ソースの作成](custom-sources.md#iam-roles-custom-sources) – カスタム ソースは、Security Lake にデータを送信する、ネイティブにサポートされている AWS のサービス 以外のソースです。
+ [データアクセス権限を持つサブスクライバーの作成](prereqs-creating-subscriber.md#iam-role-subscriber) — 権限を持つサブスクライバーは、データレイクから S3 オブジェクトに直接アクセスできます。
+ [クエリアクセス権を持つサブスクライバーの作成](prereqs-query-subscriber.md#iam-role-query-subscriber) — 権限を持つサブスクライバーは、Amazon Athenaなどのサービスを使用して Security Lake からデータをクエリできます。
+ [ロールアップ リージョンの構成](add-rollup-region.md#iam-role-replication) – ロールアップ リージョンは、複数の AWS リージョンからのデータを統合します。
前述のロールを作成したら、Security Lake を有効にするために使用しているロールに [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS 管理ポリシーをアタッチします。このポリシーにより、プリンシパルが Security Lake にオンボーディングし、Security Lake のすべてのアクションにアクセスすることが許可される、管理者許可が付与されます。
[https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS マネージドポリシーをアタッチして、Security Lake からデータレイクを作成するか、データをクエリします。このポリシーは、Security Lake がソースから受信する raw ログおよびイベントデータの抽出、変換、ロード (ETL) ジョブをサポートするために必要です。
## ステップ 2: Amazon Security Lake を有効にする
Security Lake をプログラムで有効にするには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)オペレーションを使用します。を使用している場合は AWS CLI、[create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html) コマンドを実行します。リクエストでは、`configurations`オブジェクトの`region`フィールドを使用して、Security Lake を有効にするリージョンのリージョンコードを指定します。リージョンコードのリストについては、「*AWS 全般のリファレンス*」の[「Amazon Security Lake エンドポイント」](https://docs.aws.amazon.com/general/latest/gr/securitylake.html)を参照してください。
**例 1**
次のコマンド例では、 `us-east-1`および `us-east-2`リージョンで Security Lake を有効にします。どちらのリージョンでも、このデータレイクは Amazon S3 マネージドキーで暗号化されます。オブジェクトは 365 日後に期限切れになり、オブジェクトは 60 日後に `ONEZONE_IA` S3 ストレージクラスに移行します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```
**例 2**
次のコマンド例では、 `us-east-2`リージョンで Security Lake を有効にします。このデータレイクは、 AWS Key Management Service () で作成されたカスタマーマネージドキーで暗号化されますAWS KMS。オブジェクトは 500 日後に期限切れになり、オブジェクトは 30 日後に `GLACIER` S3 ストレージクラスに移行します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```
**注記**
Security Lake を既に有効にしていて、リージョンまたはソースの設定を更新する場合は、 [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)オペレーションを使用するか、 を使用する場合は AWS CLI[update-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) コマンドを使用します。`CreateDataLake` オペレーションを使用しないでください。
## ステップ 3: ソースを設定する
Security Lake は、さまざまなソースから、 AWS アカウント および AWS リージョン全体からログとイベントデータを収集します。以下の手順に従って、Security Lake に収集させたいデータを特定してください。これらの手順は、ネイティブにサポートされている AWS のサービス をソースとして追加する場合にのみ使用できます。カスタムソースの追加については、[Security Lake のカスタムソースからデータを収集する](custom-sources.md) を参照してください。
1 つ以上のコレクションソースをプログラムで定義するには、Security Lake API の [CreateAWSLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateAwsLogSource.html) オペレーションを使用してください。ソースごとに、`sourceName`パラメータに地域固有の値を指定します。オプションで追加のパラメーターを使用して、ソースの範囲を特定のアカウント (`accounts`) または特定のバージョン (`sourceVersion`) に制限します。
**注記**
リクエストにオプションのパラメータを含めない場合、Security Lake は、除外するパラメータに応じて、指定されたソースのすべてのアカウントまたはすべてのバージョンにリクエストを適用します。たとえば、ある組織の委任された Security Lake 管理者が`accounts`パラメータを除外した場合、Security Lake はリクエストを組織内のすべてのアカウントに適用します。同様に、`sourceVersion`パラメータを除外すると、Security Lake は指定されたソースのすべてのバージョンにリクエストを適用します。
Security Lake を有効にしていないリージョンをリクエストで指定すると、エラーが発生します。このエラーに対処するには、`regions`アレイに Security Lake を有効にしたリージョンのみを指定するようにしてください。または、リージョンで Security Lake を有効にしてからリクエストを再度送信することもできます。
アカウントで Security Lake を初めて有効にすると、選択したすべてのログソースとイベントソースが 15 日間の無料試用期間に含まれます。使用情報の詳細については、「[使用状況と推定コストの確認](reviewing-usage-costs.md)」を参照してください。
## ステップ 4: ストレージ設定とロールアップリージョンを設定する (オプション)
Security Lake にデータを保存する Amazon S3 ストレージクラスとその期間を指定できます。ロールアップリージョンを指定して、複数のリージョンのデータを統合することもできます。これらはオプションのステップです。詳細については、「[Security Lakeのライフサイクル管理](lifecycle-management.md)」を参照してください。
Security Lake を有効にするときにプログラムでターゲット目標を定義するには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)オペレーションを使用します。Security Lake を既に有効にしていて、ターゲット目標を定義する場合は、 [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)オペレーションではなく `CreateDataLake`オペレーションを使用します。
いずれの操作でも、サポートされているパラメータを使用して必要な設定を指定します。
+ ロールアップリージョンを指定するには、 `region`フィールドを使用して、ロールアップリージョンにデータを提供するリージョンを指定します。`replicationConfiguration` オブジェクトの`regions`配列で、各ロールアップリージョンのリージョンコードを指定します。リージョンコードのリストについては、「*AWS 全般のリファレンス*」の[「Amazon Security Lake エンドポイント」](https://docs.aws.amazon.com/general/latest/gr/securitylake.html)を参照してください。
+ データの保存設定を指定するには、`lifecycleConfiguration`パラメータを使用します。
+ `transitions`には、特定の Amazon S3 ストレージクラス(`storageClass`)に S3 オブジェクトを保存する合計日数 (`days`) を指定します。
+ `expiration`には、オブジェクトが作成されてから、任意のストレージクラスを使用して Amazon S3 にオブジェクトを保存する合計日数を指定します。この保持期間が終了すると、オブジェクトは期限切れになり、Amazon S3 はそれらを削除します。
Security Lake は、指定された保持設定を `configurations` オブジェクトの `region` フィールドで指定したリージョンに適用します。
たとえば、次のコマンドは、ロールアップリージョン`ap-northeast-2`として を使用してデータレイクを作成します。`us-east-1` リージョンは、`ap-northeast-2`リージョンにデータを提供します。この例では、データレイクに追加されたオブジェクトの有効期限を 10 日間設定します。
```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```
これで、データレイクが作成されました。Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html)オペレーションを使用して、各リージョンで Security Lake とデータレイク設定が有効になっていることを確認します。
データレイクの作成時に問題やエラーが発生した場合は、 [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html)オペレーションを使用して例外のリストを表示し、 [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html) オペレーションで例外をユーザーに通知できます。詳細については、「[データレイクステータスのトラブルシューティング](securitylake-data-lake-troubleshoot.md)」を参照してください。
## ステップ 5: 独自のデータを表示してクエリする
データレイクを作成したら、Amazon Athena または同様のサービスを使用して、 AWS Lake Formation データベースやテーブルからデータを表示およびクエリできます。Security Lake をプログラムで有効にすると、データベースビューのアクセス許可は自動的に付与されません。のデータレイク管理者アカウントは、関連するデータベースとテーブルのクエリに使用する IAM ロールにアクセス`SELECT`許可を付与 AWS Lake Formation する必要があります。ロールには少なくとも *Data Analyst* 権限が必要です。権限レベルの詳細については、「[Lake Formation ペルソナ」と「IAM 権限リファレンス](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html)」を参照してください。`SELECT`権限を付与する手順については、*『AWS Lake Formation 開発者ガイド』*の「[名前付きリソースメソッドを使用した Data Catalog 権限の付与](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html)」を参照してください。
## ステップ 6: サブスクライバーを作成する
データレイクを作成したら、データを使用するサブスクライバーを追加できます。サブスクライバーは、Amazon S3 バケット内のオブジェクトに直接アクセスするか、データレイクにクエリを実行することでデータを使用できます。サブスクライバーの詳細については、「[Security Lake でのサブスクライバー管理](subscriber-management.md)」を参照してください。