翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Lakeのライフサイクル管理
<a name="lifecycle-management"></a>

Security Lake をカスタマイズして、任意の期間 AWS リージョン 、任意の にデータを保存できます。ライフサイクル管理は、さまざまなコンプライアンス要件への準拠に役立ちます。

## 保持管理
<a name="retention-management"></a>

データをコスト効率良く保存するように管理するには、Security Lake のライフサイクル設定を使用してデータの保持を設定できます。これらの保持設定は、希望する [Amazon S3 ストレージクラス](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html)と、Amazon S3 オブジェクトが別のストレージクラスに移行して有効期限が切れる前にそのストレージクラスに留まる期間を指定するのに役立ちます。

**警告**  
Security Lake コンソール、API、または CLI を使用して保持設定を管理することをお勧めします。これは、Amazon S3 サービスで Amazon S3 ライフサイクル設定を直接変更すると、メタデータが削除され、データにアクセスできなくなる可能性があるためです。

### Security Lake での保持設定に関する重要な考慮事項
<a name="security-lake-retention-setting-important-consideration"></a>

Security Lake でデータ保持を管理するときは、次の考慮事項を確認してください。
+ Security Lake は [Amazon S3 オブジェクトロック](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)をサポートしていません。データレイクバケットが作成されると、S3 Object Lock はデフォルトで無効になります。デフォルトの保持モードで S3 オブジェクトロックを有効にすると、正規化されたログデータのデータレイクへの配信が中断されます。
+ デフォルトの Amazon S3 ストレージ クラスは **S3 Standard**です。保持設定を設定しない場合、Security Lake は Amazon S3 ライフサイクル設定のデフォルト設定を使用します。データは **S3 Standard **ストレージクラスを使用して無期限に保存します。
+ Security Lake では、リージョンレベルで保持設定を指定します。たとえば、特定の のすべての S3 オブジェクトを、データレイクに書き込まれてから 30 日後に **S3 Standard-IA** ストレージクラスに移行する AWS リージョン ように設定できます。
+ 保持設定は S3 バケットに保存されているデータにのみ適用されますが、Apache Iceberg メタデータは保持ポリシーから除外されます。

### Security Lake を有効にする際の保存設定を行います。
<a name="configure-retention-settings"></a>

Security Lake にオンボーディングするときに、以下の手順に従って 1 つ以上のリージョンの保存設定を行います。

------
#### [ Console ]

1. Security Lake コンソール[https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)を開きます。

1. 「**ステップ 2: オンボーディングワークフローの目標を定義**」に到達したら、「**ストレージクラスの選択**」で「**移行を追加**」を選択します。次に、S3 オブジェクトを移行する Amazon S3 ストレージクラスを選択します。(リストされていないデフォルトのストレージ クラスは **S3 Standard**です。) また、そのストレージクラスの保持期間 (日数) を指定します。それ以降にオブジェクトを別のストレージクラスに移行するには、[**Add transition**] を選択し、次のストレージクラスと保存期間の設定を入力します。

1. S3 オブジェクトの有効期限を指定するには、[**Add transition**] を選択します。次に、[ストレージクラス] に [**期限切れ**] を選択します。保持期間には、オブジェクトが作成されてから、任意のストレージクラスを使用して Amazon S3 にオブジェクトを保存する合計日数を入力します。この期間が終了すると、オブジェクトは期限切れになり、Amazon S3 はそれらを削除します。

1. 終了したら、**次へ** を選択します。

変更は、以前のオンボーディングステップで Security Lake を有効にしたすべてのリージョンに適用されます。

------
#### [ API ]

Security Lake へのオンボーディング時に保持設定をプログラムで設定するには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)オペレーションを使用します。 AWS CLIを使用している場合は、[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html) コマンドを実行します。`lifecycleConfiguration` パラメータに必要な保持設定を次のように指定します。
+ `transitions`には、特定の Amazon S3 ストレージクラス（`storageClass`）に S3 オブジェクトを保存する合計日数 (`days`) を指定します。
+ `expiration`には、オブジェクトが作成されてから、任意のストレージクラスを使用して Amazon S3 にオブジェクトを保存する合計日数を指定します。この期間が終了すると、オブジェクトは期限切れになり、Amazon S3 はそれらを削除します。

Security Lake は、`configurations`オブジェクトの`region`フィールドで指定したリージョンに設定を適用します。

たとえば、次のコマンドは、 `us-east-1`リージョンで Security Lake を有効にします。このリージョンでは、オブジェクトは 365 日後に期限切れになり、オブジェクトは 60 日後に `ONEZONE_IA` S3 ストレージクラスに移行します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\\) の行継続文字を使用しています。

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"{{S3_MANAGED_KEY}}"},"region":"{{us-east-1}}","lifecycleConfiguration": {"expiration":{"days":{{365}}},"transitions":[{"days":{{60}},"storageClass":"{{ONEZONE_IA}}"}]}}]' \
--meta-store-manager-role-arn "{{arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default}}"
```

------

### 保持設定の更新
<a name="update-retention-settings"></a>

Security Lake を有効にしたら、以下の手順に従って 1 つ以上のリージョンの保存設定を更新してください。

------
#### [ Console ]

1. Security Lake コンソール[https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)を開きます。

1. ナビゲーションペインで、**[リージョン]** を選択します。

1. リージョンを選択し、[**編集**] を選択します。

1. **[ストレージクラスの選択]** セクションで、必要な設定を入力します。ストレージクラスで、S3オブジェクトを転送するAmazon S3ストレージクラスを選択します。(リストされていないデフォルトのストレージ クラスは **S3 Standard**です。) 保持期間には、そのストレージクラスに格納する日数を入力します。複数のトランジションを指定できます。

   S3 オブジェクトをいつ期限切れにするかも指定するには、ストレージクラスの [**期限切れ**] を選択します。次に、保持期間には、オブジェクトが作成されてから、任意のストレージクラスを使用して Amazon S3 にオブジェクトを保存する合計日数を入力します。この期間が終了すると、オブジェクトは期限切れになり、Amazon S3 はそれらを削除します。

1. 完了したら、**保存** を選択します。

------
#### [ API ]

プログラムで保持設定を更新するには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)オペレーションを使用します。を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html](https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html) コマンドを実行します。リクエストで、 `lifecycleConfiguration`パラメータを使用して新しい設定を指定します。
+ 移行設定を変更するには、`transitions`パラメータを使用して、特定の Amazon S3 ストレージクラス（`storageClass`）に S3 オブジェクトを保存する新しい期間を日数 (`days`) 単位で指定します。
+ 全体の保持期間を変更するには、`expiration`パラメータを使用して、オブジェクトが作成されてから、任意のストレージクラスを使用して S3 オブジェクトを保存する合計日数を指定します。この保持期間が終了すると、オブジェクトは期限切れになり、Amazon S3 はそれらを削除します。

Security Lake は、`configurations`オブジェクトの`region`フィールドで指定したリージョンに設定を適用します。

Security Lake API の `UpdateDataLake`オペレーションは、指定された項目またはレコードが存在しない場合は挿入を実行し、既に存在する場合は更新を実行する「アップサート」オペレーションとして機能します。Security Lake は、 AWS 暗号化ソリューションを使用して保管中のデータを安全に保存します。

現在 KMS を使用している更新呼び出しに含まれているリージョン`encryptionConfiguration`からキーを省略すると、そのリージョンの KMS キーはそのまま残りますが、キーを指定すると、同じリージョンでキーがリセットされます。

たとえば、次の AWS CLI コマンドは、 `us-east-1`リージョンのデータの有効期限設定とストレージ移行設定を更新します。このリージョンでは、オブジェクトは 500 日後に期限切れになり、オブジェクトは 30 日後に `ONEZONE_IA` S3 ストレージクラスに移行します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\\) の行継続文字を使用しています。

```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"{{S3_MANAGED_KEY}}"},"region":"{{us-east-1}}","lifecycleConfiguration": {"expiration":{"days":{{500}}},"transitions":[{"days":{{30}},"storageClass":"{{ONEZONE_IA}}"}]}}]' \
--meta-store-manager-role-arn "{{arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default}}"
```

------

## ロールアップリージョン
<a name="configure-rollup-region"></a>

ロールアップリージョンは、1 つ以上の寄与リージョンのデータを統合します。これは、地域のデータ コンプライアンス要件に準拠するのに役立ちます。

ロールアップリージョンの設定手順については、「」を参照してください[Security Lake でのロールアップリージョンの設定](add-rollup-region.md)。