As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criação de um assinante com acesso a consultas no Security Lake
<a name="create-query-subscriber-procedures"></a>

Escolha seu método preferido para criar um assinante com acesso à consulta no atual Região da AWS. Um assinante só pode consultar dados do local em Região da AWS que ele foi criado. Para criar um assinante, você precisará ter o Conta da AWS ID e o ID externo do assinante. O ID externo é um identificador exclusivo que o assinante fornece a você. Para obter mais informações sobre o externo IDs, consulte [Como usar um ID externo ao conceder acesso aos seus AWS recursos a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) no *Guia do usuário do IAM*.

**nota**  
O Security Lake não é compatível com a versão 1 do compartilhamento de dados entre contas do Lake Formation. Você deve atualizar o compartilhamento de dados entre contas do Lake Formation para a versão 2 ou versão 3. Para ver as etapas para atualizar **as configurações da versão entre contas** por meio do AWS Lake Formation console ou da AWS CLI, consulte [Para habilitar a nova versão](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html#version-update-steps) no Guia do *AWS Lake Formation desenvolvedor*.

------
#### [ Console ]

1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Faça login na conta do administrador delegado.

1. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja criar o assinante.

1. No painel de navegação, escolha **Assinantes**.

1. Na página **Assinantes**, escolha **Criar assinante**.

1. Para obter **Detalhes do assinante**, insira um **Nome de assinante** e uma **Descrição** opcional.

   A **região** é preenchida automaticamente conforme sua seleção atual Região da AWS e não pode ser modificada.

1. Em **Fontes de log e eventos**, escolha quais fontes você deseja que o Security Lake inclua ao retornar os resultados da consulta.

1. Em **Método de acesso a dados**, escolha **Lake Formation** para criar acesso de consulta para o assinante.

1. [Para **as credenciais do assinante**, forneça o ID do assinante e o Conta da AWS ID externo.](https://docs.aws.amazon.com//security-lake/latest/userguide/prereqs-creating-subscriber.html#subscriber-external-id)

1. (Opcional) Em **Tags**, insira até 50 tags para atribuir ao assinante.

   Uma *tag* é um rótulo que você pode definir e atribuir a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudar você a identificar, categorizar e gerenciar recursos de diferentes maneiras. Para saber mais, consulte [Marcando recursos do Security Lake](tagging-resources.md).

1. Escolha **Criar**.

------
#### [ API ]

Para criar um assinante com acesso à consulta de forma programática, use a [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html)operação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando [create-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-subscriber.html). 

Em sua solicitação, use esses parâmetros para especificar as seguintes configurações para o assinante:
+ Em `accessTypes`, especifique `LAKEFORMATION`.
+ Para `sources`, especifique cada fonte que você deseja que o Security Lake inclua ao retornar os resultados da consulta.
+ Para`subscriberIdentity`, especifique a AWS identidade e a ID externa que o assinante usa para consultar os dados de origem.

O exemplo a seguir cria um assinante com acesso de consulta na AWS região atual para a identidade de assinante especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\\)” para melhorar a legibilidade.

```
$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": {{129345678912}},"externalId": {{123456789012}}} \
--sources [{"awsLogSource": {"sourceName": {{VPC_FLOW,}} "sourceVersion": {{2.0}}}}] \
--subscriber-name {{subscriber name}} \
--access-types {{LAKEFORMATION}}
```

------

## Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)
<a name="grant-query-access-subscriber"></a>

O Security Lake usa o compartilhamento de tabelas entre contas do Lake Formation para oferecer suporte ao acesso de consultas para assinantes. Quando você cria um assinante com acesso de consulta no console do Security Lake, na API ou AWS CLI, o Security Lake compartilha informações sobre as tabelas relevantes do Lake Formation com o assinante criando um [compartilhamento de recursos](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-terms-and-concepts.html#term-resource-share) em AWS Resource Access Manager ()AWS RAM.

Quando você faz certos tipos de edições em um assinante com acesso de consulta, o Security Lake cria um novo compartilhamento de recursos. Para obter mais informações, consulte [Editando um assinante com acesso à consulta no Security Lake](editing-query-access-subscriber.md).

O assinante deve seguir estas etapas para consumir dados de suas tabelas do Lake Formation:

1. **Aceitar o compartilhamento de recursos**: o assinante deve aceitar o compartilhamento de recursos que tem o `resourceShareArn` e `resourceShareName` que é gerado quando você cria ou edita o assinante. Escolha um dos seguintes métodos:
   + Para console e AWS CLI, consulte [Aceitar um convite de compartilhamento de recursos de AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).
   + Para API, invoque a [GetResourceShareInvitations](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourceShareInvitations.html)API. Filtre por `resourceShareArn` e `resourceShareName` para encontrar o compartilhamento de recursos correto. Aceite o convite com a [AcceptResourceShareInvitation](https://docs.aws.amazon.com/ram/latest/APIReference/API_AcceptResourceShareInvitation.html)API.

   O convite de compartilhamento de recursos expira em 12 horas, então você deve validar e aceitar o convite em 12 horas. Se o convite expirar, você continuará a vê-lo em um estado `PENDING`, mas aceitá-lo não lhe dará acesso aos recursos compartilhados. Depois de 12 horas, exclua o assinante do Lake Formation e recrie o assinante para receber um novo convite de compartilhamento de recursos.

1. **Criar um link de recurso para o banco de dados compartilhado** — O assinante deve criar um link de recurso para o banco de dados compartilhado do Lake Formation AWS Lake Formation (se estiver usando o console) ou AWS Glue (se estiver usando API/AWS CLI). Esse link de recurso direciona a conta do assinante para o banco de dados compartilhado. Escolha um dos seguintes métodos:
   + Para o console e AWS CLI, [consulte Criação de um link de recurso para um banco de dados compartilhado do Catálogo de Dados.](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-database.html) no *Guia do AWS Lake Formation desenvolvedor*.
   + Recomendamos que os assinantes também criem um banco de dados exclusivo com a [CreateDatabase](https://docs.aws.amazon.com/glue/latest/webapi/API_CreateDatabase.html)API para armazenar tabelas de links de recursos.

1. **Consulte as tabelas compartilhadas**: serviços como o Amazon Athena podem consultar as tabelas diretamente, e os novos dados que o Security Lake coleta estão automaticamente disponíveis para consulta. As consultas são executadas no assinante e os custos incorridos com as consultas são cobrados do assinante. Conta da AWS Você pode controlar o acesso de leitura aos recursos em sua própria conta do Security Lake.

*Para obter mais informações sobre a concessão de permissões entre contas, consulte [Compartilhamento de dados entre contas no Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html) no Guia do desenvolvedor do AWS Lake Formation *.