As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Conceitos básicos do Amazon Security Lake
<a name="getting-started"></a>

Os tópicos desta seção explicam como ativar e começar a usar o Security Lake. Você aprenderá como definir suas configurações de data lake e configurar a coleta de registros. Você pode ativar e usar o Security Lake por meio do Console de gerenciamento da AWS ou programaticamente. Seja qual for o método usado, você deve primeiro configurar um Conta da AWS e um usuário administrativo. As etapas posteriores diferem com base no método de acesso. 

O console do Security Lake oferece um processo simplificado para começar e cria todas as funções AWS Identity and Access Management (IAM) necessárias para criar seu data lake.

Se você acessar o Security Lake programaticamente, é necessário criar algumas funções AWS Identity and Access Management (IAM) para configurar seu data lake.

**Importante**  
O Security Lake não oferece suporte ao preenchimento de eventos de origem de log AWS bruta existentes que foram gerados antes da ativação do Security Lake.

**Topics**
+ [Configurando seu Conta da AWS](initial-account-setup.md)
+ [Considerações ao ativar o Security Lake](enable-securitylake-considerations.md)
+ [Ativando o Security Lake usando o console](get-started-console.md)
+ [Ativando o Security Lake programaticamente](get-started-programmatic.md)

# Configurando seu Conta da AWS
<a name="initial-account-setup"></a>

Antes de habilitar o Amazon Security Lake, você deve ter um Conta da AWS. Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.

## Inscreva-se para um Conta da AWS
<a name="sign-up-for-aws"></a>

Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.

**Para se inscrever em um Conta da AWS**

1. Abra a [https://portal.aws.amazon.com/billing/inscrição.](https://portal.aws.amazon.com/billing/signup)

1. Siga as instruções online.

   Parte do procedimento de inscrição envolve receber uma chamada telefônica ou uma mensagem de texto e inserir um código de verificação pelo teclado do telefone.

   Quando você se inscreve em um Conta da AWS, um *Usuário raiz da conta da AWS*é criado. O usuário-raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar [tarefas que exigem acesso de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, você pode visualizar a atividade atual da sua conta e gerenciar sua conta acessando [https://aws.amazon.com/e](https://aws.amazon.com/) escolhendo **Minha conta**.

## Criar um usuário com acesso administrativo
<a name="create-an-admin"></a>

Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS Centro de Identidade do AWS IAM, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.

**Proteja seu Usuário raiz da conta da AWS**

1.  Faça login [Console de gerenciamento da AWS](https://console.aws.amazon.com/)como proprietário da conta escolhendo **Usuário raiz** e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha.

   Para obter ajuda ao fazer login usando o usuário-raiz, consulte [Fazer login como usuário-raiz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) no *Guia do usuário do Início de Sessão da AWS *.

1. Habilite a autenticação multifator (MFA) para o usuário-raiz.

   Para obter instruções, consulte [Habilitar um dispositivo de MFA virtual para seu usuário Conta da AWS raiz (console) no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) do *usuário do IAM*.

**Criar um usuário com acesso administrativo**

1. Habilita o Centro de Identidade do IAM.

   Para obter instruções, consulte [Habilitar o Centro de Identidade do AWS IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

1. No Centro de Identidade do IAM, conceda o acesso administrativo a um usuário.

   Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte [Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) no *Guia Centro de Identidade do AWS IAM do usuário*.

**Iniciar sessão como o usuário com acesso administrativo**
+ Para fazer login com o seu usuário do Centro de Identidade do IAM, use o URL de login enviado ao seu endereço de e-mail quando o usuário do Centro de Identidade do IAM foi criado.

  Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como [fazer login no portal de AWS acesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) no *Guia Início de Sessão da AWS do usuário*.

**Atribuir acesso a usuários adicionais**

1. No Centro de Identidade do IAM, crie um conjunto de permissões que siga as práticas recomendadas de aplicação de permissões com privilégio mínimo.

   Para obter instruções, consulte [Criar um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

1. Atribua usuários a um grupo e, em seguida, atribua o acesso de logon único ao grupo.

   Para obter instruções, consulte [Adicionar grupos](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

## Identifique a conta que você usará para ativar o Security Lake
<a name="prerequisite-organizations"></a>

O Security Lake se integra AWS Organizations para gerenciar a coleta de registros em várias contas em uma organização. Se deseja usar o Security Lake em uma organização, a conta de gerenciamento do Organizations deve designar um administrador delegado do Security Lake. Em seguida, você deve usar as credenciais do administrador delegado para ativar o Security Lake, adicionar contas de membros e ativar o Security Lake para elas. Para obter mais informações, consulte [Gerenciando várias contas com o AWS Organizations Security Lake](multi-account-management.md).

Como alternativa, você pode usar o Security Lake sem a integração do Organizations para uma conta autônoma que não faz parte de uma organização.

# Considerações ao ativar o Security Lake
<a name="enable-securitylake-considerations"></a>

**Antes de habilitar o Security Lake, considere o seguinte**:
+ O Security Lake fornece recursos de gerenciamento entre regiões, o que significa que você pode criar seu data lake e configurar a coleta de registros nas Regiões da AWS. Para habilitar o Security Lake em [todas as regiões suportadas](supported-regions.md), você pode escolher qualquer endpoint regional compatível. Você também pode adicionar [Regiões de rollup](add-rollup-region.md) para agregar dados de várias regiões em uma única região.
+ Recomendamos habilitar o Security Lake em todas as Regiões da AWS suportadas. Se você fizer isso, o Security Lake poderá coletar dados conectados a atividades não autorizadas ou incomuns, mesmo em regiões que você não usa ativamente. Se o Security Lake não estiver ativado em todas as regiões suportadas, sua capacidade de coletar dados de outros serviços que você usa em várias regiões será reduzida.
+ Quando você ativa o Security Lake pela primeira vez em qualquer região, ele cria as seguintes funções vinculadas ao serviço para sua conta:
  + [AWSServiceRoleForSecurityLake](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html): essa função inclui as permissões para ligar para outras Serviços da AWS pessoas em seu nome e operar o data lake de segurança. Se você habilitar o Security Lake como [administrador delegado do Security Lake](multi-account-management.md#delegated-admin-important), o Security Lake criará a [função vinculada a serviços](using-service-linked-roles.md) em cada conta membro da organização.
  + [AWSServiceRoleForSecurityLakeResourceManagement](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html): O Security Lake usa essa função para realizar melhorias contínuas de monitoramento e desempenho, o que pode reduzir potencialmente a latência e os custos. Essa função vinculada a serviços confia no serviço `resource-management.securitylake.amazonaws.com` para assumir a função. Habilitar essa função de serviço também concederá a ela acesso ao Lake Formation. 

    Para obter informações sobre como isso afeta as contas existentes que ativaram o Security Lake antes de 17 de abril de 2025, consulte[Update for existing accounts](multi-account-management.md#security-lake-existing-account-resource-management-slr).

  *Para obter informações sobre como as funções vinculadas ao serviço funcionam, consulte Como [usar permissões de funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) no Guia do usuário do IAM.*
+ O Security Lake não oferece suporte ao bloqueio de objetos do Amazon S3. Quando os buckets do data lake são criados, o bloqueio de objetos do S3 é desabilitado por padrão. Habilitar o bloqueio de objetos em um bucket interrompe a entrega de dados de log normalizados para o data lake.
+ Se você estiver reativando o Security Lake em uma região, deverá excluir o AWS Glue banco de dados correspondente da região do seu uso anterior do Security Lake.

# Ativando o Security Lake usando o console
<a name="get-started-console"></a>

Este tutorial explica como habilitar e configurar o Security Lake por meio do Console de gerenciamento da AWS. Como parte do Console de gerenciamento da AWS, o console do Security Lake oferece um processo simplificado para começar e cria todas as funções AWS Identity and Access Management (IAM) necessárias para criar seu data lake.

## Etapa 1: Configurar fontes
<a name="define-collection-objective"></a>

O Security Lake coleta dados de logs e de eventos de várias fontes e de todas as suas Contas da AWS e Regiões da AWS. Siga estas instruções para identificar quais dados você deseja que o Security Lake colete. Você só pode usar essas instruções para adicionar um AWS service (Serviço da AWS) com suporte nativo como fonte. Para obter mais informações sobre como adicionar uma fonte personalizada, consulte [Coletando dados de fontes personalizadas no Security Lake](custom-sources.md).

**Para configurar a coleta de fontes de log**

1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Usando o Região da AWS seletor no canto superior direito da página, selecione uma região. Você pode habilitar o Security Lake na região atual e em outras regiões durante a integração.

1. Escolha **Começar**.

1. Em **Selecionar fontes de registro e eventos**, escolha uma das seguintes opções para **Seleção de origem**:

   1. ** AWS Fontes padrão de ingestão** — Quando você escolhe a opção recomendada, CloudTrail - eventos de dados do S3 e não AWS WAF são incluídos para ingestão por padrão. Isso ocorre porque a ingestão de alto volume de ambos os tipos de fonte pode afetar significativamente os custos de uso. Para ingerir essas fontes, primeiro selecione a opção **Ingerir AWS fontes específicas** e, em seguida, selecione essas fontes na **lista Fontes de registros e eventos**.

   1. **Ingerir AWS fontes específicas** — Com essa opção, você pode selecionar uma ou mais fontes de registro e eventos que deseja ingerir.
**nota**  
Quando você habilita o Security Lake em uma conta pela primeira vez, todas as origens de log e eventos selecionadas farão parte de um período de teste gratuito de 15 dias. Para saber mais sobre estatísticas de uso, consulte [Como analisar o uso e os custos estimados](reviewing-usage-costs.md).

1. Em **Versões**, escolha a versão da fonte de dados da qual você deseja ingerir fontes de registro e eventos. Para obter mais informações sobre versões, consulte [Identificação da fonte do OCSF](open-cybersecurity-schema-framework.md#ocsf-source-identification).
**Importante**  
Se você não tiver as permissões de função necessárias para habilitar a nova versão da fonte de AWS log na região especificada, entre em contato com o administrador do Security Lake. Para obter mais informações, consulte [Atualizar permissões de função](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html#update-role-permissions).

1. Em **Selecionar regiões**, escolha se deseja ingerir fontes de logs e eventos de todas as regiões suportadas ou regiões específicas. Se você escolher **Regiões específicas**, selecione de quais regiões ingerir dados.

1. Para **selecionar contas**, execute as seguintes etapas:

   1. Escolha se o Security Lake ingerirá dados de **todas as contas** ou **contas específicas** em sua organização. O Security Lake será ativado para essas contas com as configurações que você escolher durante essa configuração.

   1. A caixa de seleção **Ativar automaticamente o Security Lake para novas contas da organização** está marcada por padrão. Essas configurações de ativação automática serão aplicadas Contas da AWS quando eles ingressarem na sua organização. Você pode editar as configurações de ativação automática a qualquer momento.
**nota**  
As configurações de ativação automática só se aplicarão às contas quando elas ingressarem na sua organização, não às contas existentes. Para obter mais informações, consulte [Editando a configuração da nova conta no console](multi-account-management.md#security-lake-new-account-auto-enable).

   

1. Para **Acesso ao serviço**, crie um novo perfil do IAM ou use um perfil do IAM existente que dê permissão ao Security Lake para coletar dados de suas fontes e adicioná-los ao seu data lake. Uma função é usada em todas as regiões nas quais você habilitar o Security Lake.

1. Escolha **Próximo**.

## Etapa 2: definir configurações de armazenamento e regiões cumulativas (opcional)
<a name="define-target-objective"></a>

Você pode especificar a classe de armazenamento do Amazon S3 na qual deseja que o Security Lake armazene seus dados e por quanto tempo. Você também pode especificar uma região de rollup para consolidar dados de várias regiões. Essas são etapas opcionais. Para obter mais informações, consulte [Gerenciamento do ciclo de vida no Security Lake](lifecycle-management.md).

**Para definir as configurações de armazenamento e de rollup**

1. Se você quiser consolidar dados de várias regiões contribuintes em uma região de rollup, em **Selecionar regiões de rollup**, escolha **Adicionar região de rollup**. Especifique a região de rollup e as regiões que contribuirão com ela. Você pode configurar uma ou mais regiões de rollup.

1. Em **Selecionar classes de armazenamento**, escolha uma classe de armazenamento do Amazon S3. A classe de armazenamento padrão é **S3 Standard**. Forneça um período de retenção (em dias) se quiser que os dados sejam transferidos para outra classe de armazenamento após esse período e escolha **Adicionar transição**. Após o término desse período de retenção, os objetos expiram e o Amazon S3 os exclui. Para obter mais informações sobre classes de armazenamento e retenção do Amazon S3, consulte [Gerenciamento de retenção](lifecycle-management.md#retention-management).

1. Se você selecionou uma região de rollup na primeira etapa, para **Acesso ao serviço**, crie um novo perfil do IAM ou use um perfil do IAM existente que dê permissão ao Security Lake para replicar dados em várias regiões.

1. Escolha **Próximo**.

## Etapa 3: revisar e criar um data lake
<a name="review-create"></a>

Analise as fontes das quais o Security Lake coletará dados, suas regiões de rollup e suas configurações de retenção. Em seguida, crie seu data lake.

**Para revisar e criar o data lake**

1. Ao habilitar o Security Lake, revise **Fontes de logs e eventos**, **Regiões**, **Regiões de rollup** e **Classes de armazenamento**.

1. Escolha **Criar**.

Depois de criar seu data lake, você verá a página **Resumo** no console do Security Lake. **Esta página fornece uma visão geral do número de **regiões e regiões** **cumulativas**, informações sobre assinantes e problemas.**

O menu **Problemas** mostra um resumo dos problemas dos últimos 14 dias que estão afetando o serviço Security Lake ou seus buckets do Amazon S3. Para obter detalhes adicionais sobre cada problema, acesse a página **Problemas** do console do Security Lake. 

## Etapa 4: visualizar e consultar seus próprios dados
<a name="explore-data-lake"></a>

Depois de criar seu data lake, você pode usar o Amazon Athena ou serviços similares para visualizar e consultar seus dados em AWS Lake Formation bancos de dados e tabelas. Quando você usa o console, o Security Lake concede automaticamente permissões de visualização do banco de dados ao perfil que você usa para habilitar o Security Lake. No mínimo, a função deve ter permissões de *Analista de dados*. Para obter mais informações sobre os níveis de permissão, consulte [Referência de permissões do IAM e personas do Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html). Para obter instruções sobre como conceder permissões `SELECT`, consulte [Como conceder permissões no catálogo de dados usando o método de recurso nomeado](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html) no *Guia do desenvolvedor do AWS Lake Formation *.

## Etapa 5: criar assinantes
<a name="subscribe-data"></a>

Depois de criar seu data lake, você pode adicionar assinantes para consumir seus dados. Os assinantes podem consumir dados acessando diretamente os objetos nos seus buckets do Amazon S3 ou consultando o data lake. Para obter mais informações sobre assinantes, consulte [Gerenciamento de assinantes no Security Lake](subscriber-management.md).

# Ativando o Security Lake programaticamente
<a name="get-started-programmatic"></a>

Este tutorial explica como ativar e começar a usar o Security Lake programaticamente. A API do Amazon Security Lake oferece acesso abrangente e programático à sua conta, dados e recursos do Security Lake. Como alternativa, você pode usar ferramentas de linha de AWS comando — [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)ou as [AWS Ferramentas para PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html) — ou a [AWS SDKs](https://aws.amazon.com/developertools/)para acessar o Security Lake.

## Etapa 1: criar funções do IAM
<a name="prerequisites"></a>

Se você acessar o Security Lake programaticamente, é necessário criar algumas funções AWS Identity and Access Management (IAM) para configurar seu data lake.

**Importante**  
Não é necessário criar essas funções do IAM se você usar o console do Security Lake para habilitar e configurar o Security Lake.

Crie funções no IAM se você estiver realizando uma ou mais dessas ações (escolha os links para ver mais informações sobre os perfis do IAM para cada ação):
+ [Como criar uma fonte personalizada](custom-sources.md#iam-roles-custom-sources): fontes personalizadas são fontes sem suporte nativo nos Serviços da AWS que enviam dados para o Security Lake.
+ [Como criar um assinante com acesso a dados](prereqs-creating-subscriber.md#iam-role-subscriber): os assinantes com permissões podem acessar diretamente os objetos do S3 do seu data lake.
+ [Como criar um assinante com acesso de consulta](prereqs-query-subscriber.md#iam-role-query-subscriber): assinantes com permissões podem consultar dados do Security Lake usando serviços como o Amazon Athena.
+ [Como configurar uma região de rollup](add-rollup-region.md#iam-role-replication): uma região de rollup consolida dados de várias Regiões da AWS.

Depois de criar as funções mencionadas anteriormente, anexe a política [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS gerenciada à função que você está usando para ativar o Security Lake. Essa política concede permissões administrativas que permitem à entidade principal acesso ao Security Lake e acesso total a todas as ações do Security Lake.

Anexe a política [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS gerenciada para criar seu data lake ou consultar dados do Security Lake. Essa política é necessária para que o Security Lake ofereça suporte a trabalhos de extração, transformação e carregamento (ETL) em dados brutos de log e eventos recebidos das fontes.

## Etapa 2: habilitar o Amazon Security Lake
<a name="enable-service-programmatic"></a>

Para habilitar o Security Lake programaticamente, use a [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)operação da API do Security Lake. Se você estiver usando o AWS CLI, execute o [create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html)comando. Em sua solicitação, use o campo `region` do objeto `configurations` para especificar o código da região na qual o Security Lake será habilitado. Para obter uma lista de códigos de região, consulte [Endpoints do Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) na *Referência geral da AWS*.

**Exemplo 1**

O comando de exemplo a seguir ativa o Security Lake nas `us-east-2` regiões `us-east-1` e. Em ambas as regiões, esse data lake é criptografado com chaves gerenciadas do Amazon S3. Os objetos expiram após 365 dias, e os objetos fazem a transição para a classe de armazenamento `ONEZONE_IA` S3 após 60 dias. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**Exemplo 2**

O comando de exemplo a seguir ativa o Security Lake na `us-east-2` região. Esse data lake é criptografado com uma chave gerenciada pelo cliente que foi criada em AWS Key Management Service (AWS KMS). Os objetos expiram após 500 dias, e os objetos fazem a transição para a classe de armazenamento `GLACIER` S3 após 30 dias. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**nota**  
Se você já habilitou o Security Lake e deseja atualizar as configurações de uma região ou fonte, use a [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)operação ou, se estiver usando o AWS CLI, o [update-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)comando. Não use a `CreateDataLake` operação.

## Etapa 3: Configurar fontes
<a name="define-collection-objective-programmatic"></a>

O Security Lake coleta dados de logs e de eventos de várias fontes e de todas as suas Contas da AWS e Regiões da AWS. Siga estas instruções para identificar quais dados você deseja que o Security Lake colete. Você só pode usar essas instruções para adicionar um AWS service (Serviço da AWS) com suporte nativo como fonte. Para obter mais informações sobre como adicionar uma fonte personalizada, consulte [Coletando dados de fontes personalizadas no Security Lake](custom-sources.md).

Para definir uma ou mais fontes de coleta programaticamente, use a [CreateAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateAwsLogSource.html)operação da API Security Lake. Para cada fonte, especifique um valor regionalmente exclusivo para o parâmetro `sourceName`. Opcionalmente, use parâmetros adicionais para limitar o escopo da fonte a contas específicas (`accounts`) ou a uma versão específica (`sourceVersion`).

**nota**  
Se você não incluir um parâmetro opcional em sua solicitação, o Security Lake aplicará sua solicitação a todas as contas ou a todas as versões da fonte especificada, dependendo do parâmetro que você excluir. Por exemplo, se você for o administrador delegado do Security Lake de uma organização e excluir o parâmetro `accounts`, o Security Lake aplicará sua solicitação a todas as contas da sua organização. Da mesma forma, se você excluir o parâmetro `sourceVersion`, o Security Lake aplicará sua solicitação a todas as versões da fonte especificada.

Se sua solicitação especificar uma região na qual você não habilitou o Security Lake, ocorrerá um erro. Para resolver esse erro, certifique-se de que a matriz `regions` especifique somente as regiões nas quais você habilitou o Security Lake. Como alternativa, você pode habilitar o Security Lake na região e enviar sua solicitação novamente.

Quando você habilita o Security Lake em uma conta pela primeira vez, todas as origens de log e eventos selecionadas farão parte de um período de teste gratuito de 15 dias. Para saber mais sobre estatísticas de uso, consulte [Como analisar o uso e os custos estimados](reviewing-usage-costs.md).

## Etapa 4: definir as configurações de armazenamento e as regiões cumulativas (opcional)
<a name="define-target-objective-programmatic"></a>

Você pode especificar a classe de armazenamento do Amazon S3 na qual deseja que o Security Lake armazene seus dados e por quanto tempo. Você também pode especificar uma região de rollup para consolidar dados de várias regiões. Essas são etapas opcionais. Para obter mais informações, consulte [Gerenciamento do ciclo de vida no Security Lake](lifecycle-management.md).

Para definir um objetivo alvo programaticamente ao ativar o Security Lake, use a [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)operação da API do Security Lake. Se você já habilitou o Security Lake e deseja definir um objetivo alvo, use a [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)operação, não a `CreateDataLake` operação.

Para qualquer operação, use os parâmetros suportados para especificar as configurações desejadas:
+ Para especificar uma região cumulativa, use o `region` campo para especificar a região na qual você deseja contribuir com dados para as regiões cumulativas. Na `regions` matriz do `replicationConfiguration` objeto, especifique o código da região para cada região de rollup. Para obter uma lista de códigos de região, consulte [Endpoints do Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) na *Referência geral da AWS*.
+ Para especificar as configurações de retenção dos seus dados, use os parâmetros `lifecycleConfiguration`:
  + Para `transitions`, especifique o número total de dias (`days`) pelo qual você deseja armazenar objetos do S3 em uma determinada classe de armazenamento do Amazon S3 (`storageClass`).
  + Para `expiration`, especifique o número total de dias pelo qual você deseja armazenar objetos no Amazon S3, usando qualquer classe de armazenamento, após a criação dos objetos. Quando esse período de retenção termina, os objetos expiram e o Amazon S3 os exclui.

  O Security Lake aplica as configurações de retenção especificadas à Região que você especifica no campo `region` do objeto `configurations`.

Por exemplo, o comando a seguir cria um data lake com `ap-northeast-2` uma região cumulativa. A `us-east-1` Região contribuirá com dados para a `ap-northeast-2` Região. Esse exemplo também estabelece um período de expiração de 10 dias para objetos adicionados ao data lake.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

Agora você criou seu data lake. Use a [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html)operação da API Security Lake para verificar a ativação do Security Lake e suas configurações de data lake em cada região.

Se surgirem problemas ou erros na criação do seu data lake, você poderá visualizar uma lista de exceções usando a [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html)operação e notificar os usuários sobre exceções com a [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html)operação. Para obter mais informações, consulte [Solução de problemas do status do data lake](securitylake-data-lake-troubleshoot.md).

## Etapa 5: visualizar e consultar seus próprios dados
<a name="explore-data-lake-programmatic"></a>

Depois de criar seu data lake, você pode usar o Amazon Athena ou serviços similares para visualizar e consultar seus dados em AWS Lake Formation bancos de dados e tabelas. Quando você ativa programaticamente o Security Lake, as permissões de visualização do banco de dados não são concedidas automaticamente. A conta de administrador do data lake AWS Lake Formation deve conceder `SELECT` permissões para a função do IAM que você deseja usar para consultar os bancos de dados e tabelas relevantes. No mínimo, a função deve ter permissões de *Analista de dados*. Para obter mais informações sobre os níveis de permissão, consulte [Referência de permissões do IAM e personas do Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html). Para obter instruções sobre como conceder permissões `SELECT`, consulte [Como conceder permissões no catálogo de dados usando o método de recurso nomeado](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html) no *Guia do desenvolvedor do AWS Lake Formation *.

## Etapa 6: criar assinantes
<a name="subscribe-data-programmatic"></a>

Depois de criar seu data lake, você pode adicionar assinantes para consumir seus dados. Os assinantes podem consumir dados acessando diretamente os objetos nos seus buckets do Amazon S3 ou consultando o data lake. Para obter mais informações sobre assinantes, consulte [Gerenciamento de assinantes no Security Lake](subscriber-management.md).