As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciamento de assinantes no Security Lake
<a name="subscriber-management"></a>

Um assinante do Amazon Security Lake consome registros e eventos do Security Lake. Para controlar os custos e seguir as práticas recomendadas de acesso com privilégio mínimo, você fornece aos assinantes acesso aos dados por fonte. Para obter mais informações sobre fontes, consulte [Gerenciamento de fontes no Security Lake](source-management.md).

O Security Lake oferece suporte a dois tipos de acesso de assinantes:
+ **Acesso aos dados** Os assinantes com acesso aos dados de origem no Amazon Security Lake são notificados sobre novos objetos para a fonte à medida que os dados são gravados no bucket do S3. Por padrão, os assinantes são notificados sobre novos objetos por meio de um endpoint HTTPS fornecido por eles. Como alternativa, assinantes podem ser notificados sobre novos objetos por uma fila do Amazon Simple Queue Service (Amazon SQS).
+ **Acesso à consulta** — Os assinantes com acesso à consulta podem consultar os dados que o Security Lake coleta. Esses assinantes consultam diretamente as tabelas do AWS Lake Formation em seu bucket do S3 com serviços como o Amazon Athena.

Os assinantes só têm acesso aos dados de origem Região da AWS que você seleciona ao criar o assinante. Para dar a um assinante acesso aos dados de várias regiões, você pode especificar a região em que você cria o assinante como uma região cumulativa e fazer com que outras regiões contribuam enviando dados para ela. Para obter mais informações sobre regiões cumulativas e regiões contributivas, consulte [Gerenciando regiões no Security Lake](manage-regions.md).

**Importante**  
O número máximo de fontes que o Security Lake permite adicionar por assinante é 10. Isso pode ser uma combinação de AWS fontes e fontes personalizadas. 

**Topics**
+ [Como gerenciar o acesso a dados para assinantes do Security Lake](subscriber-data-access.md)
+ [Gerenciando o acesso de consulta para assinantes do Security Lake](subscriber-query-access.md)

# Como gerenciar o acesso a dados para assinantes do Security Lake
<a name="subscriber-data-access"></a>

Os assinantes com acesso aos dados da fonte no Amazon Security Lake são notificados sobre novos objetos de uma fonte à medida que os dados são gravados no bucket do S3. Por padrão, os assinantes são notificados sobre novos objetos por meio de um endpoint HTTPS fornecido por eles. Como alternativa, assinantes podem ser notificados sobre novos objetos por uma fila do Amazon Simple Queue Service (Amazon SQS).

Os assinantes são notificados sobre novos objetos do Amazon S3 para uma fonte à medida que os objetos são gravados no data lake do Security Lake. Os assinantes podem acessar diretamente os objetos do S3 e receber notificações de novos objetos por meio de um endpoint de assinatura ou por meio de uma pesquisa em uma fila do Amazon Simple Queue Service (Amazon SQS). Esse tipo de assinatura é identificado como `S3` no `accessTypes` parâmetro da [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html)API.

**Topics**
+ [Pré-requisitos](prereqs-creating-subscriber.md)
+ [Como criar um assinante com acesso a dados](create-subscriber-data-access.md)
+ [Como atualizar um assinante de dados](subscriber-update.md)
+ [Como remover um assinante de dados](remove-data-access-subscriber.md)

# Pré-requisitos para criar um assinante com acesso a dados no Security Lake
<a name="prereqs-creating-subscriber"></a>

É necessário concluir os pré-requisitos a seguir antes de criar um assinante com acesso a dados no Security Lake.

## Verificar permissões
<a name="create-data-access-subscriber-permissions"></a>

Para verificar suas permissões, use o IAM para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações dessas políticas com a seguinte lista de ações (de permissões) que você deve ter para notificar os assinantes quando novos dados são gravados no data lake.

Serão necessárias permissões para executar as seguintes ações:
+ `iam:CreateRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `lakeformation:GrantPermissions`
+ `lakeformation:ListPermissions`
+ `lakeformation:RegisterResource`
+ `lakeformation:RevokePermissions`
+ `ram:GetResourceShareAssociations`
+ `ram:GetResourceShares`
+ `ram:UpdateResourceShare`

Além da lista anterior, você também precisará de permissão para executar as seguintes ações:
+ `events:CreateApiDestination`
+ `events:CreateConnection`
+ `events:DescribeRule`
+ `events:ListApiDestinations`
+ `events:ListConnections`
+ `events:PutRule`
+ `events:PutTargets`
+ `s3:GetBucketNotification`
+ `s3:PutBucketNotification`
+ `sqs:CreateQueue`
+ `sqs:DeleteQueue`
+ `sqs:GetQueueAttributes`
+ `sqs:GetQueueUrl`
+ `sqs:SetQueueAttributes`

## Obtenha o ID externo do assinante
<a name="subscriber-external-id"></a>

Para criar um assinante, além do Conta da AWS ID do assinante, você também precisará obter o ID *externo*. O ID externo é um identificador exclusivo que o assinante fornece a você. O Security Lake adiciona o ID externo ao perfil do IAM do assinante que ele cria. Você usa o ID externo ao criar um assinante no console do Security Lake, por meio da API ou da AWS CLI.

Para obter mais informações sobre o externo IDs, consulte [Como usar um ID externo ao conceder acesso aos seus AWS recursos a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) no *Guia do usuário do IAM*.



**Importante**  
Se você planeja usar o console do Security Lake para adicionar um assinante, você pode pular a próxima etapa e ir para [Criação de um assinante com acesso a dados no Security Lake](create-subscriber-data-access.md). O console do Security Lake oferece um processo simplificado para começar e cria todos os perfis necessários do IAM ou usa os perfis existentes em seu nome.  
Se você planeja usar a API Security Lake ou AWS CLI adicionar um assinante, continue com a próxima etapa para criar uma função do IAM para invocar destinos de EventBridge API.

## Crie uma função do IAM para invocar EventBridge destinos de API (API e AWS CLI etapa somente)
<a name="iam-role-subscriber"></a>

Se você estiver usando o Security Lake por meio da API ou AWS CLI, crie uma função no AWS Identity and Access Management (IAM) que conceda à Amazon EventBridge permissões para invocar destinos de API e enviar notificações de objetos para os endpoints HTTPS corretos.

Depois de criar esse perfil do IAM, você precisará do nome do recurso da Amazon (ARN) da função para criar o assinante. Esse perfil do IAM não é necessária se o assinante pesquisar dados de uma fila do Amazon Simple Queue Service (Amazon SQS) ou consultar dados diretamente do AWS Lake Formation. Para obter mais informações sobre esse tipo de método de acesso aos dados (tipo de acesso), consulte [Gerenciando o acesso de consulta para assinantes do Security Lake](subscriber-query-access.md).

Anexe a política a seguir ao seu perfil do IAM:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowInvokeApiDestination",
            "Effect": "Allow",
            "Action": [
                "events:InvokeApiDestination"
            ],
            "Resource": [
            "arn:aws:events:us-east-1:123456789012:api-destination/AmazonSecurityLake*/*"
            ]
        }
    ]
}
```

------

Anexe a seguinte política de confiança à sua função do IAM EventBridge para permitir que você assuma a função:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowEventBridgeToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

O Security Lake cria automaticamente um perfil do IAM que permite ao assinante ler dados do data lake (ou pesquisar eventos de uma fila do Amazon SQS, se esse for o método preferido de notificação). Essa função é protegida por uma política AWS gerenciada chamada [`AmazonSecurityLakePermissionsBoundary`](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary).

# Criação de um assinante com acesso a dados no Security Lake
<a name="create-subscriber-data-access"></a>

Escolha um dos métodos de acesso a seguir para criar um assinante com acesso aos dados atuais Região da AWS.

------
#### [ Console ]

1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja criar o assinante.

1. No painel de navegação, escolha **Assinantes**.

1. Na página **Assinantes**, escolha **Criar assinante**.

1. Para obter **Detalhes do assinante**, insira o **Nome do assinante** e uma **Descrição** opcional.

   A **região** é preenchida automaticamente conforme sua seleção atual Região da AWS e não pode ser modificada.

1. Para **Fontes de log e eventos**, escolha quais fontes o assinante está autorizado a consumir.

1. Para **Método de acesso a dados**, escolha **S3** para configurar o acesso aos dados para o assinante.

1. [Para **credenciais de assinante**, forneça o ID do assinante e o Conta da AWS ID externo.](https://docs.aws.amazon.com//security-lake/latest/userguide/prereqs-creating-subscriber.html#subscriber-external-id)

1. (Opcional) Para obter **Detalhes da notificação**, se você quiser que o Security Lake crie uma fila do Amazon SQS que o assinante possa sondar para receber notificações de objetos, selecione **fila SQS**. Se você quiser que o Security Lake envie notificações EventBridge para um endpoint HTTPS, selecione Endpoint de **assinatura**.

   Se você selecionar **Endpoint da assinatura**, faça também o seguinte:

   1. Insira o **Endpoint da assinatura**. Exemplos de formatos de endpoint válidos incluem **http://example.com**. Opcionalmente, você também pode fornecer um **nome de chave HTTPS** e um **valor de chave HTTPS**.

   1. Para o **Service Access**, crie uma nova função do IAM ou use uma função existente do IAM que dê EventBridge permissão para invocar destinos de API e enviar notificações de objetos para os endpoints corretos.

      Para obter informações sobre como criar uma nova função do IAM, consulte [Criar função do IAM para invocar destinos de EventBridge API](https://docs.aws.amazon.com//security-lake/latest/userguide/prereqs-creating-subscriber.html#iam-role-subscriber).

1. (Opcional) Em **Tags**, insira até 50 tags para atribuir ao assinante.

   Uma *tag* é um rótulo que você pode definir e atribuir a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudar você a identificar, categorizar e gerenciar recursos de diferentes maneiras. Para saber mais, consulte [Marcando recursos do Security Lake](tagging-resources.md).

1. Escolha **Criar**.

------
#### [ API ]

Para criar um assinante com acesso a dados de forma programática, use a [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html)operação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando [create-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-subscriber.html). 

Em sua solicitação, use esses parâmetros para especificar as seguintes configurações para o assinante:
+ Para `sources`, especifique cada fonte que você deseja que o assinante acesse.
+ Para`subscriberIdentity`, especifique o ID da AWS conta e o ID externo que o assinante usará para acessar os dados de origem.
+ Para`subscriber-name`, especifique o nome do assinante.
+ Em `accessTypes`, especifique `S3`.

**Exemplo 1**

O exemplo a seguir cria um assinante com acesso aos dados na AWS região atual para a identidade de assinante especificada para uma AWS fonte.

```
$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types S3
```

**Exemplo 2**

O exemplo a seguir cria um assinante com acesso aos dados na AWS região atual para a identidade de assinante especificada para uma fonte personalizada.

```
$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 1293456789123,"externalId": 123456789012} \
--sources [{"customLogSource": {"sourceName": custom-source-name, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name
--access-types S3
```

Os exemplos anteriores estão formatados para Linux, macOS ou Unix e usam o caractere de continuação de linha com barra invertida (\$1) para melhorar a legibilidade.

(Opcional) Depois de criar um assinante, use a [CreateSubscriberNotification](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriberNotification.html)operação para especificar como notificar o assinante quando novos dados forem gravados no data lake para as fontes que você deseja que o assinante acesse. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [create-subscriber-notification](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-subscriber-notification.html)comando. 
+ Para substituir o método de notificação padrão (endpoint HTTPS) e criar uma fila do Amazon SQS, especifique valores para os parâmetros `sqsNotificationConfiguration`. 
+ Se você preferir a notificação com um endpoint HTTPS, especifique valores para os parâmetros `httpsNotificationConfiguration`.
+ Para o `targetRoleArn` campo, especifique o ARN da função do IAM que você criou para invocar EventBridge destinos de API.

```
$ aws securitylake create-subscriber-notification \
--subscriber-id "12345ab8-1a34-1c34-1bd4-12345ab9012" \
--configuration httpsNotificationConfiguration={"targetRoleArn"="arn:aws:iam::XXX:role/service-role/RoleName", "endpoint"="https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"}
```

Para obter o`subscriberID`, use a [ListSubscribers](https://docs.aws.amazon.com//security-lake/latest/APIReference/API_ListSubscribers.html)operação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando [list-subscriber](https://docs.aws.amazon.com/cli/latest/reference/securitylake/list-subscribers.html). 

```
$ aws securitylake list-subscribers
```

------

Para alterar posteriormente o método de notificação (fila Amazon SQS ou endpoint HTTPS) para o assinante, use a [UpdateSubscriberNotification](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateSubscriberNotification.html)operação ou, se estiver usando o, execute o AWS CLI comando. [update-subscriber-notification](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-subscriber-notification.html) Você também pode alterar o método de notificação usando o console do Security Lake: selecione o assinante na página **Assinantes** e escolha **Editar**.

## Exemplo de mensagem de notificação de objeto
<a name="sample-notification"></a>

O exemplo a seguir mostra a notificação de evento no formato de estrutura JSON para a `CreateSubscriberNotification` operação. 

```
{
  "source": "aws.s3",
  "time": "2021-11-12T00:00:00Z",
  "account": "123456789012",
  "region": "ca-central-1",
  "resources": [
    "arn:aws:s3:::amzn-s3-demo-bucket"
  ],
  "detail": {
    "bucket": {
      "name": "amzn-s3-demo-bucket"
    },
    "object": {
      "key": "example-key",
      "size": 5,
      "etag": "b57f9512698f4b09e608f4f2a65852e5"
    },
    "request-id": "N4N7GDK58NMKJ12R",
    "requester": "securitylake.amazonaws.com"
  }
}
```

# Atualizando um assinante de dados no Security Lake
<a name="subscriber-update"></a>

Você pode atualizar um assinante alterando as fontes que o assinante consome. Você também pode atribuir tags ou editar tags para um assinante. Uma *tag* é um rótulo que você pode definir e atribuir a determinados tipos de AWS recursos, incluindo assinantes. Para saber mais, consulte [Marcando recursos do Security Lake](tagging-resources.md).

Escolha um dos métodos de acesso e siga estas etapas para definir novas fontes para uma assinatura existente.

------
#### [ Console ]

1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. No painel de navegação, escolha **Assinantes**.

1. Selecione o assinante.

1. Escolha **Editar** e execute uma das seguintes ações:
   + Para atualizar as fontes do assinante, insira as novas configurações na seção **Fontes de log e eventos**.
   + Para atribuir ou editar tags para o assinante, altere as tags conforme necessário na seção **Tags**.

1. Ao concluir, escolha **Salvar**.

------
#### [ API ]

Para atualizar programaticamente as fontes de acesso aos dados de um assinante, use a [UpdateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateSubscriber.html)operação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando [update-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-subscriber.html). Em sua solicitação, use os parâmetros `sources` para especificar cada fonte que você deseja que o assinante acesse.

```
$ aws securitylake update-subscriber --subscriber-id subscriber ID
```

Para obter uma lista de assinantes associados a uma organização específica Conta da AWS ou a uma organização, use a [ListSubscribers](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListSubscribers.html)operação. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando [list-subscribers](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/list-subscribers.html).

```
$ aws securitylake list-subscribers
```

[Para revisar as configurações atuais de um assinante específico, use a [GetSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetSubscriber.html)operação. execute o comando get-subscriber.](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/get-subscriber.html) Em seguida, o Security Lake retorna o nome e a descrição do assinante, o ID externo e informações adicionais. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando [get-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/get-subscriber.html).

 Para atualizar o método de notificação para um assinante, use a [UpdateSubscriberNotification](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateSubscriberNotification.html)operação. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [update-subscriber-notification](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-subscriber-notification.html)comando. Por exemplo, você pode especificar um novo endpoint HTTPS para o assinante ou alternar de um endpoint HTTPS para uma fila do Amazon SQS.

------

# Removendo um assinante de dados do Security Lake
<a name="remove-data-access-subscriber"></a>

Se você não quiser mais que um assinante consuma dados do Security Lake, você pode remover o assinante seguindo estas etapas.

------
#### [ Console ]

1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. No painel de navegação, escolha **Assinantes**.

1. Selecione o assinante que deseja remover.

1. Selecione **Excluir** e confirme a ação. Isso excluirá o assinante e todas as configurações de notificação associadas.

------
#### [ API ]

Com base no seu cenário, siga um destes procedimentos:
+ Para excluir o assinante e todas as configurações de notificação associadas, use a [DeleteSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteSubscriber.html)operação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando [delete-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-subscriber.html).
+ Para reter o assinante, mas interromper futuras notificações para o assinante, use a [DeleteSubscriberNotification](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteSubscriberNotification.html)operação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [delete-subscriber-notification](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-subscriber-notification.html)comando run the.

------

# Gerenciando o acesso de consulta para assinantes do Security Lake
<a name="subscriber-query-access"></a>

Os assinantes com acesso de consulta podem consultar os dados que o Security Lake coleta. Esses assinantes consultam diretamente AWS Lake Formation as tabelas em seu bucket do S3 com serviços como o Amazon Athena. Embora o principal mecanismo de consulta do Security Lake seja o Athena, você também pode usar outros serviços, como [Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/c-getting-started-using-spectrum.html) Spectrum e Spark SQL, que se integram com o AWS Glue Data Catalog.

Os assinantes consultam os dados de origem das AWS Lake Formation tabelas em seu bucket do S3 usando serviços como o Amazon Athena. Esse tipo de assinatura é identificado como `LAKEFORMATION` no `accessTypes` parâmetro da [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html)API.

**nota**  
Esta seção explica como conceder acesso de consulta a um assinante terceirizado. Para obter informações sobre como executar consultas em seu próprio data lake, consulte [Etapa 4: visualizar e consultar seus próprios dados](get-started-console.md#explore-data-lake).

**Topics**
+ [Pré-requisitos](prereqs-query-subscriber.md)
+ [Criação de um assinante com acesso de consulta](create-query-subscriber-procedures.md)
+ [Como editar um assinante com acesso de consulta](editing-query-access-subscriber.md)

# Pré-requisitos para criar um assinante com acesso a consultas no Security Lake
<a name="prereqs-query-subscriber"></a>

É necessário concluir os pré-requisitos a seguir antes de criar um assinante com acesso a dados no Security Lake.

## Verificar permissões
<a name="add-query-subscriber-permissions"></a>

Antes de criar um assinante com acesso de consulta, verifique se você tem permissão para executar a lista de ações a seguir.

Para verificar suas permissões, use o IAM para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações nessas políticas com a seguinte lista de ações que você deve ter permissão para realizar para criar um assinante com acesso de consulta. 
+ `glue:PutResourcePolicy`
+ `glue:DeleteResourcePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `lakeformation:GrantPermissions`
+ `lakeformation:ListPermissions`
+ `lakeformation:RegisterResource`
+ `lakeformation:RevokePermissions`
+ `ram:GetResourceShareAssociations`
+ `ram:GetResourceShares`
+ `ram:UpdateResourceShare`

**Importante**  
Depois de verificar as permissões:  
Se você planeja usar o console do Security Lake para adicionar um assinante com acesso de consulta, você pode pular a próxima etapa e ir para [Conceda permissões de administrador do Lake Formation](#permissions-lf-admin). O Security Lake cria todos os perfis necessários do IAM ou usa os perfis existentes em seu nome.
Se você planeja usar a API do Security Lake ou a CLI para adicionar um assinante com acesso de consulta, vá para a próxima etapa para criar um perfil do IAM para consultar dados do Security Lake.

## Crie uma função do IAM para consultar dados do Security Lake (API e etapa AWS CLI somente)
<a name="iam-role-query-subscriber"></a>

Ao usar a API Security Lake ou AWS CLI para conceder acesso de consulta a um assinante, você precisará criar uma função chamada`AmazonSecurityLakeMetaStoreManager`. O Security Lake usa essa função para registrar AWS Glue partições e atualizar AWS Glue tabelas. Talvez você já tenha criado esse perfil ao [Criar os perfis necessários do IAM](getting-started.html#prerequisite-iam-roles).

## Conceda permissões de administrador do Lake Formation
<a name="permissions-lf-admin"></a>

Você também precisará adicionar permissões de administrador do Lake Formation ao perfil do IAM que você usa para acessar o console do Security Lake e adicionar assinantes.

Você pode conceder permissões de administrador do Lake Formation para sua função seguindo estas etapas:

1. Abra o console do Lake Formation em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Faça login como usuário administrador.

1. Se a janela **Bem-vindo ao Lake Formation** for exibida, escolha o usuário que você criou ou selecionou na Etapa 1 e, escolha Começar.

1. Se você não vir a janela de **Boas-vindas ao Lake Formation**, execute as etapas a seguir para configurar um administrador do Lake Formation.

   1. No painel de navegação, em **Permissões**, selecione **Perfis e tarefas administrativas**. Na seção **Administradores do Data Lake**, selecione **Escolher administradores**.

   1. Na caixa de diálogo **Gerenciar administradores do data lake**, para usuários e perfis do IAM, escolha o perfil de administrador usado ao acessar o console do Security Lake e escolha **Salvar**.

Para obter mais informações sobre a alteração de permissões para administradores de data lake, consulte [Criar um administrador de data lake](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin) no *Guia do desenvolvedor do AWS Lake Formation *.

O perfil do IAM deve ter privilégios `SELECT` no banco de dados e nas tabelas aos quais você deseja conceder acesso a um assinante. Para obter instruções sobre como fazer isso, consulte [Conceder permissões ao catálogo de dados usando o método de recurso nomeado](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html) no *Guia do desenvolvedor do AWS Lake Formation *.

# Criação de um assinante com acesso a consultas no Security Lake
<a name="create-query-subscriber-procedures"></a>

Escolha seu método preferido para criar um assinante com acesso à consulta no atual Região da AWS. Um assinante só pode consultar dados do local em Região da AWS que ele foi criado. Para criar um assinante, você precisará ter o Conta da AWS ID e o ID externo do assinante. O ID externo é um identificador exclusivo que o assinante fornece a você. Para obter mais informações sobre o externo IDs, consulte [Como usar um ID externo ao conceder acesso aos seus AWS recursos a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) no *Guia do usuário do IAM*.

**nota**  
O Security Lake não é compatível com a versão 1 do compartilhamento de dados entre contas do Lake Formation. Você deve atualizar o compartilhamento de dados entre contas do Lake Formation para a versão 2 ou versão 3. Para ver as etapas para atualizar **as configurações da versão entre contas** por meio do AWS Lake Formation console ou da AWS CLI, consulte [Para habilitar a nova versão](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html#version-update-steps) no Guia do *AWS Lake Formation desenvolvedor*.

------
#### [ Console ]

1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Faça login na conta do administrador delegado.

1. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja criar o assinante.

1. No painel de navegação, escolha **Assinantes**.

1. Na página **Assinantes**, escolha **Criar assinante**.

1. Para obter **Detalhes do assinante**, insira um **Nome de assinante** e uma **Descrição** opcional.

   A **região** é preenchida automaticamente conforme sua seleção atual Região da AWS e não pode ser modificada.

1. Em **Fontes de log e eventos**, escolha quais fontes você deseja que o Security Lake inclua ao retornar os resultados da consulta.

1. Em **Método de acesso a dados**, escolha **Lake Formation** para criar acesso de consulta para o assinante.

1. [Para **as credenciais do assinante**, forneça o ID do assinante e o Conta da AWS ID externo.](https://docs.aws.amazon.com//security-lake/latest/userguide/prereqs-creating-subscriber.html#subscriber-external-id)

1. (Opcional) Em **Tags**, insira até 50 tags para atribuir ao assinante.

   Uma *tag* é um rótulo que você pode definir e atribuir a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudar você a identificar, categorizar e gerenciar recursos de diferentes maneiras. Para saber mais, consulte [Marcando recursos do Security Lake](tagging-resources.md).

1. Escolha **Criar**.

------
#### [ API ]

Para criar um assinante com acesso à consulta de forma programática, use a [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html)operação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando [create-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-subscriber.html). 

Em sua solicitação, use esses parâmetros para especificar as seguintes configurações para o assinante:
+ Em `accessTypes`, especifique `LAKEFORMATION`.
+ Para `sources`, especifique cada fonte que você deseja que o Security Lake inclua ao retornar os resultados da consulta.
+ Para`subscriberIdentity`, especifique a AWS identidade e a ID externa que o assinante usa para consultar os dados de origem.

O exemplo a seguir cria um assinante com acesso de consulta na AWS região atual para a identidade de assinante especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION
```

------

## Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)
<a name="grant-query-access-subscriber"></a>

O Security Lake usa o compartilhamento de tabelas entre contas do Lake Formation para oferecer suporte ao acesso de consultas para assinantes. Quando você cria um assinante com acesso de consulta no console do Security Lake, na API ou AWS CLI, o Security Lake compartilha informações sobre as tabelas relevantes do Lake Formation com o assinante criando um [compartilhamento de recursos](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-terms-and-concepts.html#term-resource-share) em AWS Resource Access Manager ()AWS RAM.

Quando você faz certos tipos de edições em um assinante com acesso de consulta, o Security Lake cria um novo compartilhamento de recursos. Para obter mais informações, consulte [Editando um assinante com acesso à consulta no Security Lake](editing-query-access-subscriber.md).

O assinante deve seguir estas etapas para consumir dados de suas tabelas do Lake Formation:

1. **Aceitar o compartilhamento de recursos**: o assinante deve aceitar o compartilhamento de recursos que tem o `resourceShareArn` e `resourceShareName` que é gerado quando você cria ou edita o assinante. Escolha um dos seguintes métodos:
   + Para console e AWS CLI, consulte [Aceitar um convite de compartilhamento de recursos de AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).
   + Para API, invoque a [GetResourceShareInvitations](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourceShareInvitations.html)API. Filtre por `resourceShareArn` e `resourceShareName` para encontrar o compartilhamento de recursos correto. Aceite o convite com a [AcceptResourceShareInvitation](https://docs.aws.amazon.com/ram/latest/APIReference/API_AcceptResourceShareInvitation.html)API.

   O convite de compartilhamento de recursos expira em 12 horas, então você deve validar e aceitar o convite em 12 horas. Se o convite expirar, você continuará a vê-lo em um estado `PENDING`, mas aceitá-lo não lhe dará acesso aos recursos compartilhados. Depois de 12 horas, exclua o assinante do Lake Formation e recrie o assinante para receber um novo convite de compartilhamento de recursos.

1. **Criar um link de recurso para o banco de dados compartilhado** — O assinante deve criar um link de recurso para o banco de dados compartilhado do Lake Formation AWS Lake Formation (se estiver usando o console) ou AWS Glue (se estiver usando API/AWS CLI). Esse link de recurso direciona a conta do assinante para o banco de dados compartilhado. Escolha um dos seguintes métodos:
   + Para o console e AWS CLI, [consulte Criação de um link de recurso para um banco de dados compartilhado do Catálogo de Dados.](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-database.html) no *Guia do AWS Lake Formation desenvolvedor*.
   + Recomendamos que os assinantes também criem um banco de dados exclusivo com a [CreateDatabase](https://docs.aws.amazon.com/glue/latest/webapi/API_CreateDatabase.html)API para armazenar tabelas de links de recursos.

1. **Consulte as tabelas compartilhadas**: serviços como o Amazon Athena podem consultar as tabelas diretamente, e os novos dados que o Security Lake coleta estão automaticamente disponíveis para consulta. As consultas são executadas no assinante e os custos incorridos com as consultas são cobrados do assinante. Conta da AWS Você pode controlar o acesso de leitura aos recursos em sua própria conta do Security Lake.

*Para obter mais informações sobre a concessão de permissões entre contas, consulte [Compartilhamento de dados entre contas no Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html) no Guia do desenvolvedor do AWS Lake Formation *.

# Editando um assinante com acesso à consulta no Security Lake
<a name="editing-query-access-subscriber"></a>

O Security Lake oferece suporte para fazer edições em um assinante com acesso de consulta. Você pode editar o nome, a descrição, o ID externo, o principal (Conta da AWS ID) e as fontes de registro do assinante que o assinante pode consumir. Escolha seu método preferido e siga as etapas para editar um assinante com acesso de consulta na Região da AWS atual.

**nota**  
O Security Lake não é compatível com a versão 1 do compartilhamento de dados entre contas do Lake Formation. Você deve atualizar o compartilhamento de dados entre contas do Lake Formation para a versão 2 ou versão 3. Para ver as etapas para atualizar **as configurações da versão entre contas** por meio do AWS Lake Formation console ou da AWS CLI, consulte [Para habilitar a nova versão](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html#version-update-steps) no Guia do *AWS Lake Formation desenvolvedor*.

------
#### [ Console ]

Com base nos detalhes que você deseja editar, siga as etapas fornecidas somente para essa ação.

**Para editar o nome do assinante**  

1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Faça login na conta do administrador delegado.

1. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja editar os detalhes do assinante.

1. No painel de navegação, escolha **Assinantes**.

1. Na página **Assinantes**, use o botão de opção para selecionar o assinante que você deseja editar. O **Método de acesso aos dados** do assinante selecionado deve ser **LAKEFORMATION**.

1. Escolha **Editar**.

1. Insira o novo **Nome do assinante** e escolha **Salvar**.

**Para editar a descrição do assinante**  

1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Faça login na conta do administrador delegado.

1. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja editar o assinante.

1. No painel de navegação, escolha **Assinantes**.

1. Na página **Assinantes**, use o botão de opção para selecionar o assinante que você deseja editar. O **Método de acesso aos dados** do assinante selecionado deve ser **LAKEFORMATION**.

1. Escolha **Editar**.

1. Insira a nova descrição para o assinante e escolha **Salvar**.

**Para editar o ID externo**  

1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Faça login na conta do administrador delegado.

1. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja editar os detalhes do assinante.

1. No painel de navegação, escolha **Assinantes**.

1. Na página **Assinantes**, use o botão de opção para selecionar o assinante que você deseja editar. O **Método de acesso aos dados** do assinante selecionado deve ser **LAKEFORMATION**.

1. Escolha **Editar**.

1. Insira o novo **ID externo** fornecido pelo assinante e escolha **Salvar**.

   Salvar a nova ID externa remove automaticamente o compartilhamento de AWS RAM recursos anterior e cria um novo compartilhamento de recursos para o assinante.

1. O assinante deve aceitar o novo compartilhamento de recursos seguindo a etapa 1 em [Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)](create-query-subscriber-procedures.md#grant-query-access-subscriber). Certifique-se de que o nome do recurso da Amazon (ARN) que aparece nos detalhes do assinante seja o mesmo do console do Lake Formation. O link do recurso para as tabelas compartilhadas permanece como está, portanto, o assinante não precisa criar um novo link de recurso.

**Para editar o principal (Conta da AWS ID)**  

1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Faça login na conta do administrador delegado.

1. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja editar os detalhes do assinante.

1. No painel de navegação, escolha **Assinantes**.

1. Na página **Assinantes**, use o botão de opção para selecionar o assinante que você deseja editar. O **Método de acesso aos dados** do assinante selecionado deve ser **LAKEFORMATION**.

1. Escolha **Editar**.

1. Insira o novo **ID da Conta da AWS ** do assinante e escolha **Salvar**.

   Salvar o novo ID da conta remove automaticamente o compartilhamento de AWS RAM recursos anterior para que o diretor anterior não possa consumir as fontes de registro e eventos. O Security Lake cria um novo compartilhamento de recursos.

1. Usando as credenciais da nova entidade principal, o assinante deve aceitar o novo compartilhamento de recursos e criar um link de recurso para as tabelas compartilhadas. Isso dá à nova entidade principal acesso aos recursos compartilhados. Para obter instruções, consulte as etapas 1 e 2 em [Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)](create-query-subscriber-procedures.md#grant-query-access-subscriber). Certifique-se de que o nome do recurso da Amazon (ARN) que aparece nos detalhes do assinante seja o mesmo do console do Lake Formation. 

**Para editar fontes de log e eventos**  

1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Faça login na conta do administrador delegado.

1. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja editar os detalhes do assinante.

1. No painel de navegação, escolha **Assinantes**.

1. Na página **Assinantes**, use o botão de opção para selecionar o assinante que você deseja editar. O **Método de acesso aos dados** do assinante selecionado deve ser **LAKEFORMATION**.

1. Escolha **Editar**.

1. Desmarque as fontes existentes ou selecione as fontes que você deseja adicionar. Se você desmarcar uma fonte, nenhuma ação adicional será necessária de sua parte. Se você selecionar para adicionar uma fonte, nenhum novo convite de compartilhamento de recursos será criado. No entanto, o Security Lake atualiza as tabelas compartilhadas do Lake Formation com base nas fontes adicionadas. O assinante deve criar um link de recurso para as tabelas compartilhadas atualizadas para poder consultar os dados da fonte. Para obter instruções, consulte a etapa 2 em [Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)](create-query-subscriber-procedures.md#grant-query-access-subscriber).

1. Escolha **Salvar**.

------
#### [ API ]

Para editar programaticamente um assinante com acesso à consulta, use a [UpdateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateSubscriber.html)operação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando [update-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-subscriber.html). Em sua solicitação, use os parâmetros compatíveis para especificar as seguintes configurações para o assinante:
+ Para `subscriberName`, especifique o novo nome do assinante.
+ Para `subscriberDescription`, especifique a nova descrição.
+ Para`subscriberIdentity`, especifique o ID principal (Conta da AWS ID) e externo que o assinante usará para consultar os dados de origem. Você deve fornecer a entidade principal e o ID externo. Se você quiser manter um desses valores igual, passe o valor atual.
  + **Atualizar somente o ID externo**: essa ação remove o compartilhamento de recursos do AWS RAM anterior e cria um novo compartilhamento de recursos para o assinante. O assinante deve aceitar o novo compartilhamento de recursos seguindo a etapa 1 em [Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)](create-query-subscriber-procedures.md#grant-query-access-subscriber). O link do recurso para as tabelas compartilhadas permanece como está, portanto, o assinante não precisa criar um novo link de recurso.
  + **Atualizar somente o principal** — Essa ação remove o compartilhamento de AWS RAM recursos anterior para que o principal anterior não possa consumir as fontes de log e eventos. O Security Lake cria um novo compartilhamento de recursos. Usando as credenciais da nova entidade principal, o assinante deve aceitar o novo compartilhamento de recursos e criar um link de recurso para as tabelas compartilhadas. Isso dá à nova entidade principal acesso aos recursos compartilhados. Para obter instruções, consulte as etapas 1 e 2 em [Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)](create-query-subscriber-procedures.md#grant-query-access-subscriber).

  Para atualizar o ID externo *e* a entidade principal, siga as etapas 1 e 2 em [Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)](create-query-subscriber-procedures.md#grant-query-access-subscriber).
+ Para `sources`, remova as fontes existentes ou especifique as fontes que você deseja adicionar. Se você remover uma fonte, nenhuma ação adicional será necessária de sua parte. Se você adicionar uma fonte, nenhum novo convite de compartilhamento de recursos será criado. No entanto, o Security Lake atualiza as tabelas compartilhadas do Lake Formation com base nas fontes adicionadas. O assinante deve criar um link de recurso para as tabelas compartilhadas atualizadas para poder consultar os dados da fonte. Para obter instruções, consulte a etapa 2 em [Como configurar o compartilhamento de tabelas entre contas (etapa do assinante)](create-query-subscriber-procedures.md#grant-query-access-subscriber).

------