本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用安全湖时的注意事项
<a name="enable-securitylake-considerations"></a>

**在启用 Security Lake 之前，请考虑以下事项**：
+ Security Lake 提供跨区域管理功能，这意味着您可以跨 AWS 区域创建数据湖并配置日志收集。要在[所有受支持的区域](supported-regions.md)中启用 Security Lake，您可以选择任意受支持的区域端点。您还可以添加[汇总区域](add-rollup-region.md)，以便将来自多个区域的数据聚合到一个区域。
+ 我们建议在所有受支持的 AWS 区域中激活 Security Lake。如果这样做，Security Lake 可以收集与未经授权的活动或异常活动相关的数据，即使在您没有主动使用的区域也可以。如果不在所有受支持的区域中激活 Security Lake，则它从您在多个区域使用的其他服务收集数据的能力就会降低。
+ 当您在任何区域首次启用 Security Lake 时，它会为您的账户创建以下服务相关角色：
  + [AWSServiceRoleForSecurityLake](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html)：此角色包括代表您呼叫他人 AWS 服务 以及操作安全数据湖的权限。如果您以[委托的 Security Lake 管理员](multi-account-management.md#delegated-admin-important)身份启用 Security Lake，Security Lake 将在组织中的每个成员账户中创建[服务相关角色](using-service-linked-roles.md)。
  + [AWSServiceRoleForSecurityLakeResourceManagement](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html): Security Lake 使用此角色进行持续监控和性能改进，这有可能减少延迟和成本。该服务相关角色信任 `resource-management.securitylake.amazonaws.com` 服务担任该角色。启用此服务角色还将授予其访问 Lake Formation 的权限。

    有关这对在 2025 年 4 月 17 日之前启用 Security Lake 的现有账户有何影响的信息，请参阅[Update for existing accounts](multi-account-management.md#security-lake-existing-account-resource-management-slr)。

  有关服务相关角色的工作原理的信息，请参阅 *IAM 用户*指南中的[使用服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)。
+ Security Lake 不支持 Amazon S3 对象锁定。创建数据湖存储桶时，S3 对象锁定默认处于禁用状态。如果在存储桶上启用对象锁定，则向数据湖传输标准化日志数据的过程将会中断。
+ 如果您要在某个地区重新启用 Security Lake，则必须从之前使用的 Security Lake 中删除该区域的相应 AWS Glue 数据库。