本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Security Lake 中的生命周期管理
<a name="lifecycle-management"></a>

您可以自定义 Security Lake，将数据存储在您首 AWS 区域 选的时间段内。生命周期管理可以帮助您遵守不同的合规性要求。

## 留存管理
<a name="retention-management"></a>

要管理您的数据以实现经济高效的存储，您可以使用 Security Lake 中的生命周期设置为数据配置保留期。这些保留设置可帮助您指定首选的 [Amazon S3 存储类别](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html)，以及 Amazon S3 对象在过渡到其他存储类到期之前在该存储类别中保留的时间段。

**警告**  
我们建议通过 Security Lake 控制台、API 或 CLI 管理保留设置。这是因为直接在 Amazon S3 服务中修改 Amazon S3 生命周期设置可能会删除元数据并阻止您访问数据。

### Security Lake 中保留设置的重要注意事项
<a name="security-lake-retention-setting-important-consideration"></a>

在 Security Lake 中管理数据保留时，请查看以下注意事项：
+ Security Lake 不支持 [Amazon S3 对象锁定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)。创建数据湖存储桶时，S3 对象锁定默认处于禁用状态。在默认保留模式下启用 S3 对象锁定会中断向数据湖传输标准化日志数据。
+ 默认的 Amazon S3 存储类是 **S3 Standard**。如果您未配置保留设置，Security Lake 会使用 Amazon S3 生命周期配置的默认设置，即使用 **S3 标准**存储类无限期存储数据。
+ 在 Security Lake 中，您可以在区域级别指定留存设置。例如，您可以将特定中的所有 S3 对象配置 AWS 区域 为在写入数据湖 30 天后过渡到 **S3 标准-IA** 存储类别。
+ 虽然保留设置仅适用于存储在 S3 存储桶中的数据，但 Apache Iceberg 元数据不包括在保留策略中。

### 启用 Security Lake 时配置留存设置
<a name="configure-retention-settings"></a>

在开始使用 Security Lake 时，请按照以下说明为一个或多个区域配置留存设置。

------
#### [ Console ]

1. 在上打开 Security Lake 控制台[https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)。

1. 到达入门流程的**第 2 步：定义目标**后，在**选择存储类**下选择**添加转换**。然后选择要将 S3 对象转换为哪个 Amazon S3 存储类。（未列出的默认存储类是 **S3 Standard**。） 您还要为该存储类指定留存期（以天为单位）。要在该时段后将对象转换为其他存储类，请选择**添加转换**，然后输入后续存储类和留存期的设置。

1. 要指定 S3 对象的过期时间，请选择**添加转换**。然后，对于存储类，选择**过期**。对于留存期，输入您想在对象创建后使用任意存储类将其存储在 Amazon S3 中的总天数。该时间段结束后，对象将过期，Amazon S3 会将其删除。

1. 完成后，选择 **Next (下一步)**。

您的更改将适用于您在之前的入门步骤中启用了 Security Lake 的所有区域。

------
#### [ API ]

要在登录 Security Lake 时以编程方式配置保留设置，请使用 Security Lake API 的[https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)操作。如果您使用的是 AWS CLI，请运行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html) 命令。在`lifecycleConfiguration`参数中指定所需的保留设置，如下所示：
+ 对于 `transitions`，请指定要在特定 Amazon S3 存储类 (`storageClass`) 中存储 S3 对象的总天数 (`days`)。
+ 对于 `expiration`，可以使用任意存储类指定对象创建后在 Amazon S3 中存储对象的总天数。该时间段结束后，对象将过期，Amazon S3 会将其删除。

Security Lake 会将设置应用到您在 `configurations` 对象的 `region` 字段中指定的区域。

例如，以下命令在`us-east-1`区域中启用安全湖。在该区域中，对象在 365 天后过期，对象在 60 天后转换到 `ONEZONE_IA` S3 存储类别。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default"
```

------

### 更新留存设置
<a name="update-retention-settings"></a>

启用 Security Lake 后，请按照以下说明更新一个或多个区域的留存设置。

------
#### [ Console ]

1. 在上打开 Security Lake 控制台[https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)。

1. 在导航窗格中，选择**区域**

1. 选择一个区域，然后选择**编辑**。

1. 在**选择存储类**部分，输入所需设置。对于存储类，选择要将 S3 对象转换为哪个 Amazon S3 存储类。（未列出的默认存储类是 **S3 Standard**。） 对于留存期，请输入要将对象存储在该存储类中的天数。您可以指定多个转换。

   要指定 S3 对象的过期时间，请为存储类选择**过期**。对于留存期，输入您想在对象创建后使用任意存储类将其存储在 Amazon S3 中的总天数。该时间段结束后，对象将过期，Amazon S3 会将其删除。

1. 完成后，选择**保存**。

------
#### [ API ]

要以编程方式更新保留设置，请使用 Security Lake API 的[https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)操作。如果您使用的是 AWS CLI，请运行[https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html](https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html)命令。在您的请求中，使用`lifecycleConfiguration`参数指定新设置：
+ 要更改转换设置，请使用 `transitions` 参数指定要在特定 Amazon S3 存储类 (`days`) 中存储 S3 对象的每个新时间段 (`storageClass`)。
+ 要更改总体留存期，请使用 `expiration` 参数指定在创建对象后使用任意存储类存储 S3 对象的总天数。此留存期结束后，对象将过期，Amazon S3 会将其删除。

Security Lake 会将设置应用到您在 `configurations` 对象的 `region` 字段中指定的区域。

Security Lake API 的`UpdateDataLake`操作作为 “upsert” 操作，如果指定的项目或记录不存在，则执行插入，如果已存在，则执行更新。Security Lake 使用 AWS 加密解决方案安全地存储您的静态数据。

在当前使用 KMS `encryptionConfiguration` 的更新调用中包含的区域中省略该密钥将保留该区域的 KMS 密钥，但指定密钥将在同一区域重置该密钥。

例如，以下 AWS CLI 命令更新该`us-east-1`区域的数据过期设置和存储过渡设置。在该区域中，对象在 500 天后过期，对象在 30 天后转换到 `ONEZONE_IA` S3 存储类别。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default"
```

------

## 汇总区域
<a name="configure-rollup-region"></a>

汇总区域整合了来自一个或多个数据提供区域的数据。这可以帮助您遵守区域数据合规性要求。

有关配置汇总区域的说明，请参阅[在 Security Lake 中配置汇总区域](add-rollup-region.md)。