本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 啟用 Security Lake 時的考量事項 **啟用 Security Lake 之前,請考慮下列事項**: + Security Lake 提供跨區域管理功能,這表示您可以跨 建立資料湖並設定日誌收集 AWS 區域。若要[在所有支援的區域中](supported-regions.md)啟用 Security Lake,您可以選擇任何支援的 區域端點。您也可以新增[彙總區域](add-rollup-region.md),將多個區域的資料彙總到單一區域。 + 建議您在所有支援的 中啟用 Security Lake AWS 區域。如果您這樣做,Security Lake 可以收集連線至未經授權或異常活動的資料,即使在您未主動使用的區域中也是如此。如果 Security Lake 未在所有支援的區域中啟用,則其從您在多個區域中使用的其他 服務收集資料的能力會降低。 + 當您第一次在任何區域中啟用 Security Lake 時,它會為您的帳戶建立下列服務連結角色: + [AWSServiceRoleForSecurityLake](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html):此角色包含 AWS 服務 代表您呼叫其他 並操作安全資料湖的許可。如果您啟用 Security Lake 做為[委派的 Security Lake 管理員](multi-account-management.md#delegated-admin-important),Security Lake 會在[組織中的每個成員帳戶中建立服務連結角色](using-service-linked-roles.md)。 + [AWSServiceRoleForSecurityLakeResourceManagement](https://docs.aws.amazon.com/security-lake/latest/userguide/slr-permissions.html):Security Lake 使用此角色來執行持續的監控和效能改善,這可能會降低延遲和成本。此服務連結角色信任`resource-management.securitylake.amazonaws.com`服務擔任該角色。啟用此服務角色也會授予 Lake Formation 的存取權。 如需有關這如何影響 2025 年 4 月 17 日之前啟用 Security Lake 的現有帳戶的資訊,請參閱 [Update for existing accounts](multi-account-management.md#security-lake-existing-account-resource-management-slr)。 如需有關服務連結角色如何運作的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)。 + Security Lake 不支援 Amazon S3 物件鎖定。建立資料湖儲存貯體時,預設會停用 S3 物件鎖定。在儲存貯體上啟用物件鎖定會中斷將標準化日誌資料交付至資料湖。 + 如果您要在區域中重新啟用 Security Lake,您必須從先前使用的 Security Lake 中刪除該區域的對應 AWS Glue 資料庫。