Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Behebung von Problemen in Security Lake
<a name="security-lake-troubleshoot"></a>

Wenn Sie bei der Arbeit mit Amazon Security Lake auf Probleme stoßen, verwenden Sie die folgenden Ressourcen zur Fehlerbehebung.

Die folgenden Themen enthalten Hinweise zur Fehlerbehebung bei Fehlern und Problemen, die im Zusammenhang mit dem Data Lake-Status, Lake Formation, Abfragen in Amazon Athena AWS Organizations und IAM auftreten können. Wenn Sie ein Problem finden, das hier nicht aufgeführt ist, können Sie es über die `Feedback` Schaltfläche auf dieser Seite melden.

Lesen Sie die folgenden Themen, falls Sie bei der Verwendung von Security Lake auf Probleme stoßen.

**Topics**
+ [Fehlerbehebung beim Data Lake-Status](securitylake-data-lake-troubleshoot.md)
+ [Behebung von Problemen mit Lake Formation](securitylake-lf-troubleshoot.md)
+ [Problembehandlung bei Abfragen in Amazon Athena](querying-troubleshoot.md)
+ [Behebung von Problemen mit Organizations](securitylake-orgs-troubleshoot.md)
+ [Fehlerbehebung bei Identität und Zugriff auf Amazon Security Lake](security_iam_troubleshoot.md)

# Fehlerbehebung beim Data Lake-Status
<a name="securitylake-data-lake-troubleshoot"></a>

Auf der Seite **Probleme** der Security Lake-Konsole finden Sie eine Zusammenfassung der Probleme, die Ihren Data Lake betreffen. Beispielsweise kann Security Lake die Protokollerfassung für AWS CloudTrail Verwaltungsereignisse nicht aktivieren, wenn Sie keinen CloudTrail Trail für Ihre Organisation erstellt haben. Auf der Seite **Probleme** werden Probleme behandelt, die in den letzten 14 Tagen aufgetreten sind. Sie können eine Beschreibung der einzelnen Probleme und die vorgeschlagenen Schritte zur Problembehebung einsehen.

Um programmgesteuert auf eine Zusammenfassung der Probleme zuzugreifen, können Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html)Betrieb der Security Lake-API verwenden. Wenn Sie den verwenden AWS CLI, führen Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/list-data-lake-exceptions.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/list-data-lake-exceptions.html)Befehl aus. Für den `regions` Parameter können Sie einen oder mehrere Regionscodes angeben, z. B. für die Region USA Ost (Nord-Virginia), `us-east-1` um sich über die Probleme zu informieren, die diese Regionen betreffen. Wenn Sie den `regions` Parameter nicht angeben, werden Probleme zurückgegeben, die alle Regionen betreffen. Eine Liste der Regionscodes finden Sie unter [Amazon Security Lake-Endpoints](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) in der *Allgemeine AWS-Referenz*.

Der folgende AWS CLI Befehl listet beispielsweise Probleme auf, die sich auf die `eu-west-3` Regionen `us-east-1` und auswirken. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securitylake list-data-lake-exceptions \
--regions "us-east-1" "eu-west-3"
```

Verwenden Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html)Betrieb der Security Lake-API, um einen Security Lake-Benutzer über ein Problem oder einen Fehler zu informieren. Der Benutzer kann per E-Mail, Lieferung an eine Amazon Simple Queue Service (Amazon SQS) -Warteschlange, Lieferung an eine AWS Lambda Funktion oder ein anderes unterstütztes Protokoll benachrichtigt werden.

Mit dem folgenden AWS CLI Befehl werden beispielsweise Benachrichtigungen über Security Lake-Ausnahmen per SMS-Versand an das angegebene Konto gesendet. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securitylake create-data-lake-exception-subscription \
--notification-endpoint "123456789012" \
--exception-time-to-live 30 \
--subscription-protocol "sms"
```

Um Details zu einem Ausnahmeabonnement anzuzeigen, können Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeExceptionSubscription.html)Vorgang verwenden. Um ein Ausnahmeabonnement zu aktualisieren, können Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLakeExceptionSubscription.html)Vorgang verwenden. Um ein Ausnahmeabonnement zu löschen und Benachrichtigungen zu beenden, können Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteDataLakeExceptionSubscription.html)Vorgang verwenden.

# Behebung von Problemen mit Lake Formation
<a name="securitylake-lf-troubleshoot"></a>

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Security Lake und AWS Lake Formation Datenbanken oder Tabellen auftreten können. Weitere Themen zur Problembehandlung bei Lake Formation finden Sie im Abschnitt [zur Fehlerbehebung](https://docs.aws.amazon.com/lake-formation/latest/dg/troubleshooting.html) im *AWS Lake Formation Entwicklerhandbuch*.

## Die Tabelle wurde nicht gefunden
<a name="securitylake-lf-table-not-found"></a>

Möglicherweise wird dieser Fehler angezeigt, wenn Sie versuchen, einen Abonnenten zu erstellen.

Um diesen Fehler zu beheben, stellen Sie sicher, dass Sie bereits Quellen in der Region hinzugefügt haben. Wenn Sie Quellen hinzugefügt haben, als der Security Lake-Dienst in der Vorschauversion war, müssen Sie sie erneut hinzufügen, bevor Sie einen Abonnenten erstellen können. Weitere Informationen zum Hinzufügen von Quellen finden Sie unter[Quellenverwaltung in Security Lake](source-management.md).

## 400 AccessDenied
<a name="securitylake-lf-access-denied"></a>

Möglicherweise erhalten Sie diesen Fehler, wenn Sie [eine benutzerdefinierte Quelle hinzufügen](adding-custom-sources.md) und die `CreateCustomLogSource` API aufrufen.

Um den Fehler zu beheben, überprüfen Sie Ihre Lake Formation Formation-Berechtigungen. Die IAM-Rolle, die die API aufruft, sollte über die Berechtigungen zum **Erstellen von Tabellen** für die Security Lake-Datenbank verfügen. Weitere Informationen finden Sie unter [Gewähren von Datenbankberechtigungen mithilfe der Lake Formation Formation-Konsole und der Methode für benannte Ressourcen](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html) im *AWS Lake Formation Entwicklerhandbuch*.

## SYNTAX\$1ERROR: Zeile 1:8: SELECT \$1 ist für eine Beziehung, die keine Spalten hat, nicht zulässig
<a name="securitylake-lf-syntax-error-select"></a>

Möglicherweise erhalten Sie diesen Fehler, wenn Sie eine Quelltabelle zum ersten Mal in Lake Formation abfragen.

Um den Fehler zu beheben, erteilen Sie der IAM-Rolle, die Sie verwenden, die `SELECT` Berechtigung, wenn Sie bei Ihrem angemeldet sind. AWS-Konto Anweisungen zum Erteilen `SELECT` von [Berechtigungen finden Sie unter Erteilen von Tabellenberechtigungen mithilfe der Lake Formation Formation-Konsole und der benannten Ressourcenmethode](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-table-permissions.html) im *AWS Lake Formation Entwicklerhandbuch*.

## Security Lake konnte den Prinzipal-ARN des Anrufers nicht zum Lake Formation Data Lake Admin hinzufügen. Aktuelle Data Lake-Administratoren schließen möglicherweise ungültige Principals ein, die nicht mehr existieren.
<a name="securitylake-lf-admin-invalid-principals"></a>

Dieser Fehler wird möglicherweise angezeigt, wenn Sie Security Lake aktivieren oder eine AWS-Service als Protokollquelle hinzufügen.

Gehen Sie wie folgt vor, um den Fehler zu beheben:

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Melden Sie sich als Administratorbenutzer an.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Administrative Rollen und Aufgaben** aus.

1. Wählen Sie im Abschnitt **Data Lake-Administratoren** die Option **Administratoren auswählen aus**.

1. **Löschen Sie die Hauptbenutzer mit der Bezeichnung **Nicht in IAM gefunden**, und wählen Sie dann Speichern aus.**

1. Führen Sie den Security Lake-Vorgang erneut aus.

## Security Lake CreateSubscriber with Lake Formation hat keine neue Einladung zur gemeinsamen Nutzung von RAM-Ressourcen erstellt, um akzeptiert zu werden
<a name="securitylake-lf-ram-resource-share"></a>

Dieser Fehler wird möglicherweise angezeigt, wenn Sie Ressourcen mit [Lake Formation Version 2 oder Version 3 für die kontoübergreifende Datenfreigabe](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html) gemeinsam genutzt haben, bevor Sie einen Lake Formation Formation-Abonnenten in Security Lake erstellt haben. Dies liegt daran, dass die kontenübergreifende Nutzung von Lake Formation Version 2 und Version 3 die Anzahl der AWS RAM-Ressourcenfreigaben optimiert, indem mehrere kontoübergreifende Zugriffsberechtigungen einer AWS RAM-Ressourcenfreigabe zugeordnet werden.

Vergewissern Sie sich, dass der Name der Ressourcenfreigabe die externe ID hat, die Sie bei der Erstellung des Abonnenten angegeben haben, und dass der Resource Share-ARN mit dem ARN in der `CreateSubscriber` Antwort übereinstimmt.

# Problembehandlung bei Abfragen in Amazon Athena
<a name="querying-troubleshoot"></a>

Verwenden Sie die folgenden Informationen, um allgemeine Probleme zu diagnostizieren und zu beheben, die auftreten können, wenn Sie Athena verwenden, um Objekte abzufragen, die in Ihrem Security Lake S3-Bucket gespeichert sind. Weitere Themen zur Athena-Fehlerbehebung finden Sie im Abschnitt [Fehlerbehebung in Athena](https://docs.aws.amazon.com/athena/latest/ug/troubleshooting-athena.html) im *Amazon Athena Athena-Benutzerhandbuch*.

## Beim Abfragen werden keine neuen Objekte im Data Lake zurückgegeben
<a name="query-not-returning-objects"></a>

Ihre Athena-Abfrage gibt möglicherweise keine neuen Objekte in Ihrem Data Lake zurück, selbst wenn der S3-Bucket für Security Lake diese Objekte enthält. Dies kann der Fall sein, wenn Sie Security Lake deaktiviert und dann wieder aktiviert haben. Das hat zur Folge, dass die AWS Glue Partitionen die neuen Objekte möglicherweise nicht richtig registrieren.

Gehen Sie folgendermaßen vor, um den Fehler zu beheben:

1. Öffnen Sie die AWS Lambda Konsole unter [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).

1. Wählen Sie in der Navigationsleiste in der Regionsauswahl die Region aus, in der Security Lake aktiviert ist, die Athena-Abfrage jedoch keine Ergebnisse zurückgibt.

1. Wählen Sie im Navigationsbereich **Funktionen** und wählen Sie die Funktion je nach Quellversion aus der folgenden Liste aus:
   + `Source version 1 (OCSF 1.0.0-rc.2) `— Funktion **SecurityLake\$1Glue\$1Partition\$1Updater\$1Lambda\$1 *≪region>***.
   + `Source version 2 (OCSF 1.1.0)`**AmazonSecurityLakeMetastoreManager— \$1 Funktion. *≪region>***

1. Wählen Sie auf der Registerkarte **Konfigurationen** die Option **Trigger aus**.

1. Wählen Sie die Option neben der Funktion aus und klicken Sie auf **Bearbeiten**.

1. Wählen Sie **Auslöser aktivieren** und dann **Speichern** aus. Dadurch wird der Funktionsstatus auf **Aktiviert gesetzt**.

## Auf AWS Glue Tabellen kann nicht zugegriffen werden
<a name="access-glue-tables"></a>

Ein Abonnent für den Abfragezugriff kann möglicherweise nicht auf AWS Glue Tabellen zugreifen, die Security Lake-Daten enthalten.

Stellen Sie zunächst sicher, dass Sie die unter beschriebenen Schritte befolgt haben[Einrichtung der kontenübergreifenden gemeinsamen Nutzung von Tabellen (Abonnentenschritt)](create-query-subscriber-procedures.md#grant-query-access-subscriber).

Wenn der Abonnent immer noch keinen Zugriff hat, gehen Sie wie folgt vor:

1. Öffnen Sie die AWS Glue Konsole unter [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).

1. Wählen Sie im Navigationsbereich **Datenkatalog und **Katalogeinstellungen**** aus.

1. Erteilen Sie dem Abonnenten die Erlaubnis, mit einer ressourcenbasierten Richtlinie auf die AWS Glue Tabellen zuzugreifen. *Informationen zum Erstellen ressourcenbasierter Richtlinien finden Sie unter [Beispiele für ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/glue/latest/dg/security_iam_resource-based-policy-examples.html) im Entwicklerhandbuch. AWS GlueAWS Glue *

# Behebung von Problemen mit Organizations
<a name="securitylake-orgs-troubleshoot"></a>

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Security Lake und auftreten können AWS Organizations. Weitere Themen zur Problembehandlung für Organizations finden Sie im Abschnitt [Problembehandlung](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_troubleshoot.html) des *AWS Organizations Benutzerhandbuchs*.

## Beim Aufrufen des CreateDataLake Vorgangs ist ein Fehler aufgetreten: Ihr Konto muss das delegierte Administratorkonto für eine Organisation oder ein eigenständiges Konto sein.
<a name="securitylake-orgs-delegated-admin-invalid"></a>

Dieser Fehler wird möglicherweise angezeigt, wenn Sie die Organisation löschen, zu der ein delegiertes Administratorkonto gehörte, und dann versuchen, mit diesem Konto Security Lake mithilfe der Security Lake-Konsole oder der [CreateDataLake](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)API einzurichten.

Um den Fehler zu beheben, verwenden Sie ein delegiertes Administratorkonto einer anderen Organisation oder ein eigenständiges Konto.

# Fehlerbehebung bei Identität und Zugriff auf Amazon Security Lake
<a name="security_iam_troubleshoot"></a>

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Security Lake und IAM auftreten können.

## Ich bin nicht berechtigt, eine Aktion in Security Lake durchzuführen
<a name="security_iam_troubleshoot-no-permissions"></a>

Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt hat.

Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, die Konsole zu verwenden, um Details zu einem fiktiven Objekt anzuzeigen, `subscriber` aber nicht über die fiktiven `SecurityLake:GetSubscriber` Berechtigungen verfügt.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: YOURSERVICEPREFIX:GetWidget on resource: my-example-widget
```

In diesem Fall bittet Mateo seinen Administrator, seine Richtlinien zu aktualisieren, damit er mithilfe der Aktion auf die `subscriber` Informationen zugreifen kann. `SecurityLake:GetSubscriber`

## Ich möchte die Berechtigungen über die verwalteten Richtlinien hinaus erweitern
<a name="security_iam_troubleshoot-mutating"></a>

Alle IAM-Rollen, die von einem Abonnenten oder einer benutzerdefinierten Protokollquelle erstellt wurden, APIs sind an die `AmazonSecurityLakePermissionsBoundary` verwaltete Richtlinie gebunden. Wenn Sie die Berechtigungen über die verwaltete Richtlinie hinaus erweitern möchten, können Sie die verwaltete Richtlinie aus der Berechtigungsgrenze der Rolle entfernen. Bei der Interaktion mit mutierenden Security Lake APIs for DataLakes und Abonnenten muss jedoch die Rechtegrenze angehängt werden, damit IAM die IAM-Rolle mutieren kann.

## Ich bin nicht berechtigt, IAM auszuführen: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Wenn Sie die Fehlermeldung erhalten, dass Sie nicht autorisiert sind, die `iam:PassRole` Aktion auszuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Security Lake übergeben können.

Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.

Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Security Lake auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Security Lake-Ressourcen ermöglichen
<a name="security_iam_troubleshoot-cross-account-access"></a>

Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Security Lake diese Funktionen unterstützt, finden Sie unter. [So funktioniert Security Lake mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im [IAM-Benutzerhandbuch unter Gewähren von Zugriff für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.