Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Gestión de regiones en Security Lake
<a name="manage-regions"></a>

Amazon Security Lake puede recopilar registros de seguridad y eventos Regiones de AWS en los que haya activado el servicio. Para cada región, sus datos se almacenan en un bucket de Amazon S3 diferente. Puede especificar diferentes configuraciones de lago de datos (por ejemplo, diferentes orígenes y ajustes de retención) para diferentes regiones. También puede definir una más regiones acumulativas para consolidar los datos de varias regiones.

## Comprobación del estado de la región
<a name="check-region-status"></a>

Security Lake puede recopilar datos en varios Regiones de AWS. Para realizar un seguimiento del estado de su lago de datos, puede resultar útil entender cómo está configurada actualmente cada región. Elija el método de acceso que prefiera y siga estos pasos para obtener el estado actual de una región.

------
#### [ Console ]

**Para comprobar el estado de la región**

1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. En el panel de navegación, elija **Regiones**. Aparecerá la página **Regiones**, que ofrece un resumen de las regiones en las que Security Lake está activado actualmente.

1. Seleccione una región y, a continuación, elija **Editar** para ver los detalles de esa región.

------
#### [ API ]

Para obtener el estado de la recopilación de registros en la región actual, utilice el [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeSources.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeSources.html)funcionamiento de la API de Security Lake. Si está utilizando el AWS CLI, ejecute el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/get-data-lake-sources.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/get-data-lake-sources.html)comando. Para el `accounts` parámetro, especifique uno o más en Cuenta de AWS IDs forma de lista. Si su solicitud es correcta, Security Lake devolverá una instantánea de las cuentas de la región actual, incluidas AWS las fuentes de las que Security Lake recopila datos y el estado de cada fuente. Si no incluye el `accounts` parámetro, la respuesta incluye el estado de la recopilación de registros de todas las cuentas en las que Security Lake está configurado en la región actual.

Por ejemplo, el siguiente AWS CLI comando recupera el estado de la recopilación de registros de las cuentas especificadas en la región actual. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"
```

El siguiente AWS CLI comando muestra el estado de la recopilación de registros de todas las cuentas y fuentes habilitadas en la región especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securitylake get-data-lake-sources \
--regions "us-east-1" \
--query 'dataLakeSources[].[account,sourceName]'
```

Para determinar si ha activado Security Lake para una región, utilice la [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html)operación. Si está utilizando el AWS CLI, ejecute el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/list-data-lakes.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/list-data-lakes.html)comando. Para el parámetro `regions`, especifique el código de región de la región; por ejemplo, `us-east-1` para la región Este de EE. UU. (Norte de Virginia). Para obtener una lista de los códigos de región, consulte los [puntos de conexión de Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) en la *Referencia general de AWS*. La operación `ListDataLakes` devuelve los ajustes de configuración del lago de datos para cada región que especifique en su solicitud. Si no especifica una región, Security Lake devuelve el estado y los ajustes de configuración de su lago de datos en cada región en la que Security Lake esté disponible.

Por ejemplo, el siguiente AWS CLI comando muestra el estado y los ajustes de configuración de su lago de datos en la `eu-central-1` región. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securitylake list-data-lakes \
--regions "us-east-1" "eu-central-1"
```

------

## Cambiar la configuración de la región
<a name="configure-region-settings"></a>

Elija el método que prefiera y siga estas instrucciones para actualizar la configuración del lago de datos en una o más Regiones de AWS.

------
#### [ Console ]

1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. En el panel de navegación, elija **Regiones**.

1. Seleccione una región y, a continuación, elija **Editar**.

1. Marque la casilla de verificación **Anular los orígenes de todas las cuentas en *<Región>*** para confirmar que las selecciones que realice aquí anulan las selecciones anteriores de esta región.

1. En **Seleccionar clases de almacenamiento**, elija **Añadir transición** para añadir nuevas clases de almacenamiento a tus datos.

1. En **Etiquetas**, puede asignar o editar las etiquetas de la región. Una *etiqueta* es una etiqueta que puede definir y asignar a ciertos tipos de AWS recursos, incluida la configuración del lago de datos para su región Cuenta de AWS en particular. Para obtener más información, consulte [Etiquetado de los recursos de Security Lake](tagging-resources.md).

1. Para convertir una región en una región acumulativa, seleccione **Regiones acumulativas** (en **Configuración**) en el panel de navegación. Después elija **Modificar**. En la sección **Seleccionar regiones de acumulación**, elija **Añadir región de acumulación**. Seleccione las regiones que contribuyen y dé permiso a Security Lake para replicar datos en varias regiones. Cuando termine, seleccione **Guardar** para guardar sus cambios.

------
#### [ API ]

Para actualizar la configuración regional de su lago de datos mediante programación, utilice el [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)funcionamiento de la API de Security Lake. Si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html](https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html)comando. Para el parámetro `region`, especifique el código de región de la región para la que quiere hacer cambios; por ejemplo, `us-east-1` para la región Este de EE. UU. (Norte de Virginia). Para obtener una lista de los códigos de región, consulte los [puntos de conexión de Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) en la *Referencia general de AWS*.

Utilice parámetros adicionales para especificar un nuevo valor para cada configuración que desee cambiar, por ejemplo, la clave de cifrado (`encryptionConfiguration`) y la configuración de retención (`lifecycleConfiguration`). 

Por ejemplo, el siguiente AWS CLI comando actualiza la configuración de caducidad de los datos y de transición de las clases de almacenamiento de la `us-east-1` región. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ update-data-lake \
--configurations '[{"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":45,"storageClass":"ONEZONE_IA"}]}}]'
```

------

# Configuración de regiones acumulativas en Security Lake
<a name="add-rollup-region"></a>

Una región acumulativa consolida los datos de una o más regiones contribuyentes. Especificar una región acumulativa puede ayudarle a cumplir con los requisitos de conformidad regionales.

Debido a las limitaciones de Amazon S3, no se admite la replicación desde un lago de datos regional cifrado con clave administrada por el cliente (CMK) a un lago de datos regional cifrado administrado por S3 (cifrado predeterminado).

**importante**  
Si ha creado una fuente personalizada, para garantizar que los datos de la fuente personalizada se repliquen correctamente en el destino, Security Lake recomienda seguir las prácticas recomendadas descritas en la sección Prácticas recomendadas [para la ingesta](https://docs.aws.amazon.com//security-lake/latest/userguide/custom-sources.html#custom-sources-best-practices) de fuentes personalizadas. La replicación no se puede realizar en datos que no sigan el formato de ruta de datos de particiones S3, tal como se describe en la página.

Antes de añadir una región acumulativa, primero debe crear dos funciones diferentes en AWS Identity and Access Management (IAM):
+ [Rol de IAM para la replicación de datos](#iam-role-replication)
+ [Función de IAM para registrar particiones AWS Glue](#iam-role-partitions)

**nota**  
Security Lake crea estas funciones de IAM o utiliza las funciones existentes en su nombre cuando utiliza la consola de Security Lake. Sin embargo, debe crear estas funciones cuando utilice la API de Security Lake o AWS CLI.

## Rol de IAM para la replicación de datos
<a name="iam-role-replication"></a>

Este rol de IAM otorga permiso a Amazon S3 para replicar registros y eventos de origen en varias regiones.

Para conceder estos permisos, cree un rol de IAM que comience con el prefijo `SecurityLake` y adjunte el siguiente ejemplo de política al rol. Necesitará el nombre de recurso de Amazon (ARN) del rol al crear una región acumulativa en Security Lake. En esta política, `sourceRegions` son regiones contribuyentes y `destinationRegions` son regiones acumulativas.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowReadS3ReplicationSetting",
      "Action": [
        "s3:ListBucket",
        "s3:GetReplicationConfiguration",
        "s3:GetObjectVersionForReplication",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectRetention",
        "s3:GetObjectLegalHold"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    },
    {
      "Sid": "AllowS3Replication",
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete",
        "s3:ReplicateTags",
        "s3:GetObjectVersionTagging"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    }
  ]
}
```

------

Para conceder permiso a Amazon S3 para asumir el rol, asigne la siguiente política de confianza al rol:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowS3ToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

Si utiliza una clave gestionada por el cliente de AWS Key Management Service (AWS KMS) para cifrar su lago de datos de Security Lake, debe conceder los siguientes permisos además de los permisos de la política de replicación de datos.

```
{
    "Action": [
        "kms:Decrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "s3.{sourceRegion1}.amazonaws.com",
                "s3.{sourceRegion2}.amazonaws.com"
                ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
            ]
        }
    },
    "Resource": [
        "{sourceRegion1KmsKeyArn}",
        "{sourceRegion2KmsKeyArn}"
    ]
},
{
    "Action": [
        "kms:Encrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
            "s3.{destinationRegion1}.amazonaws.com",
            ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
            ]
        }
    },
    "Resource": [
            "{destinationRegionKmsKeyArn}"
    ]
}
```

Para obtener más información sobre las funciones de replicación, consulte [Configuración de permisos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/setting-repl-config-perm-overview.html) en la *Guía del usuario de Amazon Simple Storage Service*.

## Función de IAM para registrar particiones AWS Glue
<a name="iam-role-partitions"></a>

Esta función de IAM concede permisos a una AWS Lambda función de actualización de particiones utilizada por Security Lake para registrar AWS Glue las particiones de los objetos de S3 que se replicaron desde otras regiones. Si no se crea este rol, los suscriptores no pueden consultar los eventos de esos objetos.

Para conceder estos permisos, cree un rol con el nombre `AmazonSecurityLakeMetaStoreManager` (es posible que ya lo haya creado al incorporarse a Security Lake). Para obtener más información sobre este rol, incluido una política de ejemplo, consulte [Paso 1: Crear funciones de IAM](get-started-programmatic.md#prerequisites).

En la consola de Lake Formation, también debe conceder los permisos `AmazonSecurityLakeMetaStoreManager` como administrador del lago de datos siguiendo estos pasos:

1. Abra la consola de Lake Formation en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Inicie sesión como usuario administrativo.

1. Si aparece la **ventana de bienvenida a Lake Formation**, elija el usuario de IAM que creó o seleccionó en el Paso 1 y, a continuación, elija Comenzar.

1. Si no aparece la **ventana de bienvenida a Lake Formation**, siga estos pasos para configurar un administrador de Lake Formation.

   1. En el panel de navegación, en **Permisos**, elija **Roles y tareas administrativas**. En la sección **Administradores de lago de datos** de la página de la consola, seleccione **Elegir administradores**.

   1. **En el cuadro de diálogo **Administrar administradores de lagos de datos**, para los usuarios y roles de IAM, elija el rol de **AmazonSecurityLakeMetaStoreManager**IAM que creó y, a continuación, elija Guardar.**

Para obtener más información sobre cómo cambiar los permisos de los administradores de lagos de datos, consulte [Crear un administrador de lagos de datos](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin) en la Guía para *AWS Lake Formation desarrolladores*.

## Añadir regiones acumulativas
<a name="procedures-add-rollup-region"></a>

Elija el método de acceso que prefiera y siga estos pasos para añadir una región acumulativa.

**nota**  
Una región puede aportar datos a varias regiones acumulativas. Sin embargo, una región acumulativa no puede ser una región que contribuya a otra región acumulativa.

------
#### [ Console ]

1. Abra la consola de Security Lake en [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. En el panel de navegación, en **Configuración**, seleccione **Regiones acumulativas**.

1. Seleccione **Modificar** y, a continuación, seleccione **Añadir región acumulativa**.

1. Especifique la región acumulativa y las regiones que contribuirán. Repita este paso si desea agregar varias regiones acumulativas.

1. Si es la primera vez que agrega una región acumulativa, para **Acceso al servicio**, cree un nuevo rol de IAM o utilice un rol de IAM existente que dé permiso a Security Lake para replicar datos en varias regiones.

1. Cuando termine, elija **Guardar**.

También puede añadir una región acumulativa al embarcar en Security Lake. Para obtener más información, consulte [Introducción a Amazon Security Lake](getting-started.md).

------
#### [ API ]

Para añadir una región acumulativa mediante programación, utilice el [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)funcionamiento de la API de Security Lake. Si está utilizando el AWS CLI, ejecute el comando. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) En su solicitud, utilice el campo `region` para especificar la región que desea que aporte datos a la región acumulativa. En la `regions` matriz del `replicationConfiguration` parámetro, especifique el código de región para cada región acumulada. Para obtener una lista de los códigos de región, consulte los [puntos de conexión de Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) en la *Referencia general de AWS*.

Por ejemplo, el siguiente comando se establece `ap-northeast-2` como una región acumulativa. La `us-east-1` región aportará datos a la `ap-northeast-2` región. En este ejemplo también se establece un período de caducidad de 365 días para los objetos que se agreguen al lago de datos. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'
```

También puede añadir una región acumulativa al embarcar en Security Lake. Para ello, utilice la [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)operación (o, si utiliza el AWS CLI, el [create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)comando). Para obtener más información sobre la configuración de las regiones acumulables durante la incorporación, consulte. [Introducción a Amazon Security Lake](getting-started.md)

------

## Actualizar o eliminar regiones acumulativas
<a name="procedures-update-remove-rollup-region"></a>

Elija el método de acceso que prefiera y siga estos pasos para actualizar o eliminar las regiones acumulativas en Security Lake.

------
#### [ Console ]

1. Abra la consola de Security Lake en. [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)

1. En el panel de navegación, en **Configuración**, seleccione **Regiones acumulativas**.

1. Elija **Modificar**.

1. Para cambiar las regiones contribuyentes por una región acumulativa, especifique las regiones contribuyentes actualizadas en la fila correspondiente a la región acumulativa.

1. Para eliminar una región acumulativa, seleccione **Eliminar** en la fila de regiones acumulativas.

1. Cuando termine, elija **Guardar**.

------
#### [ API ]

Para configurar las regiones acumulativas mediante programación, utilice la API de [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)Security Lake. Si está utilizando el AWS CLI, ejecute el comando. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) En su solicitud, utilice los parámetros compatibles para especificar la configuración de región acumulativa:
+ Para añadir una región contribuyente, utilice el campo `region` para especificar el código de la región que desee añadir. En la matriz `regions` del objeto `replicationConfiguration`, especifique el código de región de cada región acumulativa a la que desee aportar datos. Para obtener una lista de los códigos de región, consulte los [puntos de conexión de Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) en la *Referencia general de AWS*.
+ Para eliminar una región contribuyente, utilice el campo `region` para especificar el código de la región que desee eliminar. No especifique ningún valor para los parámetros `replicationConfiguration`.

Por ejemplo, el siguiente comando configura ambas regiones `us-east-1` y `us-east-2` como regiones colaboradoras. Ambas regiones aportarán datos a la región `ap-northeast-3` acumulada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'
```

------