Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Solución de problemas en Security Lake
<a name="security-lake-troubleshoot"></a>

Si tiene problemas al trabajar con Amazon Security Lake, utilice los siguientes recursos de solución de problemas.

En los siguientes temas se proporcionan consejos para la solución de errores y problemas que puedan surgir relacionados con el estado de los lagos de datos, Lake Formation, las consultas en Amazon Athena AWS Organizations y la IAM. Si encuentra un problema que no aparece aquí, puede utilizar el `Feedback` botón de esta página para informarlo.

Consulte los siguientes temas si tiene problemas al utilizar Security Lake.

**Topics**
+ [Solución de problemas del estado del lago de datos](securitylake-data-lake-troubleshoot.md)
+ [Solución de problemas de Lake Formation](securitylake-lf-troubleshoot.md)
+ [Solución de problemas de consultas en Amazon Athena](querying-troubleshoot.md)
+ [Solución de problemas de Organizations](securitylake-orgs-troubleshoot.md)
+ [Solución de problemas de identidad y acceso de Amazon Security Lake](security_iam_troubleshoot.md)

# Solución de problemas del estado del lago de datos
<a name="securitylake-data-lake-troubleshoot"></a>

La página de **problemas** de la consola de Security Lake muestra un resumen de los problemas que afectan a su lago de datos. Por ejemplo, Security Lake no puede habilitar la recopilación de registros para los eventos de AWS CloudTrail administración si no ha creado un CloudTrail registro para su organización. La página de **problemas** cubre los problemas que se han producido en los últimos 14 días. Puedes ver una descripción de cada problema y los pasos de solución sugeridos.

Para acceder mediante programación a un resumen de los problemas, puede utilizar el [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html)funcionamiento de la API de Security Lake. Si está utilizando el AWS CLI, ejecute el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/list-data-lake-exceptions.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/list-data-lake-exceptions.html)comando. Para el `regions` parámetro, puede especificar uno o más códigos de región, por ejemplo, `us-east-1` para la región EE.UU. Este (Virginia del Norte), para ver los problemas que afectan a esas regiones. Si no incluye el `regions` parámetro, se devolverán los problemas que afectan a todas las regiones. Para obtener una lista de los códigos de región, consulte los [puntos de conexión de Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) en la *Referencia general de AWS*.

Por ejemplo, el siguiente AWS CLI comando muestra los problemas que afectan a las `eu-west-3` regiones `us-east-1` y. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securitylake list-data-lake-exceptions \
--regions "us-east-1" "eu-west-3"
```

Para notificar a un usuario de Security Lake acerca de un problema o error, [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html)utilice la API de Security Lake. El usuario puede recibir notificaciones por correo electrónico, mediante entrega a una cola de Amazon Simple Queue Service (Amazon SQS), entrega a AWS Lambda una función u otro protocolo compatible.

Por ejemplo, el siguiente AWS CLI comando envía notificaciones de las excepciones de Security Lake a la cuenta especificada mediante un envío de SMS. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securitylake create-data-lake-exception-subscription \
--notification-endpoint "123456789012" \
--exception-time-to-live 30 \
--subscription-protocol "sms"
```

Para ver los detalles de una suscripción de excepciones, puede utilizar la [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeExceptionSubscription.html)operación. Para actualizar una suscripción de excepción, puede utilizar la [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLakeExceptionSubscription.html)operación. Para eliminar una suscripción de excepciones y detener las notificaciones, puede utilizar la [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteDataLakeExceptionSubscription.html)operación.

# Solución de problemas de Lake Formation
<a name="securitylake-lf-troubleshoot"></a>

Utilice la siguiente información como ayuda para diagnosticar y solucionar problemas comunes que pueden surgir al trabajar con Security Lake y AWS Lake Formation bases de datos o tablas. Para obtener más temas de solución de problemas de Lake Formation, consulte la sección [Solución de problemas](https://docs.aws.amazon.com/lake-formation/latest/dg/troubleshooting.html) de la *Guía para desarrolladores de AWS Lake Formation *.

## Tabla no encontrada
<a name="securitylake-lf-table-not-found"></a>

Es posible que reciba este error al intentar crear un suscriptor.

Para resolver este error, asegúrese de que ya ha agregado orígenes en la región. Si agregó orígenes cuando el servicio Security Lake estaba en versión preliminar, debe volver a agregarlos antes de crear un suscriptor. Para obtener más información sobre cómo agregar orígenes, consulte [Administración de fuentes en Security Lake](source-management.md).​

## 400 AccessDenied
<a name="securitylake-lf-access-denied"></a>

Es posible que reciba este error cuando [añada un origen personalizado](adding-custom-sources.md) y llame a la API `CreateCustomLogSource`.

Para resolver el error, revise sus permisos de Lake Formation. El rol de IAM que llama a la API debe tener permisos de **creación de tablas** para la base de datos de Security Lake. Para obtener más información, consulte [Granting database permissions using the Lake Formation console and the named resource method](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html) en la *Guía para desarrolladores de AWS Lake Formation *.

## SYNTAX\$1ERROR: line 1:8: SELECT \$1 not allowed from relation that has no columns
<a name="securitylake-lf-syntax-error-select"></a>

Es posible que reciba este error al consultar una tabla de orígenes por primera vez en Lake Formation.

Para resolver el error, conceda `SELECT` permiso a la función de IAM que esté utilizando cuando haya iniciado sesión en su Cuenta de AWS. Para instrucciones sobre cómo conceder el permiso `SELECT`, consulte [Granting database permissions using the Lake Formation console and the named resource method](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-table-permissions.html) en la *Guía para desarrolladores de AWS Lake Formation *.

## Security Lake no pudo agregar el ARN de la entidad principal del intermediario al administrador del lago de datos de Lake Formation. Los administradores actuales del lago de datos pueden incluir entidades principales no válidas que ya no existen.
<a name="securitylake-lf-admin-invalid-principals"></a>

Es posible que reciba este error al habilitar Security Lake o al agregar uno Servicio de AWS como fuente de registro.

Siga estos pasos para solucionar el problema:

1. Abra la consola de Lake Formation en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Inicie sesión como usuario administrativo.

1. En el panel de navegación, en **Permisos**, elija **Roles y tareas administrativas**.

1. En la sección **Administradores de lago de datos**, elija **Elegir administradores**.

1. Borre las entidades principales que estén etiquetadas como **No se encuentra en IAM** y, a continuación, seleccione **Guardar**.

1. Vuelva a intentar la operación de Security Lake.

## Security Lake CreateSubscriber with Lake Formation no creó una nueva invitación para compartir recursos de RAM para ser aceptada
<a name="securitylake-lf-ram-resource-share"></a>

Es posible que aparezca este error si ha compartido recursos con el [uso compartido de datos entre cuentas de Lake Formation versión 2 o versión 3](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html) antes de crear un suscriptor de Lake Formation en Security Lake. Esto se debe a que el uso compartido entre cuentas de Lake Formation, versión 2 y versión 3, optimiza la cantidad de recursos compartidos de AWS RAM al mapear múltiples concesiones de permisos entre cuentas con un recurso compartido de AWS RAM.

Asegúrese de comprobar que el nombre del recurso compartido tiene el ID externo que especificó al crear el suscriptor y que el ARN del recurso compartido coincide con el ARN de la respuesta de `CreateSubscriber`.

# Solución de problemas de consultas en Amazon Athena
<a name="querying-troubleshoot"></a>

Utilice la información siguiente para diagnosticar y solucionar los problemas comunes que puedan surgir cuando utilice Athena para consultar los objetos que estén almacenados en el bucket de Security Lake S3. Para obtener más temas de solución de problemas de Athena, consulte la sección [Solución de problemas en Athena](https://docs.aws.amazon.com/athena/latest/ug/troubleshooting-athena.html) de la *Guía del usuario de Amazon Athena*.

## Las consultas no devuelven nuevos objetos al lago de datos
<a name="query-not-returning-objects"></a>

Es posible que su consulta de Athena no devuelva nuevos objetos en su lago de datos, incluso cuando el bucket de S3 de Security Lake contenga esos objetos. Esto puede ocurrir si ha desactivado Security Lake y, a continuación, lo ha vuelto a activar. Como resultado, es posible que las AWS Glue particiones no registren correctamente los nuevos objetos.

Siga estos pasos para solucionar el problema:

1. Abra la AWS Lambda consola en [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).

1. En la barra de navegación, en el selector de regiones, seleccione la región en la que Security Lake está activado pero la consulta de Athena no arroja resultados.

1. En el panel de navegación, elija **Funciones** y seleccione la función de la siguiente lista en función de la versión de origen:
   + `Source version 1 (OCSF 1.0.0-rc.2) `— Función **SecurityLake*≪region>*\$1Glue\$1Partition\$1Updater\$1Lambda\$1**.
   + `Source version 2 (OCSF 1.1.0)`**AmazonSecurityLakeMetastoreManager— \$1 función. *≪region>***

1. En la pestaña **Configuración**, elija **Agregar desencadenador**.

1. Seleccione la opción situada junto a la función y elija **Editar**.

1. Seleccione **Activar desencadenador** y, a continuación, seleccione **Guardar**. Esto cambiará el estado de la función a **Activada**.

## No se puede acceder a AWS Glue las tablas
<a name="access-glue-tables"></a>

Es posible que un suscriptor de acceso a consultas no pueda acceder a AWS Glue las tablas que contienen datos de Security Lake.

En primer lugar, asegúrese de haber seguido los pasos que se describen en [Configurar el uso compartido de tablas entre cuentas (paso de suscriptor)](create-query-subscriber-procedures.md#grant-query-access-subscriber).

Si el suscriptor sigue sin tener acceso, siga estos pasos:

1. Abra la AWS Glue consola en [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).

1. En el panel de navegación, seleccione **Catálogo de datos** y, a continuación, **Configuración del catálogo**.

1. Conceda permiso al suscriptor para acceder a las AWS Glue tablas con una política basada en los recursos. Para obtener más información sobre la creación de políticas basadas en recursos, consulte [Ejemplos de políticas basadas en recursos de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/security_iam_resource-based-policy-examples.html) en la *Guía para desarrolladores de AWS Glue *.

# Solución de problemas de Organizations
<a name="securitylake-orgs-troubleshoot"></a>

Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con Security Lake y AWS Organizations. Para obtener más temas de solución de problemas de Organizations, consulte la sección [Solución de problemas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_troubleshoot.html) de la *Guía del usuario de AWS Organizations *.

## Se produjo un error de acceso denegado al llamar a la CreateDataLake operación: tu cuenta debe ser la cuenta de administrador delegado de una organización o una cuenta independiente.
<a name="securitylake-orgs-delegated-admin-invalid"></a>

Es posible que reciba este error si elimina la organización a la que pertenecía una cuenta de administrador delegado y, a continuación, intenta utilizarla para configurar Security Lake mediante la consola o la API de Security Lake. [CreateDataLake](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)

Para resolver el error, utilice una cuenta de administrador delegado de otra organización o una cuenta independiente.

# Solución de problemas de identidad y acceso de Amazon Security Lake
<a name="security_iam_troubleshoot"></a>

Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con Security Lake e IAM.

## No tengo autorización para realizar una acción en Security Lake
<a name="security_iam_troubleshoot-no-permissions"></a>

Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le proporcionó las credenciales.

En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un `subscriber` ficticio, pero no tiene los permisos ficticios `SecurityLake:GetSubscriber`.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: YOURSERVICEPREFIX:GetWidget on resource: my-example-widget
```

En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso a la información del `subscriber` mediante la acción `SecurityLake:GetSubscriber`.

## Quiero ampliar los permisos más allá de la política gestionada
<a name="security_iam_troubleshoot-mutating"></a>

Todos los roles de IAM creados por un suscriptor o una fuente de registro personalizada APIs están sujetos a la política `AmazonSecurityLakePermissionsBoundary` administrada. Si desea ampliar los permisos más allá de la política administrada, puede eliminar la política administrada del límite de permisos del rol. Sin embargo, al interactuar con un Security Lake mutante APIs para DataLakes y suscriptores, se debe adjuntar el límite de permisos para que IAM modifique el rol de IAM.

## No estoy autorizado a realizar el iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, se deben actualizar las políticas a fin de permitirle pasar un rol a Security Lake.

Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Security Lake. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.

Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Security Lake
<a name="security_iam_troubleshoot-cross-account-access"></a>

Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan las políticas basadas en recursos o las listas de control de acceso (ACLs), puede usar esas políticas para permitir que las personas accedan a sus recursos.

Para obtener más información, consulte lo siguiente:
+ Para saber si Security Lake es compatible con estas características, consulte [Cómo funciona Security Lake con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.