Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration de régions cumulatives dans Security Lake
<a name="add-rollup-region"></a>

Une région cumulative consolide les données d'une ou de plusieurs régions contributrices. La spécification d'une région cumulative peut vous aider à vous conformer aux exigences de conformité régionales.

En raison des limites d'Amazon S3, la réplication d'un lac de données régional chiffré par clé client (CMK) vers un lac de données régional chiffré géré par S3 (chiffrement par défaut) n'est pas prise en charge.

**Important**  
Si vous avez créé une source personnalisée, pour garantir que les données source personnalisées sont correctement répliquées vers la destination, Security Lake recommande de suivre les meilleures pratiques décrites dans [Meilleures pratiques pour l'ingestion de sources personnalisées](https://docs.aws.amazon.com//security-lake/latest/userguide/custom-sources.html#custom-sources-best-practices). La réplication ne peut pas être effectuée sur des données qui ne suivent pas le format du chemin de données de la partition S3 tel que décrit sur la page.

Avant d'ajouter une région cumulative, vous devez d'abord créer deux rôles différents dans Gestion des identités et des accès AWS (IAM) :
+ [Rôle IAM pour la réplication des données](#iam-role-replication)
+ [Rôle IAM pour enregistrer des partitions AWS Glue](#iam-role-partitions)

**Note**  
Security Lake crée ces rôles IAM ou utilise les rôles existants en votre nom lorsque vous utilisez la console Security Lake. Toutefois, vous devez créer ces rôles lorsque vous utilisez l'API Security Lake ou AWS CLI.

## Rôle IAM pour la réplication des données
<a name="iam-role-replication"></a>

Ce rôle IAM autorise Amazon S3 à répliquer les journaux sources et les événements dans plusieurs régions.

Pour accorder ces autorisations, créez un rôle IAM commençant par le préfixe `SecurityLake` et associez l'exemple de politique suivant au rôle. Vous aurez besoin du nom de ressource Amazon (ARN) du rôle lorsque vous créerez une région cumulative dans Security Lake. Dans le cadre de cette politique, `sourceRegions` sont des régions contributrices et `destinationRegions` des régions cumulatives.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowReadS3ReplicationSetting",
      "Action": [
        "s3:ListBucket",
        "s3:GetReplicationConfiguration",
        "s3:GetObjectVersionForReplication",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectRetention",
        "s3:GetObjectLegalHold"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    },
    {
      "Sid": "AllowS3Replication",
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete",
        "s3:ReplicateTags",
        "s3:GetObjectVersionTagging"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    }
  ]
}
```

------

Associez la politique de confiance suivante à votre rôle pour permettre à Amazon S3 d'assumer ce rôle :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowS3ToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

Si vous utilisez une clé gérée par le client provenant de AWS Key Management Service (AWS KMS) pour chiffrer votre lac de données Security Lake, vous devez accorder les autorisations suivantes en plus des autorisations définies dans la politique de réplication des données.

```
{
    "Action": [
        "kms:Decrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "s3.{sourceRegion1}.amazonaws.com",
                "s3.{sourceRegion2}.amazonaws.com"
                ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
            ]
        }
    },
    "Resource": [
        "{sourceRegion1KmsKeyArn}",
        "{sourceRegion2KmsKeyArn}"
    ]
},
{
    "Action": [
        "kms:Encrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
            "s3.{destinationRegion1}.amazonaws.com",
            ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
            ]
        }
    },
    "Resource": [
            "{destinationRegionKmsKeyArn}"
    ]
}
```

Pour plus d'informations sur les rôles de réplication, consultez la section [Configuration des autorisations](https://docs.aws.amazon.com/AmazonS3/latest/userguide/setting-repl-config-perm-overview.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.

## Rôle IAM pour enregistrer des partitions AWS Glue
<a name="iam-role-partitions"></a>

Ce rôle IAM accorde des autorisations pour une AWS Lambda fonction de mise à jour de partition utilisée par Security Lake pour enregistrer AWS Glue des partitions pour les objets S3 répliqués depuis d'autres régions. Sans créer ce rôle, les abonnés ne peuvent pas interroger les événements provenant de ces objets.

Pour accorder ces autorisations, créez un rôle nommé `AmazonSecurityLakeMetaStoreManager` (vous l'avez peut-être déjà créé lors de votre intégration à Security Lake). Pour plus d'informations sur ce rôle, y compris un exemple de politique, consultez[Étape 1 : créer des rôles IAM](get-started-programmatic.md#prerequisites).

Dans la console Lake Formation, vous devez également accorder `AmazonSecurityLakeMetaStoreManager` des autorisations en tant qu'administrateur de lac de données en suivant les étapes suivantes :

1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Connectez-vous en tant qu'utilisateur administratif.

1. Si une fenêtre **Welcome to Lake Formation** apparaît, choisissez l'utilisateur que vous avez créé ou sélectionné à l'étape 1, puis choisissez Get started.

1. Si la fenêtre **Welcome to Lake Formation** ne s'affiche pas, effectuez les étapes suivantes pour configurer un administrateur de Lake Formation.

   1. Dans le volet de navigation, sous **Autorisations**, sélectionnez **Administrative Rôles et tâches**. Dans la section **Administrateurs du lac de données** de la page de console, choisissez **Choisir les administrateurs**.

   1. **Dans la boîte de dialogue **Gérer les administrateurs de lacs de données**, pour les utilisateurs et les rôles IAM, choisissez le rôle **AmazonSecurityLakeMetaStoreManager**IAM que vous avez créé, puis sélectionnez Enregistrer.**

Pour plus d'informations sur la modification des autorisations pour les administrateurs de lacs de données, voir [Création d'un administrateur de lac de données](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin) dans le *guide du AWS Lake Formation développeur*.

## Ajouter des régions cumulatives
<a name="procedures-add-rollup-region"></a>

Choisissez votre méthode d'accès préférée et suivez ces étapes pour ajouter une région cumulative.

**Note**  
Une région peut fournir des données à plusieurs régions cumulées. Toutefois, une région cumulative ne peut pas être une région contributrice pour une autre région cumulative.

------
#### [ Console ]

1. Ouvrez la console Security Lake à l'adresse [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Dans le volet de navigation, sous **Paramètres**, choisissez **Rollup** Regions.

1. Choisissez **Modifier**, puis sélectionnez **Ajouter une région cumulative.**

1. Spécifiez la région cumulée et les régions contributrices. Répétez cette étape si vous souhaitez ajouter plusieurs régions cumulatives.

1. Si c'est la première fois que vous ajoutez une région cumulative, pour **accéder au service**, créez un nouveau rôle IAM ou utilisez un rôle IAM existant qui autorise Security Lake à répliquer des données dans plusieurs régions.

1. Lorsque vous avez terminé, choisissez **Enregistrer**.

Vous pouvez également ajouter une région cumulative lorsque vous embarquez à bord de Security Lake. Pour de plus amples informations, veuillez consulter [Commencer à utiliser Amazon Security Lake](getting-started.md).

------
#### [ API ]

Pour ajouter une région cumulative par programmation, utilisez le [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)fonctionnement de l'API Security Lake. Si vous utilisez le AWS CLI, exécutez la [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)commande. Dans votre demande, utilisez le `region` champ pour spécifier la région dans laquelle vous souhaitez fournir des données à la région cumulative. Dans le `regions` tableau du `replicationConfiguration` paramètre, spécifiez le code de région pour chaque région cumulative. Pour obtenir la liste des codes de région, consultez la section [Points de terminaison Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) dans le *Références générales AWS*.

Par exemple, la commande suivante est définie `ap-northeast-2` comme une région cumulative. La `us-east-1` Région fournira des données à la `ap-northeast-2` Région. Cet exemple établit également une période d'expiration de 365 jours pour les objets ajoutés au lac de données. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'
```

Vous pouvez également ajouter une région cumulative lorsque vous embarquez à bord de Security Lake. Pour ce faire, utilisez l'[https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)opération (ou, si vous utilisez la AWS CLI, la [create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)commande). Pour plus d'informations sur la configuration des régions cumulatives lors de l'intégration, consultez. [Commencer à utiliser Amazon Security Lake](getting-started.md)

------

## Mettre à jour ou supprimer des régions cumulatives
<a name="procedures-update-remove-rollup-region"></a>

Choisissez votre méthode d'accès préférée et suivez ces étapes pour mettre à jour ou supprimer les régions cumulatives dans Security Lake.

------
#### [ Console ]

1. Ouvrez la console Security Lake à l'adresse [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Dans le volet de navigation, sous **Paramètres**, choisissez **Rollup** Regions.

1. Sélectionnez **Modifier**.

1. Pour modifier les régions contributrices d'une région cumulative, spécifiez les régions contributrices mises à jour dans la ligne correspondant à la région cumulative.

1. Pour supprimer une région de cumul, choisissez **Supprimer dans la ligne correspondant** à la région de cumul.

1. Lorsque vous avez terminé, choisissez **Enregistrer**.

------
#### [ API ]

Pour configurer les régions cumulatives par programmation, utilisez le [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)fonctionnement de l'API Security Lake. Si vous utilisez le AWS CLI, exécutez la [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)commande. Dans votre demande, utilisez les paramètres pris en charge pour définir les paramètres cumulatifs :
+ Pour ajouter une région contributrice, utilisez le `region` champ pour spécifier le code de région de la région à ajouter. Dans le `regions` tableau de l'`replicationConfiguration`objet, spécifiez le code de région pour chaque région cumulative à laquelle vous souhaitez fournir des données. Pour obtenir la liste des codes de région, consultez la section [Points de terminaison Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) dans le *Références générales AWS*.
+ Pour supprimer une région contributrice, utilisez le `region` champ pour spécifier le code de région de la région à supprimer. Pour les `replicationConfiguration` paramètres, ne spécifiez aucune valeur.

Par exemple, la commande suivante permet de configurer les deux régions `us-east-1` et de les configurer `us-east-2` en tant que régions contributives. Les deux régions fourniront des données à la `ap-northeast-3` région récapitulative. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'
```

------