Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Résolution des problèmes dans Security Lake
<a name="security-lake-troubleshoot"></a>

Si vous rencontrez des problèmes lors de l'utilisation d'Amazon Security Lake, utilisez les ressources de résolution des problèmes suivantes.

Les rubriques suivantes fournissent des conseils de dépannage en cas d'erreurs et de problèmes liés à l'état des lacs de données, à la formation des lacs, aux requêtes dans Amazon Athena AWS Organizations et à IAM. Si vous trouvez un problème qui n'est pas répertorié ici, vous pouvez utiliser le `Feedback` bouton de cette page pour le signaler.

Consultez les rubriques suivantes si vous rencontrez des problèmes lors de l'utilisation de Security Lake.

**Topics**
+ [Résolution des problèmes liés à l'état des lacs](securitylake-data-lake-troubleshoot.md)
+ [Résolution des problèmes liés à Lake Formation](securitylake-lf-troubleshoot.md)
+ [Résolution des problèmes liés aux requêtes dans Amazon Athena](querying-troubleshoot.md)
+ [Résolution des problèmes liés aux Organisations](securitylake-orgs-troubleshoot.md)
+ [Résolution des problèmes d'identité et d'accès à Amazon Security Lake](security_iam_troubleshoot.md)

# Résolution des problèmes liés à l'état des lacs
<a name="securitylake-data-lake-troubleshoot"></a>

La page **Problèmes** de la console Security Lake présente un résumé des problèmes affectant votre lac de données. Par exemple, Security Lake ne peut pas activer la collecte de journaux pour les événements de AWS CloudTrail gestion si vous n'avez pas créé CloudTrail de suivi pour votre organisation. La page **Problèmes** couvre les problèmes survenus au cours des 14 derniers jours. Vous pouvez consulter une description de chaque problème et les étapes de résolution suggérées.

Pour accéder par programmation à un résumé des problèmes, vous pouvez utiliser le [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html)fonctionnement de l'API Security Lake. Si vous utilisez le AWS CLI, exécutez la [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/list-data-lake-exceptions.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/list-data-lake-exceptions.html)commande. Pour le `regions` paramètre, vous pouvez spécifier un ou plusieurs codes de région, par exemple pour la région de l'est des États-Unis (Virginie du Nord), `us-east-1` afin de connaître les problèmes affectant ces régions. Si vous n'incluez pas le `regions` paramètre, des problèmes affectant toutes les régions sont renvoyés. Pour obtenir la liste des codes de région, consultez la section [Points de terminaison Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) dans le *Références générales AWS*.

Par exemple, la AWS CLI commande suivante répertorie les problèmes qui affectent les `eu-west-3` régions `us-east-1` et. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securitylake list-data-lake-exceptions \
--regions "us-east-1" "eu-west-3"
```

Pour informer un utilisateur de Security Lake d'un problème ou d'une erreur, utilisez le [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html)fonctionnement de l'API Security Lake. L'utilisateur peut être averti par e-mail, par livraison vers une file d'attente Amazon Simple Queue Service (Amazon SQS), par livraison vers AWS Lambda une fonction ou par un autre protocole pris en charge.

Par exemple, la AWS CLI commande suivante envoie des notifications relatives aux exceptions de Security Lake au compte spécifié par SMS. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securitylake create-data-lake-exception-subscription \
--notification-endpoint "123456789012" \
--exception-time-to-live 30 \
--subscription-protocol "sms"
```

Pour afficher les détails d'un abonnement exceptionnel, vous pouvez utiliser l'[https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeExceptionSubscription.html)opération. Pour mettre à jour un abonnement exceptionnel, vous pouvez utiliser cette [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLakeExceptionSubscription.html)opération. Pour supprimer un abonnement exceptionnel et arrêter les notifications, vous pouvez utiliser cette [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteDataLakeExceptionSubscription.html)opération.

# Résolution des problèmes liés à Lake Formation
<a name="securitylake-lf-troubleshoot"></a>

Utilisez les informations suivantes pour diagnostiquer et résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Security Lake, de AWS Lake Formation bases de données ou de tables. Pour plus d'informations sur la résolution des problèmes liés à Lake Formation, consultez la section [Dépannage](https://docs.aws.amazon.com/lake-formation/latest/dg/troubleshooting.html) du *Guide du AWS Lake Formation développeur*.

## Table non trouvée
<a name="securitylake-lf-table-not-found"></a>

Ce message d'erreur peut s'afficher lorsque vous tentez de créer un abonné.

Pour résoudre cette erreur, assurez-vous d'avoir déjà ajouté des sources dans la région. Si vous avez ajouté des sources alors que le service Security Lake était en version préliminaire, vous devez les ajouter à nouveau avant de créer un abonné. Pour plus d'informations sur l'ajout de sources, consultez[Gestion des sources dans Security Lake](source-management.md).

## 400 AccessDenied
<a name="securitylake-lf-access-denied"></a>

Cette erreur peut s'afficher lorsque vous [ajoutez une source personnalisée](adding-custom-sources.md) et que vous appelez l'`CreateCustomLogSource`API.

Pour résoudre l'erreur, vérifiez vos autorisations relatives à Lake Formation. Le rôle IAM qui appelle l'API doit disposer des autorisations de **création de table** pour la base de données Security Lake. Pour plus d'informations, consultez la section [Octroi d'autorisations de base de données à l'aide de la console Lake Formation et de la méthode de ressource nommée](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html) dans le *Guide du AWS Lake Formation développeur*.

## SYNTAX\$1ERROR : ligne 1:8 : SELECT \$1 n'est pas autorisé dans une relation sans colonnes
<a name="securitylake-lf-syntax-error-select"></a>

Cette erreur peut s'afficher lorsque vous interrogez une table source pour la première fois dans Lake Formation.

Pour résoudre l'erreur, accordez `SELECT` l'autorisation au rôle IAM que vous utilisez lorsque vous êtes connecté à votre Compte AWS. Pour savoir comment accorder une `SELECT` autorisation, consultez la section [Octroi d'autorisations de table à l'aide de la console Lake Formation et de la méthode de ressource nommée](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-table-permissions.html) dans le *Guide du AWS Lake Formation développeur*.

## Security Lake n'a pas réussi à ajouter l'ARN principal de l'appelant à l'administrateur du lac de données de Lake Formation. Les administrateurs actuels des lacs de données peuvent inclure des principes non valides qui n'existent plus.
<a name="securitylake-lf-admin-invalid-principals"></a>

Cette erreur peut s'afficher lors de l'activation de Security Lake ou de l'ajout Service AWS d'une source de journal.

Pour résoudre l'erreur, procédez comme suit :

1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Connectez-vous en tant qu'utilisateur administratif.

1. Dans le volet de navigation, sous **Autorisations**, sélectionnez **Rôles et tâches administratifs**.

1. Dans la section **Administrateurs du lac de données**, choisissez **Choisir les administrateurs**.

1. **Effacez les principes étiquetés **Introuvables dans IAM**, puis choisissez Enregistrer.**

1. Réessayez l'opération Security Lake.

## Security Lake CreateSubscriber with Lake Formation n'a pas créé de nouvelle invitation de partage de ressources RAM à accepter
<a name="securitylake-lf-ram-resource-share"></a>

Cette erreur peut s'afficher si vous avez partagé des ressources avec [le partage de données entre comptes de Lake Formation version 2 ou 3](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html) avant de créer un abonné Lake Formation dans Security Lake. Cela est dû au fait que le partage entre comptes des versions 2 et 3 de Lake Formation optimise le nombre de partages de ressources AWS RAM en mappant plusieurs autorisations entre comptes avec un seul partage de ressources AWS RAM.

Assurez-vous que le nom du partage de ressources possède l'ID externe que vous avez spécifié lors de la création de l'abonné et que l'ARN du partage de ressources correspond à l'ARN indiqué dans la `CreateSubscriber` réponse.

# Résolution des problèmes liés aux requêtes dans Amazon Athena
<a name="querying-troubleshoot"></a>

Utilisez les informations suivantes pour diagnostiquer et résoudre les problèmes courants que vous pouvez rencontrer lorsque vous utilisez Athena pour interroger des objets stockés dans votre compartiment Security Lake S3. *Pour plus d'informations sur la résolution des problèmes liés à Athena, consultez la section [Résolution des problèmes liés à Athena](https://docs.aws.amazon.com/athena/latest/ug/troubleshooting-athena.html) du Guide de l'utilisateur d'Amazon Athena.*

## L'interrogation ne renvoie pas de nouveaux objets dans le lac de données
<a name="query-not-returning-objects"></a>

Votre requête Athena peut ne pas renvoyer de nouveaux objets dans votre lac de données, même si le compartiment S3 pour Security Lake contient ces objets. Cela peut se produire si vous avez désactivé Security Lake puis l'avez réactivé. Par conséquent, les AWS Glue partitions risquent de ne pas enregistrer correctement les nouveaux objets.

Pour résoudre l'erreur, procédez comme suit :

1. Ouvrez la AWS Lambda console à l'adresse [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).

1. Dans la barre de navigation, dans le sélecteur de régions, choisissez la région dans laquelle Security Lake est activé mais où la requête Athena ne renvoie aucun résultat.

1. Dans le volet de navigation, choisissez **Functions**, puis sélectionnez la fonction dans la liste suivante en fonction de la version source :
   + `Source version 1 (OCSF 1.0.0-rc.2) `— Fonction **SecurityLake*≪region>*\$1Glue\$1Partition\$1Updater\$1Lambda\$1**.
   + `Source version 2 (OCSF 1.1.0)`— **AmazonSecurityLakeMetastoreManager\$1 *≪region>*** fonction.

1. Dans l'onglet **Configurations**, sélectionnez **Déclencheurs**.

1. Sélectionnez l'option située à côté de la fonction, puis choisissez **Modifier**.

1. Sélectionnez **Activer le déclencheur**, puis cliquez **sur Enregistrer**. Cela fera passer l'état de la fonction à **Activé**.

## Impossible d'accéder aux AWS Glue tables
<a name="access-glue-tables"></a>

Un abonné ayant accès aux requêtes peut ne pas être en mesure d'accéder aux AWS Glue tables contenant les données de Security Lake.

Tout d'abord, assurez-vous d'avoir suivi les étapes décrites dans[Configuration du partage de tables entre comptes (étape réservée aux abonnés)](create-query-subscriber-procedures.md#grant-query-access-subscriber).

Si l'abonné n'y a toujours pas accès, procédez comme suit :

1. Ouvrez la AWS Glue console à l'adresse [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).

1. Dans le volet de navigation, choisissez le **catalogue de données** et les **paramètres du catalogue**.

1. Autorisez l'abonné à accéder aux AWS Glue tables avec une politique basée sur les ressources. *Pour plus d'informations sur la création de politiques basées sur les ressources, consultez les [exemples de politiques basées sur les ressources AWS Glue dans le Guide du développeur](https://docs.aws.amazon.com/glue/latest/dg/security_iam_resource-based-policy-examples.html).AWS Glue *

# Résolution des problèmes liés aux Organisations
<a name="securitylake-orgs-troubleshoot"></a>

Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Security Lake et AWS Organizations. Pour plus d'informations sur le dépannage des Organisations, consultez la section [Dépannage](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_troubleshoot.html) du *Guide de AWS Organizations l'utilisateur*.

## Une erreur de refus d'accès s'est produite lors de l'appel de l' CreateDataLake opération : votre compte doit être le compte d'administrateur délégué d'une organisation ou un compte autonome.
<a name="securitylake-orgs-delegated-admin-invalid"></a>

Cette erreur peut s'afficher si vous supprimez l'organisation à laquelle appartenait un compte d'administrateur délégué, puis si vous essayez d'utiliser ce compte pour configurer Security Lake à l'aide de la console Security Lake ou de l'[CreateDataLake](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)API.

Pour résoudre l'erreur, utilisez un compte d'administrateur délégué d'une autre organisation ou un compte autonome.

# Résolution des problèmes d'identité et d'accès à Amazon Security Lake
<a name="security_iam_troubleshoot"></a>

Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Security Lake et IAM.

## Je ne suis pas autorisé à effectuer une action dans Security Lake
<a name="security_iam_troubleshoot-no-permissions"></a>

S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations d'identification.

L'exemple d'erreur suivant se produit lorsque l'utilisateur `mateojackson` IAM essaie d'utiliser la console pour afficher les détails d'une fiction `subscriber` mais ne dispose pas des `SecurityLake:GetSubscriber` autorisations nécessaires.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: YOURSERVICEPREFIX:GetWidget on resource: my-example-widget
```

Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d'accéder aux `subscriber` informations à l'aide de l'`SecurityLake:GetSubscriber`action.

## Je souhaite étendre les autorisations au-delà de la politique gérée
<a name="security_iam_troubleshoot-mutating"></a>

Tous les rôles IAM créés par un abonné ou une source de journal personnalisée APIs sont liés par la politique `AmazonSecurityLakePermissionsBoundary` gérée. Si vous souhaitez étendre les autorisations au-delà de la politique gérée, vous pouvez supprimer la politique gérée de la limite des autorisations du rôle. Toutefois, lors de l'interaction avec un Security Lake mutant APIs pour DataLakes et ses abonnés, la limite d'autorisations doit être attachée pour qu'IAM puisse muter le rôle IAM.

## Je ne suis pas autorisé à effectuer iam : PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à Security Lake.

Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.

L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans Security Lake. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.

Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.

## Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes ressources de Security Lake
<a name="security_iam_troubleshoot-cross-account-access"></a>

Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.

Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Security Lake prend en charge ces fonctionnalités, consultez[Comment Security Lake fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.