Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengkonfigurasi Wilayah rollup di Danau Keamanan
<a name="add-rollup-region"></a>

Wilayah rollup mengkonsolidasikan data dari satu atau lebih Wilayah yang berkontribusi. Menentukan Wilayah rollup dapat membantu Anda mematuhi persyaratan kepatuhan Regional.

Karena keterbatasan di Amazon S3, replikasi dari Customer Managed Key (CMK) yang dienkripsi data lake regional ke data regional terenkripsi (enkripsi default) terkelola S3 tidak didukung.

**penting**  
Jika Anda membuat sumber kustom, untuk memastikan bahwa data sumber kustom direplikasi dengan benar ke tujuan, Security Lake merekomendasikan mengikuti praktik terbaik yang dijelaskan dalam [Praktik terbaik untuk menelan sumber kustom](https://docs.aws.amazon.com//security-lake/latest/userguide/custom-sources.html#custom-sources-best-practices). Replikasi tidak dapat dilakukan pada data yang tidak mengikuti format jalur data partisi S3 seperti yang dijelaskan pada halaman.

Sebelum menambahkan Region rollup, Anda harus terlebih dahulu membuat dua peran berbeda di AWS Identity and Access Management (IAM):
+ [Peran IAM untuk replikasi data](#iam-role-replication)
+ [Peran IAM untuk mendaftarkan AWS Glue partisi](#iam-role-partitions)

**catatan**  
Security Lake membuat peran IAM ini atau menggunakan peran yang ada atas nama Anda saat Anda menggunakan konsol Security Lake. Namun, Anda harus membuat peran ini saat menggunakan Security Lake API atau AWS CLI.

## Peran IAM untuk replikasi data
<a name="iam-role-replication"></a>

Peran IAM ini memberikan izin ke Amazon S3 untuk mereplikasi log sumber dan peristiwa di beberapa Wilayah.

Untuk memberikan izin ini, buat peran IAM yang dimulai dengan awalan`SecurityLake`, dan lampirkan kebijakan contoh berikut ke peran tersebut. Anda memerlukan Nama Sumber Daya Amazon (ARN) peran saat membuat Wilayah rollup di Security Lake. Dalam kebijakan ini, `sourceRegions` berkontribusi Wilayah, dan `destinationRegions` merupakan Wilayah rollup.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowReadS3ReplicationSetting",
      "Action": [
        "s3:ListBucket",
        "s3:GetReplicationConfiguration",
        "s3:GetObjectVersionForReplication",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectRetention",
        "s3:GetObjectLegalHold"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
        "arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    },
    {
      "Sid": "AllowS3Replication",
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete",
        "s3:ReplicateTags",
        "s3:GetObjectVersionTagging"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": [
            "{{bucketOwnerAccountId}}"
          ]
        }
      }
    }
  ]
}
```

------

Lampirkan kebijakan kepercayaan berikut ke peran Anda untuk mengizinkan Amazon S3 mengambil peran:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowS3ToAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

Jika Anda menggunakan kunci terkelola pelanggan from AWS Key Management Service (AWS KMS) untuk mengenkripsi data lake Security Lake, Anda harus memberikan izin berikut selain izin dalam kebijakan replikasi data.

```
{
    "Action": [
        "kms:Decrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "s3.{sourceRegion1}.amazonaws.com",
                "s3.{sourceRegion2}.amazonaws.com"
                ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
                "arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
            ]
        }
    },
    "Resource": [
        "{sourceRegion1KmsKeyArn}",
        "{sourceRegion2KmsKeyArn}"
    ]
},
{
    "Action": [
        "kms:Encrypt"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
            "s3.{destinationRegion1}.amazonaws.com",
            ],
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
            ]
        }
    },
    "Resource": [
            "{destinationRegionKmsKeyArn}"
    ]
}
```

Untuk informasi selengkapnya tentang peran replikasi, lihat [Menyiapkan izin](https://docs.aws.amazon.com/AmazonS3/latest/userguide/setting-repl-config-perm-overview.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

## Peran IAM untuk mendaftarkan AWS Glue partisi
<a name="iam-role-partitions"></a>

Peran IAM ini memberikan izin untuk AWS Lambda fungsi pembaru partisi yang digunakan oleh Security Lake untuk mendaftarkan AWS Glue partisi untuk objek S3 yang direplikasi dari wilayah lain. Tanpa membuat peran ini, pelanggan tidak dapat menanyakan peristiwa dari objek tersebut.

Untuk memberikan izin ini, buat peran bernama `AmazonSecurityLakeMetaStoreManager` (Anda mungkin telah membuat peran ini saat melakukan orientasi ke Security Lake). Untuk informasi selengkapnya tentang peran ini, termasuk kebijakan sampel, lihat[Langkah 1: Buat peran IAM](get-started-programmatic.md#prerequisites).

Di konsol Lake Formation, Anda juga harus memberikan `AmazonSecurityLakeMetaStoreManager` izin sebagai administrator danau data dengan mengikuti langkah-langkah berikut:

1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Masuk sebagai pengguna administratif.

1. Jika jendela **Selamat Datang di Lake Formation** muncul, pilih pengguna yang Anda buat atau pilih di Langkah 1, lalu pilih Mulai.

1. Jika Anda tidak melihat jendela **Selamat Datang di Lake Formation**, lakukan langkah-langkah berikut untuk mengonfigurasi Administrator Lake Formation.

   1. Di panel navigasi, di bawah **Izin, pilih Peran** **dan tugas Administratif**. Di bagian **Administrator data lake** di halaman konsol, pilih **Pilih administrator**.

   1. **Di kotak dialog **Kelola data lake administrator**, untuk pengguna dan peran IAM, pilih peran **AmazonSecurityLakeMetaStoreManager**IAM yang Anda buat, lalu pilih Simpan.**

Untuk informasi selengkapnya tentang mengubah izin untuk administrator data lake, lihat [Membuat administrator data lake di Panduan AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin) *Pengembang*.

## Menambahkan Wilayah rollup
<a name="procedures-add-rollup-region"></a>

Pilih metode akses pilihan Anda, dan ikuti langkah-langkah berikut untuk menambahkan Wilayah rollup.

**catatan**  
Suatu Wilayah dapat menyumbangkan data ke beberapa Wilayah rollup. Namun, Wilayah rollup tidak dapat menjadi Wilayah yang berkontribusi untuk Wilayah rollup lainnya.

------
#### [ Console ]

1. Buka konsol Security Lake di [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Di panel navigasi, di bawah **Pengaturan**, pilih **Rollup** Regions.

1. Pilih **Modify**, lalu pilih **Add rollup Region**.

1. Tentukan Wilayah rollup dan Wilayah yang berkontribusi. Ulangi langkah ini jika Anda ingin menambahkan beberapa Wilayah rollup.

1. Jika ini adalah pertama kalinya Anda menambahkan Wilayah rollup, untuk **akses Layanan**, buat peran IAM baru atau gunakan peran IAM yang ada yang memberikan izin Security Lake untuk mereplikasi data di beberapa Wilayah.

1. Setelah selesai, pilih **Simpan**.

Anda juga dapat menambahkan Wilayah rollup saat Anda naik ke Security Lake. Untuk informasi selengkapnya, lihat [Memulai dengan Amazon Security Lake](getting-started.md).

------
#### [ API ]

Untuk menambahkan Wilayah rollup secara terprogram, gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)pengoperasian Security Lake API. Jika Anda menggunakan AWS CLI, jalankan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)perintah. Dalam permintaan Anda, gunakan `region` bidang untuk menentukan Wilayah yang ingin Anda sumbangkan data ke Wilayah rollup. Dalam `regions` larik `replicationConfiguration` parameter, tentukan kode Wilayah untuk setiap Wilayah rollup. Untuk daftar kode Wilayah, lihat [titik akhir Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) di. *Referensi Umum AWS*

Misalnya, perintah berikut ditetapkan `ap-northeast-2` sebagai Region rollup. `us-east-1`Wilayah akan menyumbangkan data ke `ap-northeast-2` Wilayah. Contoh ini juga menetapkan periode kedaluwarsa 365 hari untuk objek yang ditambahkan ke danau data. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'
```

Anda juga dapat menambahkan Wilayah rollup saat Anda naik ke Security Lake. Untuk melakukan ini, gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)operasi (atau, jika menggunakan AWS CLI, [create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)perintah). Untuk informasi selengkapnya tentang mengonfigurasi Wilayah rollup selama orientasi, lihat. [Memulai dengan Amazon Security Lake](getting-started.md)

------

## Memperbarui atau menghapus Wilayah rollup
<a name="procedures-update-remove-rollup-region"></a>

Pilih metode akses pilihan Anda, dan ikuti langkah-langkah ini untuk memperbarui atau menghapus Wilayah rollup di Security Lake.

------
#### [ Console ]

1. Buka konsol Security Lake di [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Di panel navigasi, di bawah **Pengaturan**, pilih **Rollup** Regions.

1. Pilih **Ubah**.

1. Untuk mengubah Wilayah yang berkontribusi untuk Wilayah rollup, tentukan Wilayah kontribusi yang diperbarui di baris untuk Wilayah rollup.

1. Untuk menghapus Region rollup, pilih **Remove** in the row for rollup Region.

1. Setelah selesai, pilih **Simpan**.

------
#### [ API ]

Untuk mengonfigurasi Wilayah rollup secara terprogram, gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)pengoperasian Security Lake API. Jika Anda menggunakan AWS CLI, jalankan [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)perintah. Dalam permintaan Anda, gunakan parameter yang didukung untuk menentukan pengaturan rollup:
+ Untuk menambahkan Wilayah yang berkontribusi, gunakan `region` bidang untuk menentukan kode Wilayah untuk Wilayah yang akan ditambahkan. Dalam `regions` larik `replicationConfiguration` objek, tentukan kode Wilayah untuk setiap Wilayah rollup untuk menyumbangkan data. Untuk daftar kode Wilayah, lihat [titik akhir Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) di. *Referensi Umum AWS*
+ Untuk menghapus Wilayah yang berkontribusi, gunakan `region` bidang untuk menentukan kode Wilayah untuk dihapus Wilayah. Untuk `replicationConfiguration` parameter, jangan tentukan nilai apa pun.

Misalnya, perintah berikut mengonfigurasi keduanya `us-east-1` dan `us-east-2` sebagai Wilayah yang berkontribusi. Kedua Wilayah akan menyumbangkan data ke Wilayah `ap-northeast-3` rollup. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'
```

------