Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione delle regioni di rollup in Security Lake
Una regione di rollup consolida i dati di una o più regioni contribuenti. Specificare una regione di rollup può aiutarti a rispettare i requisiti di conformità regionali.
A causa delle limitazioni di Amazon S3, la replica dal data lake regionale crittografato con chiave gestita dal cliente (CMK) al data lake regionale con crittografia gestita da S3 (crittografia predefinita) non è supportata.
**Importante**
[Se hai creato un'origine personalizzata, per garantire che i dati di origine personalizzati vengano replicati correttamente nella destinazione, Security Lake consiglia di seguire le migliori pratiche descritte nella sezione Best practice per l'importazione di fonti personalizzate.](https://docs.aws.amazon.com//security-lake/latest/userguide/custom-sources.html#custom-sources-best-practices) La replica non può essere eseguita su dati che non seguono il formato del percorso dei dati della partizione S3, come descritto nella pagina.
Prima di aggiungere una regione di rollup, devi prima creare due ruoli diversi in AWS Identity and Access Management (IAM):
+ [Ruolo IAM per la replica dei dati](#iam-role-replication)
+ [Ruolo IAM per registrare le partizioni AWS Glue](#iam-role-partitions)
**Nota**
Security Lake crea questi ruoli IAM o utilizza ruoli esistenti per tuo conto quando usi la console Security Lake. Tuttavia, è necessario creare questi ruoli quando si utilizza l'API Security Lake o AWS CLI.
## Ruolo IAM per la replica dei dati
Questo ruolo IAM concede l'autorizzazione ad Amazon S3 per replicare i log e gli eventi di origine in più regioni.
Per concedere queste autorizzazioni, crea un ruolo IAM che inizi con il prefisso `SecurityLake` e allega la seguente policy di esempio al ruolo. Avrai bisogno dell'Amazon Resource Name (ARN) del ruolo quando crei una regione di rollup in Security Lake. In questa politica, `sourceRegions` ci sono regioni contributive e regioni `destinationRegions` cumulative.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadS3ReplicationSetting",
"Action": [
"s3:ListBucket",
"s3:GetReplicationConfiguration",
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:GetObjectRetention",
"s3:GetObjectLegalHold"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
"arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{bucketOwnerAccountId}}"
]
}
}
},
{
"Sid": "AllowS3Replication",
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ReplicateTags",
"s3:GetObjectVersionTagging"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{bucketOwnerAccountId}}"
]
}
}
}
]
}
```
------
Allega la seguente politica di affidabilità al tuo ruolo per consentire ad Amazon S3 di assumere il ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3ToAssume",
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Se utilizzi una chiave gestita dal cliente proveniente da AWS Key Management Service (AWS KMS) per crittografare il tuo data lake Security Lake, devi concedere le seguenti autorizzazioni oltre alle autorizzazioni previste dalla politica di replica dei dati.
```
{
"Action": [
"kms:Decrypt"
],
"Effect": "Allow",
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{sourceRegion1}.amazonaws.com",
"s3.{sourceRegion2}.amazonaws.com"
],
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
"arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
]
}
},
"Resource": [
"{sourceRegion1KmsKeyArn}",
"{sourceRegion2KmsKeyArn}"
]
},
{
"Action": [
"kms:Encrypt"
],
"Effect": "Allow",
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{destinationRegion1}.amazonaws.com",
],
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
]
}
},
"Resource": [
"{destinationRegionKmsKeyArn}"
]
}
```
Per ulteriori informazioni sui ruoli di replica, consulta [Configurazione delle autorizzazioni](https://docs.aws.amazon.com/AmazonS3/latest/userguide/setting-repl-config-perm-overview.html) nella Guida per l'*utente di Amazon Simple Storage Service*.
## Ruolo IAM per registrare le partizioni AWS Glue
Questo ruolo IAM concede le autorizzazioni per una AWS Lambda funzione di aggiornamento delle partizioni utilizzata da Security Lake per registrare AWS Glue le partizioni per gli oggetti S3 che sono stati replicati da altre regioni. Senza creare questo ruolo, i sottoscrittori non possono interrogare gli eventi da quegli oggetti.
Per concedere queste autorizzazioni, crea un ruolo denominato `AmazonSecurityLakeMetaStoreManager` (potresti aver già creato questo ruolo durante l'onboarding su Security Lake). Per ulteriori informazioni su questo ruolo, inclusa una policy di esempio, consulta. [Fase 1: Creare ruoli IAM](get-started-programmatic.md#prerequisites)
Nella console Lake Formation, devi anche concedere `AmazonSecurityLakeMetaStoreManager` le autorizzazioni come amministratore del data lake seguendo questi passaggi:
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Accedi come utente amministrativo.
1. Se viene visualizzata **la finestra Welcome to Lake Formation**, scegli l'utente che hai creato o selezionato nel Passaggio 1, quindi scegli Inizia.
1. Se non vedi la finestra **Welcome to Lake Formation**, esegui i seguenti passaggi per configurare un Lake Formation Administrator.
1. Nel pannello di navigazione, in **Autorizzazioni**, scegli **Ruoli e attività amministrative**. Nella sezione **Amministratori di Data Lake** della pagina della console, scegli **Scegli** amministratori.
1. **Nella finestra di dialogo **Gestisci gli amministratori del data lake**, per gli utenti e i ruoli IAM, scegli il ruolo **AmazonSecurityLakeMetaStoreManager**IAM che hai creato, quindi scegli Salva.**
*Per ulteriori informazioni sulla modifica delle autorizzazioni per gli amministratori del data lake, consulta [Create a data lake administrator](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin) nella Developer Guide.AWS Lake Formation *
## Aggiungere regioni di rollup
Scegli il tuo metodo di accesso preferito e segui questi passaggi per aggiungere una regione cumulativa.
**Nota**
Una regione può fornire dati a più regioni di rollup. Tuttavia, una regione di rollup non può essere una regione contributrice per un'altra regione di rollup.
------
#### [ Console ]
1. Apri la console Security Lake all'indirizzo. [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)
1. Nel pannello di navigazione, in **Impostazioni**, scegli **Regioni di rollup**.
1. Scegli **Modifica**, quindi scegli **Aggiungi area di rollup.**
1. Specificate la regione di rollup e le regioni contributive. Ripeti questo passaggio se desideri aggiungere più regioni di rollup.
1. Se è la prima volta che aggiungi una regione di rollup, per **l'accesso al servizio**, crea un nuovo ruolo IAM o utilizza un ruolo IAM esistente che autorizzi Security Lake a replicare i dati su più regioni.
1. Al termine, scegli **Salva**.
Puoi anche aggiungere una regione di rollup quando effettui l'onboarding su Security Lake. Per ulteriori informazioni, consulta [Guida introduttiva ad Amazon Security Lake](getting-started.md).
------
#### [ API ]
Per aggiungere una regione di rollup a livello di codice, utilizza il [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)funzionamento dell'API Security Lake. Se utilizzi il AWS CLI, esegui il comando. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) Nella richiesta, utilizzate il `region` campo per specificare la regione in cui desiderate inserire i dati nella regione di rollup. Nella `regions` matrice del `replicationConfiguration` parametro, specifica il codice regionale per ogni regione di rollup. Per un elenco dei codici regionali, consulta gli [endpoint di Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) nel *Riferimenti generali di AWS*.
Ad esempio, il comando seguente viene impostato `ap-northeast-2` come regione di rollup. La `us-east-1` Regione fornirà dati alla `ap-northeast-2` Regione. Questo esempio stabilisce anche un periodo di scadenza di 365 giorni per gli oggetti che vengono aggiunti al data lake. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'
```
Puoi anche aggiungere una regione di rollup quando accedi a Security Lake. Per fare ciò, usa l'[https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)operazione (o, se usi il AWS CLI, il [create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)comando). Per ulteriori informazioni sulla configurazione delle regioni di rollup durante l'onboarding, vedere. [Guida introduttiva ad Amazon Security Lake](getting-started.md)
------
## Aggiornamento o rimozione delle regioni di rollup
Scegli il metodo di accesso preferito e segui questi passaggi per aggiornare o rimuovere le regioni di rollup in Security Lake.
------
#### [ Console ]
1. Apri la console di Security Lake all'indirizzo [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).
1. Nel pannello di navigazione, in **Impostazioni**, scegli **Regioni di rollup**.
1. Scegli **Modifica**.
1. Per modificare le regioni contributrici per una regione di rollup, specifica le regioni contributrici aggiornate nella riga relativa alla regione di rollup.
1. Per rimuovere una regione di rollup, scegli **Rimuovi** nella riga relativa all'area di rollup.
1. Al termine, scegli **Salva**.
------
#### [ API ]
Per configurare le regioni di rollup a livello di codice, utilizza il [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)funzionamento dell'API Security Lake. Se utilizzi il AWS CLI, esegui il comando. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) Nella richiesta, utilizza i parametri supportati per specificare le impostazioni di rollup:
+ Per aggiungere una regione contribuente, utilizzate il `region` campo per specificare il codice regionale della regione da aggiungere. Nell'`regions`array dell'`replicationConfiguration`oggetto, specificate il codice regionale per ogni regione di rollup a cui fornire dati. Per un elenco dei codici regionali, consulta gli [endpoint di Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) nel *Riferimenti generali di AWS*.
+ Per rimuovere una regione contribuente, utilizza il `region` campo per specificare il codice regionale della regione da rimuovere. Per i `replicationConfiguration` parametri, non specificate alcun valore.
Ad esempio, il comando seguente configura entrambe `us-east-1` e `us-east-2` come regioni contribuenti. Entrambe le regioni forniranno dati alla regione di `ap-northeast-3` rollup. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'
```
------