翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Lake でのロールアップリージョンの設定
ロールアップリージョンは、1 つ以上の寄与リージョンのデータを統合します。ロールアップリージョンを指定すると、リージョンのコンプライアンス要件に準拠しやすくなります。
Amazon S3 の制限により、カスタマーマネージドキー (CMK) 暗号化リージョンデータレイクから S3 マネージド暗号化 (デフォルト暗号化) リージョンデータレイクへのレプリケーションはサポートされていません。
**重要**
カスタムソースを作成した場合、カスタムソースデータの送信先に正しくレプリケートされるように、Security Lake では、[カスタムソースを取り込むためのベストプラクティスに記載されているベストプラクティス](https://docs.aws.amazon.com//security-lake/latest/userguide/custom-sources.html#custom-sources-best-practices)に従うことをお勧めします。ページで説明されているように、S3 パーティションデータパス形式に従わないデータに対してレプリケーションを実行することはできません。
ロールアップリージョンを追加する前に、まず AWS Identity and Access Management (IAM) で 2 つの異なるロールを作成する必要があります。
+ [データレプリケーションの IAM ロール](#iam-role-replication)
+ [AWS Glue パーティションを登録する IAM ロール](#iam-role-partitions)
**注記**
Security Lake コンソールを使用すると、ユーザーに代わって Security Lake がこれらの IAM ロールを作成するか、既存のロールを使用します。ただし、Security Lake API または を使用するときは、これらのロールを作成する必要があります AWS CLI。
## データレプリケーションの IAM ロール
この IAM ロールは、ソースログとイベントを複数のリージョンにレプリケートする権限を Amazon S3 に付与します。
これらのアクセス権限を付与するには、プレフィックス `SecurityLake` で始まる IAM ロールを作成し、以下のサンプルポリシーをアタッチします。Security Lake でロールアップリージョンを作成する場合、ロールの Amazon リソースネーム (ARN) が必要になります。このポリシーでは、`sourceRegions` は寄与リージョン、`destinationRegions` はロールアップ リージョンです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadS3ReplicationSetting",
"Action": [
"s3:ListBucket",
"s3:GetReplicationConfiguration",
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:GetObjectRetention",
"s3:GetObjectLegalHold"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
"arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{bucketOwnerAccountId}}"
]
}
}
},
{
"Sid": "AllowS3Replication",
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ReplicateTags",
"s3:GetObjectVersionTagging"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{bucketOwnerAccountId}}"
]
}
}
}
]
}
```
------
次の信頼ポリシーをロールにアタッチして、Amazon S3 がロールを引き受けることを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3ToAssume",
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
AWS Key Management Service (AWS KMS) のカスタマーマネージドキーを使用して Security Lake データレイクを暗号化する場合は、データレプリケーションポリシーのアクセス許可に加えて、次のアクセス許可を付与する必要があります。
```
{
"Action": [
"kms:Decrypt"
],
"Effect": "Allow",
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{sourceRegion1}.amazonaws.com",
"s3.{sourceRegion2}.amazonaws.com"
],
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
"arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
]
}
},
"Resource": [
"{sourceRegion1KmsKeyArn}",
"{sourceRegion2KmsKeyArn}"
]
},
{
"Action": [
"kms:Encrypt"
],
"Effect": "Allow",
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{destinationRegion1}.amazonaws.com",
],
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
]
}
},
"Resource": [
"{destinationRegionKmsKeyArn}"
]
}
```
レプリケーションロールの詳細については、*「Amazon Simple Storage Service ユーザーガイド*」の[「アクセス許可の設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/setting-repl-config-perm-overview.html)」を参照してください。
## AWS Glue パーティションを登録する IAM ロール
この IAM ロールは、Security Lake が他のリージョンからレプリケートされた S3 オブジェクトの AWS Glue パーティションを登録するために使用するパーティションアップデーター AWS Lambda 関数のアクセス許可を付与します。このロールを作成しないと、サブスクライバーはそれらのオブジェクトからのイベントをクエリできません。
これらの権限を付与するには、`AmazonSecurityLakeMetaStoreManager` (Security Lake への登録時にこのロールをすでに作成している場合があります) という名前のロールを作成します。サンプルポリシーを含む、このロールの詳細については、「[ステップ 1: IAM ロールを作成する](get-started-programmatic.md#prerequisites)」を参照してください。
また、Lake Formation コンソールで、次の手順に従ってデータレイク管理者の `AmazonSecurityLakeMetaStoreManager` 権限を付与する必要があります。
1. Lake Formation コンソール ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) を開きます。
1. 管理ユーザーとしてサインインする
1. [**Lake Formation へようこそ**] ウィンドウが表示されたら、ステップ 1 で作成または選択した ユーザーを選択し、[開始する] を選択します。
1. **[Lake Formation へようこそ]** ウィンドウが表示されない場合は、以下の手順を実行して Lake Formation 管理者を設定します。
1. ナビゲーションペインの **[許可]** で **[管理ロールとタスク]** を選択します。コンソールページの **[データレイク管理者]** セクションで、**[管理者を選択]** を選択します。
1. [**データ レイク管理者の管理**] ダイアログ ボックスで、IAM ユーザーとロールに対して、作成した **AmazonSecurityLakeMetaStoreManager** IAM ロールを選択し、[**保存**] を選択します。
データレイク管理者の権限変更の詳細については、「*AWS Lake Formation デベロッパーガイド」*の「[データレイク管理者の作成](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin)」を参照してください。
## ロールアップリージョンの追加
お好みのアクセス方法を選択し、次の手順に従ってロールアップリージョンを追加します。
**注記**
1 つのリージョンは複数のロールアップリージョンにデータを提供できます。ただし、あるロールアップリージョンを別のロールアップリージョンの寄与リージョンにすることはできません。
------
#### [ Console ]
1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) を開きます。
1. ナビゲーションペインの [**設定**] で、[**ロールアップリージョン**] を選択します。
1. [**変更**] を選択し、[**ロールアップリージョンの追加**] を選択します。
1. ロールアップリージョンと寄与リージョンを指定します。複数のロールアップリージョン を追加する場合は、このステップを繰り返します。
1. ロールアップリージョンを初めて追加する場合は、**サービスアクセス**用に新しい IAM ロールを作成するか、複数のリージョンにデータをレプリケートする権限を Security Lake に付与する既存の IAM ロールを使用してください。
1. 完了したら、**保存** を選択します。
Security Lake へのオンボーディング時にロールアップリージョンを追加することもできます。詳細については、「[Amazon Security Lake の開始方法](getting-started.md)」を参照してください。
------
#### [ API ]
プログラムでロールアップリージョンを追加するには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)オペレーションを使用します。を使用している場合は AWS CLI、 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) コマンドを実行します。リクエストでは、`region`フィールドを使用して、ロールアップリージョンにデータを提供するリージョンを指定します。`replicationConfiguration` パラメータの`regions`配列で、各ロールアップリージョンのリージョンコードを指定します。リージョンコードのリストについては、「*AWS 全般のリファレンス*」の[「Amazon Security Lake エンドポイント」](https://docs.aws.amazon.com/general/latest/gr/securitylake.html)を参照してください。
たとえば、次のコマンドは をロールアップリージョン`ap-northeast-2`として設定します。`us-east-1` リージョンは、`ap-northeast-2`リージョンにデータを提供します。この例では、データレイクに追加されたオブジェクトの 365 日間の有効期間も確立します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'
```
Security Lake へのオンボーディング時にロールアップリージョンを追加することもできます。これを行うには、 [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)オペレーションを使用します (または、 を使用している場合は AWS CLI create[create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) コマンドを使用します)。オンボーディング中にロールアップリージョンを設定する方法の詳細については、「」を参照してください[Amazon Security Lake の開始方法](getting-started.md)。
------
## ロールアップリージョンの更新または削除
お好みのアクセス方法を選択し、次の手順に従って Security Lake のロールアップリージョン を更新または削除します。
------
#### [ Console ]
1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) を開きます。
1. ナビゲーションペインの [**設定**] で、[**ロールアップリージョン**] を選択します。
1. **[変更]** を選択します。
1. ロールアップリージョンのコントリビューションリージョンを変更するには、ロールアップリージョンの行に更新されたコントリビューションリージョンを指定します。
1. ロールアップリージョンを削除するには、ロールアップリージョンの行で [**削除**] を選択します。
1. 完了したら、**保存** を選択します。
------
#### [ API ]
プログラムでロールアップリージョンを設定するには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)オペレーションを使用します。を使用している場合は AWS CLI、 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) コマンドを実行します。リクエストでは、サポートされているパラメータを使用してロールアップ設定を指定します。
+ 寄与リージョンを追加するには、`region`フィールドを使用して追加するリージョンのリージョンコードを指定します。`replicationConfiguration`オブジェクトの`regions`アレイで、データを投稿する各ロールアップリージョンのリージョンコードを指定します。リージョンコードのリストについては、「*AWS 全般のリファレンス*」の[「Amazon Security Lake エンドポイント」](https://docs.aws.amazon.com/general/latest/gr/securitylake.html)を参照してください。
+ 寄与リージョンを削除するには、`region` フィールドを使用して削除するリージョンのリージョンコードを指定します。`replicationConfiguration` パラメータには値を指定しないでください。
たとえば、次のコマンドは、 `us-east-1`と の両方を寄与リージョン`us-east-2`として設定します。両方のリージョンが`ap-northeast-3`ロールアップリージョンにデータを提供します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'
```
------