翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Lake でのリージョンの管理
Amazon Security Lake は、サービスを有効にした AWS リージョン 全体でセキュリティログとイベントを収集できます。リージョンごとに、データは異なる Amazon S3 バケットに保存されます。リージョンごとに異なるデータレイク設定 (たとえば、異なるソースと保持設定) を指定できます。1 つ以上のロールアップリージョンを定義して、複数のリージョンのデータを統合することもできます。
## リージョン・ステータスのチェック
Security Lakeは複数の AWS リージョンを収集できます。データレイクの状態を追跡するには、各リージョンが現在どのように設定されているかを把握しておくと便利です。希望するアクセス方法を選択し、次の手順に従ってリージョンの現在のステータスを取得します。
------
#### [ Console ]
**リージョンのステータスを確認するには**
1. Security Lake コンソール[https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)を開きます。
1. ナビゲーションペインで **[リージョン]** を選択します。**リージョン**ページが開き、Security Lakeが現在有効になっているリージョンの概要が表示されます。
1. リージョンを選択し、[**編集**] を選択すると、そのリージョンの詳細が表示されます。
------
#### [ API ]
現在のリージョンのログ収集のステータスを取得するには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeSources.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeSources.html)オペレーションを使用します。を使用している場合は AWS CLI、 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/get-data-lake-sources.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/get-data-lake-sources.html) コマンドを実行します。`accounts` パラメータには、1 つ以上の AWS アカウント IDsとして指定します。リクエストが成功すると、Security Lake は、Security Lake がどの AWS ソースからデータを収集しているか、各ソースのステータスなど、現在のリージョン内のアカウントのスナップショットを返します。`accounts` パラメータを含めない場合、レスポンスには、現在のリージョンで Security Lake が設定されているすべてのアカウントのログ収集のステータスが含まれます。
たとえば、次の AWS CLI コマンドは、現在のリージョンで指定されたアカウントのログ収集ステータスを取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"
```
次の AWS CLI コマンドは、指定されたリージョン内のすべてのアカウントと有効なソースのログ収集ステータスを一覧表示します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securitylake get-data-lake-sources \
--regions "us-east-1" \
--query 'dataLakeSources[].[account,sourceName]'
```
リージョンで Security Lake を有効にしているかどうかを確認するには、 [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html)オペレーションを使用します。を使用している場合は AWS CLI、 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/list-data-lakes.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/list-data-lakes.html) コマンドを実行します。`regions` パラメーターには、リージョンのリージョン コードを指定します。たとえば、米国東部 (バージニア北部) リージョンの場合は `us-east-1` です。リージョンコードのリストについては、*AWS 全般のリファレンス*の「[Amazon Security Lake エンドポイント](https://docs.aws.amazon.com/general/latest/gr/securitylake.html)」を参照してください。`ListDataLakes`オペレーションは、リクエストで指定した各リージョンのデータレイク設定を返します。リージョンを指定しない場合、Security Lake は、Security Lake が利用可能な各リージョンのデータレイクのステータスと構成設定を返します。
たとえば、次の AWS CLI コマンドは、 `eu-central-1`リージョンのデータレイクのステータスと設定を示します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securitylake list-data-lakes \
--regions "us-east-1" "eu-central-1"
```
------
## リージョン設定の変更
好みの方法を選択し、次の手順に従って 1 つ以上の AWS リージョンのデータ レイクの設定を更新します。
------
#### [ Console ]
1. Security Lake コンソール[https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)を開きます。
1. ナビゲーションペインで **[リージョン]** を選択します。
1. リージョンを選択し、[**編集**] を選択します。
1. ***<リージョン>*のすべてのアカウントのソースを上書きする**チェック ボックスをオンにして、ここでの選択がこのリージョンの前の選択をオーバーライドすることを確認します。
1. **[ストレージクラスを選択]** で **[トランジションを追加]** を選択し、データ用の新しいストレージクラスを追加します。
1. [**タグ**] には、必要に応じてリージョンのタグを割り当てたり編集したりします。*タグ*は、特定のリージョン AWS アカウント の のデータレイク設定など、特定のタイプの AWS リソースを定義して割り当てることができるラベルです。詳細については[Security Lake リソースのタグ付け](tagging-resources.md)を参照してください。
1. リージョンをロールアップ リージョンに変更するには、ナビゲーション ペインで [**ロールアップ リージョン**] ([**設定**] の下) を選択します。[**Modify (修正)**] を選択します。「**ロールアップリージョンの選択**」セクションで、「**ロールアップリージョンを追加**」を選択します。関係するリージョンを選択し、Security Lake に複数のリージョンにデータを複製する権限を付与します。完了したら、[**Save**] を選択して、変更を保存します。
------
#### [ API ]
データレイクのリージョン設定をプログラムで更新するには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)オペレーションを使用します。を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html](https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html) コマンドを実行します。`region` パラメーターには、設定を変更するリージョンのリージョン コードを指定します。たとえば、米国東部 (バージニア北部) リージョンの場合は `us-east-1` です。リージョンコードのリストについては、*AWS 全般のリファレンス*の「[Amazon Security Lake エンドポイント](https://docs.aws.amazon.com/general/latest/gr/securitylake.html)」を参照してください。
追加のパラメータを使用して、変更する設定ごとに新しい値を指定します。たとえば、暗号化キー (`encryptionConfiguration`) や保存設定 (`lifecycleConfiguration`) です。
たとえば、次の AWS CLI コマンドは、 `us-east-1`リージョンのデータの有効期限とストレージクラスの移行設定を更新します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ update-data-lake \
--configurations '[{"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":45,"storageClass":"ONEZONE_IA"}]}}]'
```
------
# Security Lake でのロールアップリージョンの設定
ロールアップリージョンは、1 つ以上の寄与リージョンのデータを統合します。ロールアップリージョンを指定すると、リージョンのコンプライアンス要件に準拠しやすくなります。
Amazon S3 の制限により、カスタマーマネージドキー (CMK) 暗号化リージョンデータレイクから S3 マネージド暗号化 (デフォルト暗号化) リージョンデータレイクへのレプリケーションはサポートされていません。
**重要**
カスタムソースを作成した場合、カスタムソースデータの送信先に正しくレプリケートされるように、Security Lake では、[カスタムソースを取り込むためのベストプラクティスに記載されているベストプラクティス](https://docs.aws.amazon.com//security-lake/latest/userguide/custom-sources.html#custom-sources-best-practices)に従うことをお勧めします。ページで説明されているように、S3 パーティションデータパス形式に従わないデータに対してレプリケーションを実行することはできません。
ロールアップリージョンを追加する前に、まず AWS Identity and Access Management (IAM) で 2 つの異なるロールを作成する必要があります。
+ [データレプリケーションの IAM ロール](#iam-role-replication)
+ [AWS Glue パーティションを登録する IAM ロール](#iam-role-partitions)
**注記**
Security Lake コンソールを使用すると、ユーザーに代わって Security Lake がこれらの IAM ロールを作成するか、既存のロールを使用します。ただし、Security Lake API または を使用するときは、これらのロールを作成する必要があります AWS CLI。
## データレプリケーションの IAM ロール
この IAM ロールは、ソースログとイベントを複数のリージョンにレプリケートする権限を Amazon S3 に付与します。
これらのアクセス権限を付与するには、プレフィックス `SecurityLake` で始まる IAM ロールを作成し、以下のサンプルポリシーをアタッチします。Security Lake でロールアップリージョンを作成する場合、ロールの Amazon リソースネーム (ARN) が必要になります。このポリシーでは、`sourceRegions` は寄与リージョン、`destinationRegions` はロールアップ リージョンです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadS3ReplicationSetting",
"Action": [
"s3:ListBucket",
"s3:GetReplicationConfiguration",
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:GetObjectRetention",
"s3:GetObjectLegalHold"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
"arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{bucketOwnerAccountId}}"
]
}
}
},
{
"Sid": "AllowS3Replication",
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ReplicateTags",
"s3:GetObjectVersionTagging"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{bucketOwnerAccountId}}"
]
}
}
}
]
}
```
------
次の信頼ポリシーをロールにアタッチして、Amazon S3 がロールを引き受けることを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3ToAssume",
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
AWS Key Management Service (AWS KMS) のカスタマーマネージドキーを使用して Security Lake データレイクを暗号化する場合は、データレプリケーションポリシーのアクセス許可に加えて、次のアクセス許可を付与する必要があります。
```
{
"Action": [
"kms:Decrypt"
],
"Effect": "Allow",
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{sourceRegion1}.amazonaws.com",
"s3.{sourceRegion2}.amazonaws.com"
],
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
"arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
]
}
},
"Resource": [
"{sourceRegion1KmsKeyArn}",
"{sourceRegion2KmsKeyArn}"
]
},
{
"Action": [
"kms:Encrypt"
],
"Effect": "Allow",
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{destinationRegion1}.amazonaws.com",
],
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
]
}
},
"Resource": [
"{destinationRegionKmsKeyArn}"
]
}
```
レプリケーションロールの詳細については、*「Amazon Simple Storage Service ユーザーガイド*」の[「アクセス許可の設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/setting-repl-config-perm-overview.html)」を参照してください。
## AWS Glue パーティションを登録する IAM ロール
この IAM ロールは、Security Lake が他のリージョンからレプリケートされた S3 オブジェクトの AWS Glue パーティションを登録するために使用するパーティションアップデーター AWS Lambda 関数のアクセス許可を付与します。このロールを作成しないと、サブスクライバーはそれらのオブジェクトからのイベントをクエリできません。
これらの権限を付与するには、`AmazonSecurityLakeMetaStoreManager` (Security Lake への登録時にこのロールをすでに作成している場合があります) という名前のロールを作成します。サンプルポリシーを含む、このロールの詳細については、「[ステップ 1: IAM ロールを作成する](get-started-programmatic.md#prerequisites)」を参照してください。
また、Lake Formation コンソールで、次の手順に従ってデータレイク管理者の `AmazonSecurityLakeMetaStoreManager` 権限を付与する必要があります。
1. Lake Formation コンソール ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) を開きます。
1. 管理ユーザーとしてサインインする
1. [**Lake Formation へようこそ**] ウィンドウが表示されたら、ステップ 1 で作成または選択した ユーザーを選択し、[開始する] を選択します。
1. **[Lake Formation へようこそ]** ウィンドウが表示されない場合は、以下の手順を実行して Lake Formation 管理者を設定します。
1. ナビゲーションペインの **[許可]** で **[管理ロールとタスク]** を選択します。コンソールページの **[データレイク管理者]** セクションで、**[管理者を選択]** を選択します。
1. [**データ レイク管理者の管理**] ダイアログ ボックスで、IAM ユーザーとロールに対して、作成した **AmazonSecurityLakeMetaStoreManager** IAM ロールを選択し、[**保存**] を選択します。
データレイク管理者の権限変更の詳細については、「*AWS Lake Formation デベロッパーガイド」*の「[データレイク管理者の作成](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin)」を参照してください。
## ロールアップリージョンの追加
お好みのアクセス方法を選択し、次の手順に従ってロールアップリージョンを追加します。
**注記**
1 つのリージョンは複数のロールアップリージョンにデータを提供できます。ただし、あるロールアップリージョンを別のロールアップリージョンの寄与リージョンにすることはできません。
------
#### [ Console ]
1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) を開きます。
1. ナビゲーションペインの [**設定**] で、[**ロールアップリージョン**] を選択します。
1. [**変更**] を選択し、[**ロールアップリージョンの追加**] を選択します。
1. ロールアップリージョンと寄与リージョンを指定します。複数のロールアップリージョン を追加する場合は、このステップを繰り返します。
1. ロールアップリージョンを初めて追加する場合は、**サービスアクセス**用に新しい IAM ロールを作成するか、複数のリージョンにデータをレプリケートする権限を Security Lake に付与する既存の IAM ロールを使用してください。
1. 完了したら、**保存** を選択します。
Security Lake へのオンボーディング時にロールアップリージョンを追加することもできます。詳細については、「[Amazon Security Lake の開始方法](getting-started.md)」を参照してください。
------
#### [ API ]
プログラムでロールアップリージョンを追加するには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)オペレーションを使用します。を使用している場合は AWS CLI、 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) コマンドを実行します。リクエストでは、`region`フィールドを使用して、ロールアップリージョンにデータを提供するリージョンを指定します。`replicationConfiguration` パラメータの`regions`配列で、各ロールアップリージョンのリージョンコードを指定します。リージョンコードのリストについては、「*AWS 全般のリファレンス*」の[「Amazon Security Lake エンドポイント」](https://docs.aws.amazon.com/general/latest/gr/securitylake.html)を参照してください。
たとえば、次のコマンドは をロールアップリージョン`ap-northeast-2`として設定します。`us-east-1` リージョンは、`ap-northeast-2`リージョンにデータを提供します。この例では、データレイクに追加されたオブジェクトの 365 日間の有効期間も確立します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'
```
Security Lake へのオンボーディング時にロールアップリージョンを追加することもできます。これを行うには、 [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)オペレーションを使用します (または、 を使用している場合は AWS CLI create[create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) コマンドを使用します)。オンボーディング中にロールアップリージョンを設定する方法の詳細については、「」を参照してください[Amazon Security Lake の開始方法](getting-started.md)。
------
## ロールアップリージョンの更新または削除
お好みのアクセス方法を選択し、次の手順に従って Security Lake のロールアップリージョン を更新または削除します。
------
#### [ Console ]
1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) を開きます。
1. ナビゲーションペインの [**設定**] で、[**ロールアップリージョン**] を選択します。
1. **[変更]** を選択します。
1. ロールアップリージョンのコントリビューションリージョンを変更するには、ロールアップリージョンの行に更新されたコントリビューションリージョンを指定します。
1. ロールアップリージョンを削除するには、ロールアップリージョンの行で [**削除**] を選択します。
1. 完了したら、**保存** を選択します。
------
#### [ API ]
プログラムでロールアップリージョンを設定するには、Security Lake API の [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)オペレーションを使用します。を使用している場合は AWS CLI、 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html) コマンドを実行します。リクエストでは、サポートされているパラメータを使用してロールアップ設定を指定します。
+ 寄与リージョンを追加するには、`region`フィールドを使用して追加するリージョンのリージョンコードを指定します。`replicationConfiguration`オブジェクトの`regions`アレイで、データを投稿する各ロールアップリージョンのリージョンコードを指定します。リージョンコードのリストについては、「*AWS 全般のリファレンス*」の[「Amazon Security Lake エンドポイント」](https://docs.aws.amazon.com/general/latest/gr/securitylake.html)を参照してください。
+ 寄与リージョンを削除するには、`region` フィールドを使用して削除するリージョンのリージョンコードを指定します。`replicationConfiguration` パラメータには値を指定しないでください。
たとえば、次のコマンドは、 `us-east-1`と の両方を寄与リージョン`us-east-2`として設定します。両方のリージョンが`ap-northeast-3`ロールアップリージョンにデータを提供します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'
```
------