As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurando regiões cumulativas no Security Lake
Uma região de rollup consolida dados de uma ou mais regiões contribuintes. Especificar uma região de rollup pode ajudá-lo a cumprir os requisitos de conformidade regionais.
Devido às limitações do Amazon S3, a replicação do data lake regional criptografado com chave gerenciada pelo cliente (CMK) para o data lake regional criptografado (criptografia padrão) gerenciado pelo S3 não é suportada.
**Importante**
Se você criou uma fonte personalizada, para garantir que os dados da fonte personalizada sejam replicados adequadamente no destino, o Security Lake recomenda seguir as melhores práticas descritas em Práticas [recomendadas para ingestão de fontes personalizadas](https://docs.aws.amazon.com//security-lake/latest/userguide/custom-sources.html#custom-sources-best-practices). A replicação não pode ser executada em dados que não seguem o formato do caminho de dados da partição S3, conforme descrito na página.
Antes de adicionar uma região de rollup, primeiro você precisa criar dois perfis diferentes no AWS Identity and Access Management (IAM):
+ [Perfil do IAM para replicação de dados](#iam-role-replication)
+ [Função do IAM para registrar AWS Glue partições](#iam-role-partitions)
**nota**
O Security Lake cria esses perfis do IAM ou usa os perfis existentes em seu nome quando você usa o console do Security Lake. No entanto, você deve criar essas funções ao usar a API Security Lake ou AWS CLI.
## Perfil do IAM para replicação de dados
Esse perfil do IAM concede permissão ao Amazon S3 para replicar logs e eventos de fonte em várias regiões.
Para conceder essas permissões, crie um perfil do IAM que comece com o prefixo `SecurityLake` e anexe à função o seguinte exemplo de política. Você precisará do nome do recurso da Amazon (ARN) da função ao criar uma região de rollup no Security Lake. Nesta política, `sourceRegions` são regiões contribuintes e `destinationRegions` são regiões de rollup.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowReadS3ReplicationSetting",
"Action": [
"s3:ListBucket",
"s3:GetReplicationConfiguration",
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:GetObjectRetention",
"s3:GetObjectLegalHold"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*",
"arn:aws:s3:::aws-security-data-lake-[[sourceRegions]]*/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{bucketOwnerAccountId}}"
]
}
}
},
{
"Sid": "AllowS3Replication",
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ReplicateTags",
"s3:GetObjectVersionTagging"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-security-data-lake-[[destinationRegions]]*/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{bucketOwnerAccountId}}"
]
}
}
}
]
}
```
------
Anexe a política de confiança a seguir à função para permitir que o Amazon S3 assuma a função:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3ToAssume",
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Se você usar uma chave gerenciada pelo cliente de AWS Key Management Service (AWS KMS) para criptografar seu data lake do Security Lake, deverá conceder as seguintes permissões, além das permissões na política de replicação de dados.
```
{
"Action": [
"kms:Decrypt"
],
"Effect": "Allow",
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{sourceRegion1}.amazonaws.com",
"s3.{sourceRegion2}.amazonaws.com"
],
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::aws-security-data-lake-{sourceRegion1}*",
"arn:aws:s3:::aws-security-data-lake-{sourceRegion2}*"
]
}
},
"Resource": [
"{sourceRegion1KmsKeyArn}",
"{sourceRegion2KmsKeyArn}"
]
},
{
"Action": [
"kms:Encrypt"
],
"Effect": "Allow",
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{destinationRegion1}.amazonaws.com",
],
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::aws-security-data-lake-{destinationRegion1}*",
]
}
},
"Resource": [
"{destinationRegionKmsKeyArn}"
]
}
```
Para obter mais informações sobre funções de replicação, consulte [Configuração de permissões](https://docs.aws.amazon.com/AmazonS3/latest/userguide/setting-repl-config-perm-overview.html) no *Guia do usuário do Amazon Simple Storage Service*.
## Função do IAM para registrar AWS Glue partições
Essa função do IAM concede permissões para uma AWS Lambda função atualizadora de partições usada pelo Security Lake para registrar AWS Glue partições para os objetos do S3 que foram replicados de outras regiões. Sem criar essa função, os assinantes não podem consultar eventos desses objetos.
Para conceder essas permissões, crie uma função chamada `AmazonSecurityLakeMetaStoreManager` (talvez você já tenha criado essa função na integração ao Security Lake). Para obter mais informações sobre essa função, incluindo um exemplo de política, consulte [Etapa 1: criar funções do IAM](get-started-programmatic.md#prerequisites).
No console do Lake Formation, você também deve conceder permissões `AmazonSecurityLakeMetaStoreManager` como administrador do data lake seguindo estas etapas:
1. Abra o console do Lake Formation em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Faça login como usuário administrador.
1. Se a janela **Bem-vindo ao Lake Formation** for exibida, escolha o usuário que você criou ou selecionou na Etapa 1 e, escolha Começar.
1. Se você não vir a janela de **Boas-vindas ao Lake Formation**, execute as etapas a seguir para configurar um administrador do Lake Formation.
1. No painel de navegação, em **Permissões**, selecione **Perfis e tarefas administrativas**. Na seção **Administradores do data Lake** da página do console, selecione **Escolher administradores**.
1. Na caixa de diálogo **Gerenciar administradores do data lake**, para usuários e funções do IAM, escolha a função do **AmazonSecurityLakeMetaStoreManager**IAM que você criou e, em seguida, escolha **Salvar**.
Para obter mais informações sobre a alteração de permissões para administradores de data lake, consulte [Criar um administrador de data lake](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin) no *Guia do desenvolvedor do AWS Lake Formation *.
## Como adicionar regiões de rollup
Escolha seu método de acesso preferido e siga estas etapas para adicionar uma região de rollup.
**nota**
Uma região pode contribuir com dados para várias regiões de rollup. No entanto, uma região de rollup não pode ser uma região contribuinte para outra região de rollup.
------
#### [ Console ]
1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).
1. No painel de navegação, em **Configurações**, selecione **Regiões de rollup**.
1. Escolha **Modificar** e, em seguida, escolha **Adicionar região de rollup.**
1. Especifique a região de rollup e as regiões contribuintes. Repita esta etapa se quiser adicionar várias regiões de rollup.
1. Se esta é a primeira vez que você adiciona uma região de rollup, para **Acesso ao serviço**, crie um novo perfil do IAM ou use um perfil do IAM existente que dê permissão ao Security Lake para replicar dados em várias regiões.
1. Ao concluir, escolha **Salvar**.
Você também pode adicionar uma região de rollup na integração do Security Lake. Para obter mais informações, consulte [Conceitos básicos do Amazon Security Lake](getting-started.md).
------
#### [ API ]
Para adicionar uma região cumulativa de forma programática, use a [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)operação da API Security Lake. Se você estiver usando o AWS CLI, execute o [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)comando. Em sua solicitação, use o campo `region` para especificar a região na qual você deseja contribuir com dados para a região de rollup. Na `regions` matriz do `replicationConfiguration` parâmetro, especifique o código da região para cada região cumulativa. Para obter uma lista de códigos de região, consulte [Endpoints do Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) na *Referência geral da AWS*.
Por exemplo, o comando a seguir é definido `ap-northeast-2` como uma região cumulativa. A `us-east-1` Região contribuirá com dados para a `ap-northeast-2` Região. Esse exemplo também estabelece um período de expiração de 365 dias para objetos adicionados ao data lake. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}}]'
```
Você também pode adicionar uma região de rollup na integração do Security Lake. Para fazer isso, use a [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)operação (ou, se estiver usando o AWS CLI, o [create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)comando). Para obter mais informações sobre como configurar regiões cumulativas durante a integração, consulte. [Conceitos básicos do Amazon Security Lake](getting-started.md)
------
## Como atualizar ou remover regiões de rollup
Escolha seu método de acesso preferido e siga estas etapas para atualizar ou remover regiões de rollup no Security Lake.
------
#### [ Console ]
1. Abra o console do Security Lake em [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).
1. No painel de navegação, em **Configurações**, selecione **Regiões de rollup**.
1. Escolha **Modificar**.
1. Para alterar as regiões contribuintes de uma região de rollup, especifique as regiões contribuintes atualizadas na linha da região de rollup.
1. Para remover uma região de rollup, escolha **Remover** na linha da Região de rollup.
1. Ao concluir, escolha **Salvar**.
------
#### [ API ]
Para configurar regiões cumulativas de forma programática, use a [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)operação da API Security Lake. Se você estiver usando o AWS CLI, execute o [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)comando. Em sua solicitação, use os parâmetros compatíveis para especificar as configurações de rollup:
+ Para adicionar uma região contribuinte, use o campo `region` para especificar o código da região a ser adicionada. Na matriz `regions` do objeto `replicationConfiguration`, especifique o código da região para cada região de rollup para a qual contribuir com dados. Para obter uma lista de códigos de região, consulte [Endpoints do Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) na *Referência geral da AWS*.
+ Para remover uma região contribuinte, use o campo `region` para especificar o código da região a ser removida. Nos parâmetros `replicationConfiguration`, não especifique nenhum valor.
Por exemplo, o comando a seguir configura ambas `us-east-1` e `us-east-2` como regiões contribuintes. Ambas as regiões contribuirão com dados para a região `ap-northeast-3` cumulativa. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":365}}},
{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","replicationConfiguration": {"regions": ["ap-northeast-3"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"}, "lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]'
```
------