

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einen Abonnenten mit Abfragezugriff in Security Lake erstellen
<a name="create-query-subscriber-procedures"></a>

Wählen Sie Ihre bevorzugte Methode, um einen Abonnenten mit Abfragezugriff in der aktuellen Version zu erstellen AWS-Region. Ein Abonnent kann Daten nur von dem abfragen AWS-Region , in dem er erstellt wurde. Um einen Abonnenten zu erstellen, benötigen Sie die AWS-Konto ID und die externe ID des Abonnenten. Die externe ID ist eine eindeutige Kennung, die Ihnen der Abonnent zur Verfügung stellt. Weitere Informationen [zu externen IDs Ressourcen finden Sie im *IAM-Benutzerhandbuch* unter So verwenden Sie eine externe ID, wenn Sie Dritten Zugriff auf Ihre AWS Ressourcen gewähren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html).

**Anmerkung**  
Security Lake unterstützt die kontoübergreifende Datenfreigabe von Lake Formation Version 1 nicht. Sie müssen Lake Formation Cross-account Data Sharing auf Version 2 oder Version 3 aktualisieren. Die Schritte zum Aktualisieren der **kontoübergreifenden Versionseinstellungen** über die AWS Lake Formation Konsole oder die AWS CLI finden Sie unter [So aktivieren Sie die neue Version](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html#version-update-steps) im *AWS Lake Formation Entwicklerhandbuch*.

------
#### [ Console ]

1. Öffnen Sie die Security Lake-Konsole unter [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Melden Sie sich mit dem delegierten Administratorkonto an.

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie den Abonnenten erstellen möchten.

1. **Wählen Sie im Navigationsbereich Abonnenten aus.**

1. Wählen Sie auf der Seite **Abonnenten** die Option **Abonnent erstellen** aus.

1. Geben Sie für **Abonnentendetails** einen **Abonnentennamen** und optional eine **Beschreibung** ein.

   Die **Region** wird automatisch so ausgefüllt, wie Sie sie aktuell ausgewählt haben, AWS-Region und kann nicht geändert werden.

1. Wählen **Sie für Protokoll- und Ereignisquellen** aus, welche Quellen Security Lake bei der Rückgabe von Abfrageergebnissen einbeziehen soll.

1. Wählen Sie als **Datenzugriffsmethode** **Lake Formation** aus, um den Abfragezugriff für den Abonnenten zu erstellen.

1. Geben Sie für **Abonnentenanmeldedaten** die AWS-Konto ID und die [externe ID](https://docs.aws.amazon.com//security-lake/latest/userguide/prereqs-creating-subscriber.html#subscriber-external-id) des Abonnenten an.

1. (Optional) Geben Sie für **Stichwörter** bis zu 50 Stichwörter ein, die dem Abonnenten zugewiesen werden sollen.

   Ein *Tag* ist eine Bezeichnung, die Sie definieren und bestimmten Ressourcentypen AWS zuweisen können. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Mithilfe von Tags können Sie Ressourcen auf unterschiedliche Weise identifizieren, kategorisieren und verwalten. Weitere Informationen hierzu finden Sie unter [Kennzeichnen von Security Lake-Ressourcen](tagging-resources.md).

1. Wählen Sie **Erstellen** aus.

------
#### [ API ]

Verwenden Sie die Security Lake-API, um programmgesteuert einen Abonnenten mit Abfragezugriff zu erstellen. [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html) Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl [create-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-subscriber.html) aus. 

Verwenden Sie in Ihrer Anfrage diese Parameter, um die folgenden Einstellungen für den Abonnenten anzugeben:
+ Legen Sie für `accessTypes` die Option `LAKEFORMATION` fest.
+ Geben Sie für `sources` jede Quelle an, die Security Lake bei der Rückgabe von Abfrageergebnissen einbeziehen soll.
+ Geben Sie für `subscriberIdentity` die AWS Identität und die externe ID an, die der Abonnent zur Abfrage von Quelldaten verwendet.

Im folgenden Beispiel wird ein Abonnent mit Abfragezugriff in der aktuellen AWS Region für die angegebene Abonnenten-Identität erstellt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securitylake create-subscriber \ 
--subscriber-identity {"accountID": 129345678912,"externalId": 123456789012} \
--sources [{"awsLogSource": {"sourceName": VPC_FLOW, "sourceVersion": 2.0}}] \
--subscriber-name subscriber name \
--access-types LAKEFORMATION
```

------

## Einrichtung der kontenübergreifenden gemeinsamen Nutzung von Tabellen (Abonnentenschritt)
<a name="grant-query-access-subscriber"></a>

Security Lake verwendet die kontenübergreifende Tabellenfreigabe von Lake Formation, um den Zugriff auf Abonnentenabfragen zu unterstützen. Wenn Sie einen Abonnenten mit Abfragezugriff in der Security Lake-Konsole, API oder AWS CLI erstellen, gibt Security Lake Informationen über die entsprechenden Lake Formation-Tabellen an den Abonnenten weiter, indem es eine [Ressourcenfreigabe](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-terms-and-concepts.html#term-resource-share) in AWS Resource Access Manager (AWS RAM) erstellt.

Wenn Sie bestimmte Arten von Änderungen an einem Abonnenten mit Abfragezugriff vornehmen, erstellt Security Lake eine neue Ressourcenfreigabe. Weitere Informationen finden Sie unter [Einen Abonnenten mit Abfragezugriff in Security Lake bearbeiten](editing-query-access-subscriber.md).

Der Abonnent sollte die folgenden Schritte ausführen, um Daten aus Ihren Lake Formation-Tabellen zu nutzen:

1. **Die Ressourcenfreigabe akzeptieren** — Der Abonnent muss die Ressourcenfreigabe akzeptieren, die den `resourceShareArn` und enthält und der generiert wird`resourceShareName`, wenn Sie den Abonnenten erstellen oder bearbeiten. Wählen Sie eine der folgenden Zugriffsmethoden:
   + Informationen zu Konsole und AWS CLI finden Sie unter [Eine Einladung zur gemeinsamen Nutzung einer Ressource annehmen von AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).
   + Rufen Sie für API die [GetResourceShareInvitations](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourceShareInvitations.html)API auf. Filtern Sie nach `resourceShareArn` und`resourceShareName`, um die richtige Ressourcenfreigabe zu finden. Nehmen Sie die Einladung mit der [AcceptResourceShareInvitation](https://docs.aws.amazon.com/ram/latest/APIReference/API_AcceptResourceShareInvitation.html)API an.

   Die Einladung zur gemeinsamen Nutzung von Ressourcen läuft in 12 Stunden ab. Sie müssen die Einladung also innerhalb von 12 Stunden validieren und annehmen. Wenn die Einladung abläuft, wird sie weiterhin in einem bestimmten `PENDING` Status angezeigt, aber wenn Sie sie annehmen, erhalten Sie keinen Zugriff auf die gemeinsam genutzten Ressourcen. Wenn mehr als 12 Stunden vergangen sind, löschen Sie den Lake Formation Formation-Abonnenten und erstellen Sie den Abonnenten neu, um eine neue Resource Share-Einladung zu erhalten.

1. **Einen Ressourcenlink zur gemeinsam genutzten Datenbank** erstellen — Der Abonnent muss entweder AWS Lake Formation (bei Verwendung der Konsole) oder AWS Glue (bei Verwendung der API/AWS CLI) einen Ressourcenlink zur gemeinsam genutzten Lake Formation Formation-Datenbank erstellen. Dieser Ressourcenlink verweist das Konto des Abonnenten auf die gemeinsam genutzte Datenbank. Wählen Sie eine der folgenden Zugriffsmethoden:
   + Informationen zur Konsole und AWS CLI finden Sie [unter Einen Ressourcenlink zu einer gemeinsam genutzten Datenkatalog-Datenbank erstellen.](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-database.html) im *AWS Lake Formation Entwicklerhandbuch*.
   + Wir empfehlen Abonnenten, mit der [CreateDatabase](https://docs.aws.amazon.com/glue/latest/webapi/API_CreateDatabase.html)API auch eine eigene Datenbank zum Speichern von Resource Link-Tabellen zu erstellen.

1. **Abfragen der gemeinsam genutzten Tabellen** — Dienste wie Amazon Athena können direkt auf die Tabellen verweisen, und neue Daten, die Security Lake sammelt, stehen automatisch für Abfragen zur Verfügung. Abfragen werden beim Abonnenten ausgeführt AWS-Konto, und die durch Abfragen entstehenden Kosten werden dem Abonnenten in Rechnung gestellt. Sie können den Lesezugriff auf Ressourcen in Ihrem eigenen Security Lake-Konto kontrollieren.

Weitere Informationen zur Gewährung kontenübergreifender Berechtigungen finden Sie unter [Kontoübergreifender Datenaustausch in Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html) im *AWS Lake Formation Entwicklerhandbuch*.