Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengaktifkan Security Lake secara terprogram
<a name="get-started-programmatic"></a>

Tutorial ini menjelaskan cara mengaktifkan dan mulai menggunakan Security Lake secara terprogram. Amazon Security Lake API memberi Anda akses terprogram yang komprehensif ke akun, data, dan sumber daya Security Lake Anda. Atau, Anda dapat menggunakan alat baris AWS perintah — [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)atau [AWS Alat untuk PowerShell —atau [AWS SDKs](https://aws.amazon.com/developertools/)untuk](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html) mengakses Security Lake.

## Langkah 1: Buat peran IAM
<a name="prerequisites"></a>

Jika Anda mengakses Security Lake secara terprogram, Anda perlu membuat beberapa peran AWS Identity and Access Management (IAM) untuk mengonfigurasi data lake Anda.

**penting**  
Tidak perlu membuat peran IAM ini jika Anda menggunakan konsol Security Lake untuk mengaktifkan dan mengkonfigurasi Security Lake.

Anda harus membuat peran di IAM jika Anda akan mengambil satu atau beberapa tindakan berikut (pilih tautan untuk melihat informasi selengkapnya tentang peran IAM untuk setiap tindakan):
+ [Membuat sumber kustom — Sumber](custom-sources.md#iam-roles-custom-sources) kustom adalah sumber selain yang didukung secara asli Layanan AWS yang mengirim data ke Security Lake.
+ [Membuat pelanggan dengan akses data](prereqs-creating-subscriber.md#iam-role-subscriber) — Pelanggan dengan izin dapat langsung mengakses objek S3 dari danau data Anda.
+ [Membuat pelanggan dengan akses kueri](prereqs-query-subscriber.md#iam-role-query-subscriber) — Pelanggan dengan izin dapat meminta data dari Security Lake menggunakan layanan seperti Amazon Athena.
+ [Mengkonfigurasi Wilayah rollup — Wilayah rollup](add-rollup-region.md#iam-role-replication) mengkonsolidasikan data dari beberapa. Wilayah AWS

Setelah membuat peran yang disebutkan sebelumnya, lampirkan kebijakan [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS terkelola ke peran yang Anda gunakan untuk mengaktifkan Security Lake. Kebijakan ini memberikan izin administratif yang memungkinkan kepala sekolah untuk masuk ke Security Lake dan mengakses semua tindakan Security Lake.

Lampirkan kebijakan [https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSecurityLakeAdministrator) AWS terkelola untuk membuat data lake atau data kueri dari Security Lake. Kebijakan ini diperlukan untuk Security Lake untuk mendukung pekerjaan ekstrak, transformasi, dan pemuatan (ETL) pada log mentah dan data peristiwa yang diterimanya dari sumber.

## Langkah 2: Aktifkan Amazon Security Lake
<a name="enable-service-programmatic"></a>

Untuk mengaktifkan Security Lake secara terprogram, gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)pengoperasian Security Lake API. Jika Anda menggunakan AWS CLI, jalankan [create-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html)perintah. Dalam permintaan Anda, gunakan `region` bidang `configurations` objek untuk menentukan kode Wilayah untuk Wilayah untuk mengaktifkan Danau Keamanan. Untuk daftar kode Wilayah, lihat [titik akhir Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) di. *Referensi Umum AWS*

**Contoh 1**

Contoh perintah berikut memungkinkan Security Lake in the `us-east-1` and `us-east-2` Regions. Di kedua Wilayah, danau data ini dienkripsi dengan kunci terkelola Amazon S3. Objek kedaluwarsa setelah 365 hari, dan objek bertransisi ke kelas penyimpanan `ONEZONE_IA` S3 setelah 60 hari. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**Contoh 2**

Contoh perintah berikut memungkinkan Security Lake in the `us-east-2` Region. Data lake ini dienkripsi dengan kunci terkelola pelanggan yang dibuat di AWS Key Management Service ()AWS KMS. Objek kedaluwarsa setelah 500 hari, dan objek bertransisi ke kelas penyimpanan `GLACIER` S3 setelah 30 hari. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

**catatan**  
Jika Anda telah mengaktifkan Security Lake dan ingin memperbarui pengaturan konfigurasi untuk Wilayah atau sumber, gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)operasi, atau jika menggunakan AWS CLI, [update-data-lake](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/update-data-lake.html)perintah. Jangan gunakan `CreateDataLake` operasi.

## Langkah 3: Konfigurasikan sumber
<a name="define-collection-objective-programmatic"></a>

Security Lake mengumpulkan data log dan peristiwa dari berbagai sumber dan di seluruh Anda Akun AWS dan Wilayah AWS. Ikuti petunjuk ini untuk mengidentifikasi data mana yang ingin dikumpulkan Security Lake. Anda hanya dapat menggunakan petunjuk ini untuk menambahkan sumber yang didukung secara asli Layanan AWS . Untuk informasi tentang menambahkan sumber kustom, lihat[Mengumpulkan data dari sumber khusus di Security Lake](custom-sources.md).

Untuk menentukan satu atau lebih sumber koleksi secara terprogram, gunakan [CreateAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateAwsLogSource.html)pengoperasian Security Lake API. Untuk setiap sumber, tentukan nilai unik Regional untuk `sourceName` parameter. Secara opsional gunakan parameter tambahan untuk membatasi ruang lingkup sumber ke akun tertentu (`accounts`) atau versi tertentu (`sourceVersion`).

**catatan**  
Jika Anda tidak menyertakan parameter opsional dalam permintaan Anda, Security Lake menerapkan permintaan Anda ke semua akun atau semua versi sumber yang ditentukan, tergantung pada parameter yang Anda kecualikan. Misalnya, jika Anda adalah administrator Security Lake yang didelegasikan untuk organisasi dan Anda mengecualikan `accounts` parameternya, Security Lake menerapkan permintaan Anda ke semua akun di organisasi Anda. Demikian pula, jika Anda mengecualikan `sourceVersion` parameter, Security Lake menerapkan permintaan Anda ke semua versi sumber yang ditentukan.

Jika permintaan Anda menentukan Wilayah di mana Anda belum mengaktifkan Security Lake, terjadi kesalahan. Untuk mengatasi kesalahan ini, pastikan bahwa `regions` array hanya menentukan Wilayah di mana Anda telah mengaktifkan Security Lake. Atau, Anda dapat mengaktifkan Danau Keamanan di Wilayah, dan kemudian mengirimkan permintaan Anda lagi.

Saat Anda mengaktifkan Security Lake di akun untuk pertama kalinya, semua log dan sumber peristiwa yang dipilih akan menjadi bagian dari periode uji coba gratis 15 hari. Untuk informasi selengkapnya tentang statistik penggunaan, lihat[Meninjau penggunaan dan perkiraan biaya](reviewing-usage-costs.md).

## Langkah 4: Konfigurasikan pengaturan penyimpanan dan rollup Regions (opsional)
<a name="define-target-objective-programmatic"></a>

Anda dapat menentukan kelas penyimpanan Amazon S3 di mana Anda ingin Security Lake menyimpan data Anda dan untuk berapa lama. Anda juga dapat menentukan Wilayah rollup untuk mengkonsolidasikan data dari beberapa Wilayah. Ini adalah langkah opsional. Untuk informasi selengkapnya, lihat [Manajemen siklus hidup di Security Lake](lifecycle-management.md).

Untuk menentukan tujuan target secara terprogram saat Anda mengaktifkan Security Lake, gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)pengoperasian Security Lake API. Jika Anda sudah mengaktifkan Security Lake dan ingin menentukan tujuan target, gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)operasi, bukan `CreateDataLake` operasinya.

Untuk operasi mana pun, gunakan parameter yang didukung untuk menentukan pengaturan konfigurasi yang Anda inginkan:
+ Untuk menentukan Wilayah rollup, gunakan `region` bidang untuk menentukan Wilayah yang ingin Anda sumbangkan data ke Wilayah rollup. Dalam `regions` larik `replicationConfiguration` objek, tentukan kode Wilayah untuk setiap Wilayah rollup. Untuk daftar kode Wilayah, lihat [titik akhir Amazon Security Lake](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) di. *Referensi Umum AWS*
+ Untuk menentukan pengaturan retensi untuk data Anda, gunakan `lifecycleConfiguration` parameter:
  + Untuk`transitions`, tentukan jumlah total days (`days`) yang ingin Anda simpan objek S3 di kelas `storageClass` penyimpanan Amazon S3 tertentu ().
  + Untuk`expiration`, tentukan jumlah hari yang ingin Anda simpan objek di Amazon S3, menggunakan kelas penyimpanan apa pun, setelah objek dibuat. Ketika periode retensi ini berakhir, objek kedaluwarsa dan Amazon S3 menghapusnya.

  Security Lake menerapkan pengaturan retensi yang ditentukan ke Wilayah yang Anda tentukan di `region` bidang `configurations` objek.

Misalnya, perintah berikut membuat data lake dengan `ap-northeast-2` sebagai Region rollup. `us-east-1`Wilayah akan menyumbangkan data ke `ap-northeast-2` Wilayah. Contoh ini juga menetapkan periode kedaluwarsa 10 hari untuk objek yang ditambahkan ke danau data.

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
```

Anda sekarang telah membuat danau data Anda. Gunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakes.html)pengoperasian Security Lake API untuk memverifikasi pemberdayaan Security Lake dan pengaturan data lake Anda di setiap Wilayah.

Jika masalah atau kesalahan muncul dalam pembuatan data lake Anda, Anda dapat melihat daftar pengecualian dengan menggunakan [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_ListDataLakeExceptions.html)operasi, dan memberi tahu pengguna tentang pengecualian dengan operasi tersebut. [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLakeExceptionSubscription.html) Untuk informasi selengkapnya, lihat [Memecahkan masalah status danau data](securitylake-data-lake-troubleshoot.md).

## Langkah 5: Lihat dan kueri data Anda sendiri
<a name="explore-data-lake-programmatic"></a>

Setelah membuat data lake Anda, Anda dapat menggunakan Amazon Athena atau layanan serupa untuk melihat dan menanyakan data Anda dari AWS Lake Formation database dan tabel. Saat Anda mengaktifkan Security Lake secara terprogram, izin tampilan basis data tidak diberikan secara otomatis. Akun administrator data lake AWS Lake Formation harus memberikan `SELECT` izin ke peran IAM yang ingin Anda gunakan untuk menanyakan database dan tabel yang relevan. Minimal, peran tersebut harus memiliki izin *analis data*. Untuk informasi selengkapnya tentang tingkat izin, lihat [personas Lake Formation dan referensi izin IAM](https://docs.aws.amazon.com/lake-formation/latest/dg/permissions-reference.html). *Untuk petunjuk tentang pemberian `SELECT` izin, lihat [Memberikan izin Katalog Data menggunakan metode sumber daya bernama di Panduan Pengembang](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html).AWS Lake Formation *

## Langkah 6: Buat pelanggan
<a name="subscribe-data-programmatic"></a>

Setelah membuat data lake Anda, Anda dapat menambahkan pelanggan untuk mengkonsumsi data Anda. Pelanggan dapat mengkonsumsi data dengan langsung mengakses objek di bucket Amazon S3 Anda atau dengan menanyakan data lake. Untuk informasi selengkapnya tentang pelanggan, lihat[Manajemen pelanggan di Security Lake](subscriber-management.md).