本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Security Lake 中的生命週期管理
<a name="lifecycle-management"></a>

您可以自訂 Security Lake，將資料存放在您偏好的時間 AWS 區域 長度。生命週期管理可協助您遵守不同的合規要求。

## 保留管理
<a name="retention-management"></a>

若要管理資料以經濟實惠地存放資料，您可以使用 Security Lake 中的生命週期設定來設定資料的保留。這些保留設定可協助您指定偏好的 [Amazon S3 儲存類別](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html)，以及 Amazon S3 物件在轉換到不同的儲存類別來過期之前，要保留在該儲存類別的期間。

**警告**  
我們建議您透過 Security Lake 主控台、API 或 CLI 管理保留設定。這是因為直接在 Amazon S3 服務中修改 Amazon S3 生命週期設定可能會刪除中繼資料，並阻止您存取資料。

### Security Lake 中保留設定的重要考量事項
<a name="security-lake-retention-setting-important-consideration"></a>

在 Security Lake 中管理資料保留時，請檢閱下列考量事項：
+ Security Lake 不支援 [Amazon S3 物件鎖定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)。建立資料湖儲存貯體時，預設會停用 S3 物件鎖定。使用預設保留模式啟用 S3 物件鎖定會中斷將標準化日誌資料交付至資料湖。
+ 預設 Amazon S3 儲存類別為 **S3 Standard**。如果您未設定保留設定，Security Lake 會使用 Amazon S3 生命週期組態的預設設定 – 使用 **S3 標準**儲存類別無限期儲存資料。
+ 在 Security Lake 中，您可以在區域層級指定保留設定。例如，您可以將特定 中的所有 S3 物件設定為在寫入資料湖 30 天後 AWS 區域 轉換為 **S3 Standard-IA** 儲存類別。
+ 雖然保留設定只會套用至存放在 S3 儲存貯體中的資料，但保留政策會排除 Apache Iceberg 中繼資料。

### 啟用 Security Lake 時設定保留設定
<a name="configure-retention-settings"></a>

當您加入 Security Lake 時，請遵循這些指示來設定一或多個區域的保留設定。

------
#### [ Console ]

1. 開啟位於 https：//[https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) 的 Security Lake 主控台。

1. 當您達到**步驟 2：定義加入工作流程的目標時**，請選擇**選取儲存類別**下的**新增轉換**。然後選擇您要轉換 Amazon S3 S3 儲存體方案。（未列出的預設儲存類別為 **S3 Standard**。) 同時指定該儲存體方案的保留期間 （以天為單位）。若要在該時間之後將物件轉換為另一個儲存體方案，請選擇**新增轉換**，然後輸入後續儲存體方案和保留期的設定。

1. 若要指定您希望 S3 物件過期的時間，請選擇**新增轉換**。然後，針對儲存體方案，選擇**過期**。針對保留期間，在建立物件之後，使用任何儲存類別，輸入您要在 Amazon S3 中存放物件的總天數。當此期間結束時，物件會過期，Amazon S3 會將其刪除。

1. 完成後，請選擇**下一步**。

您的變更將套用至您在先前加入步驟期間在 中啟用 Security Lake 的所有區域。

------
#### [ API ]

若要在加入 Security Lake 時以程式設計方式設定保留設定，請使用 Security Lake API [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateDataLake.html)的操作。如果您使用的是 AWS CLI，請執行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-data-lake.html)命令。在`lifecycleConfiguration`參數中指定您想要的保留設定，如下所示：
+ 針對 `transitions`，指定您要在特定 Amazon S3 儲存類別 (`days`) 中存放 S3 物件的總天數 (`storageClass`)。 Amazon S3 
+ 針對 `expiration`，指定建立物件後，使用任何儲存類別，在 Amazon S3 中儲存物件的總天數。當此期間結束時，物件會過期，Amazon S3 會將其刪除。

Security Lake 會將設定套用至您在 `configurations` 物件的 `region` 欄位中指定的區域。

例如，下列命令會在 `us-east-1` 區域中啟用 Security Lake。在此區域中，物件會在 365 天後過期，而物件會在 60 天後轉換為 `ONEZONE_IA` S3 儲存類別。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\\) 行接續字元來改善可讀性。

```
$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"{{S3_MANAGED_KEY}}"},"region":"{{us-east-1}}","lifecycleConfiguration": {"expiration":{"days":{{365}}},"transitions":[{"days":{{60}},"storageClass":"{{ONEZONE_IA}}"}]}}]' \
--meta-store-manager-role-arn "{{arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default}}"
```

------

### 更新保留設定
<a name="update-retention-settings"></a>

啟用 Security Lake 後，請依照這些指示更新一或多個區域的保留設定。

------
#### [ Console ]

1. 在 https：//[https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) 開啟 Security Lake 主控台。

1. 在導覽窗格中，選擇**區域**

1. 選取區域，然後選擇**編輯**。

1. 在**選取儲存類別**區段中，輸入您想要的設定。針對儲存體方案，選擇您要轉換 Amazon S3 S3 儲存體方案。（未列出的預設儲存類別為 **S3 Standard**。) 針對保留期間，輸入您要在該儲存類別中存放物件的天數。您可以指定多個轉換。

   若要指定您希望 S3 物件過期的時間，請選擇儲存體方案**的過期**時間。然後，針對保留期間，在建立物件之後，使用任何儲存類別，輸入您要在 Amazon S3 中儲存物件的總天數。當此期間結束時，物件會過期，Amazon S3 會將其刪除。

1. 完成後，請選擇**儲存**。

------
#### [ API ]

若要以程式設計方式更新保留設定，請使用 Security Lake API [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)的操作。如果您使用的是 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html](https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html)命令。在您的請求中，使用 `lifecycleConfiguration` 參數來指定新設定：
+ 若要變更轉換設定，請使用 `transitions` 參數，以天數 (`days`) 指定您要在特定 Amazon S3 儲存類別 () 中存放 S3 物件的每個新時段`storageClass`。 Amazon S3 
+ 若要變更整體保留期，請在建立物件後，使用任何儲存類別，使用 `expiration` 參數來指定您要存放 S3 物件的總天數。當此保留期結束時，物件會過期，Amazon S3 會將其刪除。

Security Lake 會將設定套用至您在 `configurations` 物件的 `region` 欄位中指定的區域。

Security Lake API `UpdateDataLake`的操作可做為「upsert」操作，在指定的項目或記錄不存在時執行插入，或在已存在時執行更新。Security Lake 使用 AWS 加密解決方案安全地存放靜態資料。

`encryptionConfiguration` 從目前使用 KMS 的更新呼叫中包含的區域省略金鑰，會保留該區域的 KMS 金鑰，但指定金鑰會重設相同區域中的金鑰。

例如，下列 AWS CLI 命令會更新 `us-east-1`區域的資料過期設定和儲存轉換設定。在此區域中，物件會在 500 天後過期，而物件會在 30 天後轉換為 `ONEZONE_IA` S3 儲存類別。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\\) 行接續字元來改善可讀性。

```
$ aws securitylake update-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"{{S3_MANAGED_KEY}}"},"region":"{{us-east-1}}","lifecycleConfiguration": {"expiration":{"days":{{500}}},"transitions":[{"days":{{30}},"storageClass":"{{ONEZONE_IA}}"}]}}]' \
--meta-store-manager-role-arn "{{arn:aws:securitylake:ap-northeast-2:123456789012:data-lake/default}}"
```

------

## 彙總區域
<a name="configure-rollup-region"></a>

彙總區域會合併來自一或多個貢獻區域的資料。這可協助您符合區域資料合規要求。

如需設定彙總區域的指示，請參閱 [在 Security Lake 中設定彙總區域](add-rollup-region.md)。