Lake-Abfrageverbund aktivieren - AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Lake-Abfrageverbund aktivieren

Sie können den Lake-Abfrageverbund mithilfe der CloudTrail Konsole aktivieren AWS CLI, oder EnableFederationAPIBetrieb. Wenn Sie den Lake-Abfrageverbund aktivieren, werden eine verwaltete Datenbank mit dem Namen aws:cloudtrail (falls die Datenbank noch nicht vorhanden ist) und eine verwaltete Verbundtabelle im AWS Glue Datenkatalog CloudTrail erstellt. Die ID des Ereignisdatenspeichers wird für den Tabellennamen verwendet. CloudTrail registriert die Verbundrolle ARN und den Ereignisdatenspeicher in dem Dienst AWS Lake Formation, der für die detaillierte Zugriffskontrolle der Verbundressourcen im AWS Glue Datenkatalog verantwortlich ist.

In diesem Abschnitt wird beschrieben, wie Sie den Verbund mithilfe der CloudTrail Konsole und aktivieren. AWS CLI

CloudTrail console

Das folgende Verfahren zeigt, wie Sie den Lake-Abfrageverbund für einen vorhandenen Ereignisdatenspeicher aktivieren.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie im Navigationsbereich unter Lake die Option Ereignisdatenspeicher aus.

  3. Wählen Sie den Ereignisdatenspeicher, den Sie aktualisieren möchten. Diese Aktion öffnet die Detailseite des Ereignisdatenspeichers.

  4. Wählen Sie in Lake-Abfrageverbund die Option Bearbeiten und dann Aktivieren aus.

  5. Wählen Sie aus, ob Sie eine neue IAM Rolle erstellen oder eine bestehende Rolle verwenden möchten. Wenn Sie eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle verwenden, stellen Sie sicher, dass die Richtlinie für die Rolle die erforderlichen Mindestberechtigungen vorsieht.

  6. Wenn Sie eine neue IAM Rolle erstellen, geben Sie einen Namen für die Rolle ein.

  7. Wenn Sie eine bestehende IAM Rolle auswählen, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.

  8. Wählen Sie Änderungen speichern. Der Verbundstatus ändert sich in Enabled.

AWS CLI

Um den Verbund zu aktivieren, führen Sie den Befehl aws cloudtrail enable-federation aus und geben Sie die erforderlichen Parameter --event-data-store und --role ein. Geben Sie für --event-data-store den Ereignisdatenspeicher ARN (oder das ID-Suffix vonARN) an. Für--role, geben Sie das ARN für Ihre Verbundrolle an. Die Rolle muss in Ihrem Konto vorhanden sein und über die erforderlichen Mindestberechtigungen verfügen.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

Dieses Beispiel zeigt, wie ein delegierter Administrator den Verbund für den Ereignisdatenspeicher einer Organisation aktivieren kann, indem er die Rolle ARN des Ereignisdatenspeichers im Verwaltungskonto und die ARN Verbundrolle im delegierten Administratorkonto angibt.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name