Steuern des Zugriffs auf Verbundressourcen Ermitteln der Berechtigungsmethode für eine Verbundressource Kontoübergreifendes Teilen mit Lake Formation

Verwaltung von CloudTrail Lake Federation-Ressourcen mit AWS Lake Formation

Wenn Sie einen Ereignisdatenspeicher zusammenführen, werden die Verbundrolle ARN und der Ereignisdatenspeicher in dem Dienst CloudTrail registriert AWS Lake Formation, der für die detaillierte Zugriffskontrolle der Verbundressourcen im Datenkatalog verantwortlich ist. AWS Glue In diesem Abschnitt wird beschrieben, wie Sie Lake Formation verwenden können, um die Ressourcen der CloudTrail Lake Federation zu verwalten.

Wenn Sie den Verbund aktivieren, werden die folgenden Ressourcen im AWS Glue Datenkatalog CloudTrail erstellt.

Verwaltete Datenbank — CloudTrail erstellt eine Datenbank mit dem Namen aws:cloudtrail pro Konto. CloudTrail verwaltet die Datenbank. Sie können die Datenbank in nicht löschen oder ändern AWS Glue.
Verwaltete Verbundtabelle — CloudTrail erstellt eine Tabelle für jeden föderierten Ereignisdatenspeicher und verwendet die ID des Ereignisdatenspeichers als Tabellennamen. CloudTrail verwaltet die Tabellen. Sie können die Tabellen in nicht löschen oder ändern AWS Glue. Um eine Tabelle zu löschen, müssen Sie den Verbund im Ereignisdatenspeicher deaktivieren.

Steuern des Zugriffs auf Verbundressourcen

Sie können eine von zwei Berechtigungsmethoden verwenden, um den Zugriff auf die verwaltete Datenbank und die Tabellen zu steuern.

IAMNur Zugriffskontrolle — Wenn IAM nur die Zugriffskontrolle aktiviert ist, erhalten alle Benutzer des Kontos mit den erforderlichen IAM Berechtigungen Zugriff auf alle Datenkatalogressourcen. Informationen dazu, wie AWS Glue funktioniert mitIAM, finden Sie unter Wie AWS Glue funktioniert mit IAM.

In der Lake Formation Formation-Konsole wird diese Methode als Nur IAM Zugriffskontrolle verwenden angezeigt.

Anmerkung
Wenn Sie Datenfilter erstellen und andere Lake-Formation-Features verwenden möchten, müssen Sie die Lake-Formation-Zugriffskontrolle verwenden.
Lake-Formation-Zugriffskontrolle – Diese Methode bietet die folgenden Vorteile.
- Sie können die Sicherheit auf Spalten-, Zeilen- und Zellenebene implementieren, indem Sie Datenfilter erstellen. Weitere Informationen finden Sie im AWS Lake Formation Entwicklerhandbuch unter Absichern von Data Lakes mit Zugriffskontrolle auf Zeilenebene.
- Datenbank und Tabellen sind nur für Lake-Formation-Administratoren und Ersteller der Datenbank und der Ressourcen sichtbar. Wenn ein anderer Benutzer Zugriff auf diese Ressourcen benötigt, müssen Sie den Zugriff mithilfe von Lake-Formation-Berechtigungen explizit gewähren.

Weitere Informationen zur differenzierten Zugriffskontrolle finden Sie unter Methoden für die differenzierte Zugriffskontrolle.

Ermitteln der Berechtigungsmethode für eine Verbundressource

Wenn Sie den Verbund zum ersten Mal aktivieren, werden mithilfe Ihrer Lake Formation Data Lake-Einstellungen eine verwaltete Datenbank und eine verwaltete Verbundtabelle CloudTrail erstellt.

Nachdem Sie den Verbund CloudTrail aktiviert haben, können Sie überprüfen, welche Berechtigungsmethode Sie für die verwaltete Datenbank und die verwaltete Verbundtabelle verwenden, indem Sie die Berechtigungen für diese Ressourcen überprüfen. Wenn die IAM_ALLOWED_PRINCIPALS Einstellung ALL (Super) to für die Ressource vorhanden ist, wird die Ressource ausschließlich IAM über Berechtigungen verwaltet. Wenn die Einstellung fehlt, wird die Ressource über Lake-Formation-Berechtigungen verwaltet. Weitere Informationen zu Lake-Formation-Berechtigungen finden Sie in der Referenz zu Lake-Formation-Berechtigungen.

Die Berechtigungsmethode für die verwaltete Datenbank und die verwaltete Verbundtabelle kann unterschiedlich sein. Wenn Sie beispielsweise die Werte für die Datenbank und die Tabelle überprüfen, könnten Sie Folgendes sehen:

Für die Datenbank IAM_ALLOWED_PRINCIPALS ist der Wert, der ALL (Super) zuweist, in den Berechtigungen enthalten, was bedeutet, dass Sie IAM nur die Zugriffskontrolle für die Datenbank verwenden.
Für die Tabelle ist der Wert, der ALL (Super) auf IAM_ALLOWED_PRINCIPALS zuweist, nicht vorhanden, was auf eine Zugriffskontrolle durch Lake-Formation-Berechtigungen hinweist.

Sie können jederzeit zwischen den Zugriffsmethoden wechseln, indem Sie die Berechtigung ALL (Super) auf IAM_ALLOWED_PRINCIPALS für eine beliebige Verbundressource in Lake Formation hinzufügen oder entfernen.

Kontoübergreifendes Teilen mit Lake Formation

In diesem Abschnitt wird beschrieben, wie Sie mithilfe von Lake Formation eine verwaltete Datenbank und eine verwaltete Verbundtabelle für mehrere Konten gemeinsam nutzen können.

Gehen Sie wie folgt vor, um eine verwaltete Datenbank für mehrere Konten gemeinsam zu nutzen:

Aktualisieren Sie die Version für die kontoübergreifende gemeinsame Nutzung von Daten auf Version 4.
Entfernen die Berechtigungen Super auf IAM_ALLOWED_PRINCIPALS aus der Datenbank, falls vorhanden, um zur Lake-Formation-Zugriffskontrolle zu wechseln.
Erteilen Sie dem externen Konto in der Datenbank Describe-Berechtigungen.
Wenn eine Datenkatalogressource für Sie freigegeben ist AWS-Konto und Ihr Konto nicht derselben AWS Organisation angehört wie das Freigabekonto, akzeptieren Sie die Einladung von AWS Resource Access Manager (AWS RAM) zur gemeinsamen Nutzung der Ressource. Weitere Informationen finden Sie unter Annehmen einer Einladung zur gemeinsamen Nutzung einer Ressource von AWS RAM.

Nach Abschluss dieser Schritte sollte die Datenbank für das externe Konto sichtbar sein. Standardmäßig gewährt die gemeinsame Nutzung der Datenbank keinen Zugriff auf Tabellen in der Datenbank.

Gehen Sie wie folgt vor, um alle oder einzelne verwaltete Verbundtabellen für ein externes Konto freizugeben:

Aktualisieren Sie die Version für die kontoübergreifende gemeinsame Nutzung von Daten auf Version 4.
Entfernen die Berechtigungen Super auf IAM_ALLOWED_PRINCIPALS aus der Tabelle, falls vorhanden, um zur Lake-Formation-Zugriffskontrolle zu wechseln.
(Optional) Geben Sie beliebige Datenfilter an, um Spalten oder Zeilen einzuschränken.
Erteilen Sie dem externen Konto in der Tabelle Select-Berechtigungen.
Wenn eine Datenkatalogressource mit Ihnen geteilt wird AWS-Konto und Ihr Konto nicht derselben AWS Organisation angehört wie das Freigabekonto, akzeptieren Sie die Einladung von AWS Resource Access Manager (AWS RAM) zur gemeinsamen Nutzung der Ressource. Für eine Organisation können Sie mithilfe der RAM Einstellungen auto akzeptieren. Weitere Informationen finden Sie unter Eine Einladung zur gemeinsamen Nutzung einer Ressource annehmen von AWS RAM.
Die Tabelle sollte jetzt sichtbar sein. Um Amazon-Athena-Abfragen für diese Tabelle zu aktivieren, erstellen Sie in diesem Konto einen Ressourcenlink zur gemeinsam genutzten Tabelle.

Das Eigentümerkonto kann die gemeinsame Nutzung jederzeit widerrufen, indem es die Berechtigungen für das externe Konto von Lake Formation entfernt oder den Verbund in deaktiviert. CloudTrail

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Lake-Abfrageverbund deaktivieren

Ereignisdatenspeicher einer Organisation

Verwaltung von CloudTrail Lake Federation-Ressourcen mit AWS Lake Formation

Steuern des Zugriffs auf Verbundressourcen

Anmerkung

Ermitteln der Berechtigungsmethode für eine Verbundressource

Kontoübergreifendes Teilen mit Lake Formation