Verbund für einen Ereignisdatenspeicher erstellen - AWS CloudTrail
ÜberlegungenErforderliche Berechtigungen für den Verbund

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbund für einen Ereignisdatenspeicher erstellen

Durch das Zusammenführen eines Ereignisdatenspeichers können Sie die mit dem Ereignisdatenspeicher verknüpften Metadaten im AWS Glue Datenkatalog anzeigen, den Datenkatalog registrieren und SQL Abfragen für Ihre Ereignisdaten mithilfe von Amazon Athena ausführen. AWS Lake Formation Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden.

Sie können den Verbund mithilfe der CloudTrail Konsole aktivieren AWS CLI, oder EnableFederationAPIBetrieb. Wenn Sie den Lake-Abfrageverbund aktivieren, werden eine verwaltete Datenbank mit dem Namen aws:cloudtrail (falls die Datenbank noch nicht vorhanden ist) und eine verwaltete Verbundtabelle im AWS Glue Datenkatalog CloudTrail erstellt. Die ID des Ereignisdatenspeichers wird für den Tabellennamen verwendet. CloudTrail registriert die Verbundrolle ARN und den Ereignisdatenspeicher in dem Dienst AWS Lake Formation, der für die detaillierte Zugriffskontrolle der Verbundressourcen im AWS Glue Datenkatalog verantwortlich ist.

Um den Lake-Abfrageverbund zu aktivieren, müssen Sie eine neue IAM Rolle erstellen oder eine vorhandene Rolle auswählen. Lake Formation verwendet diese Rolle, um Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail werden automatisch die erforderlichen Berechtigungen für die Rolle erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Rolle die Mindestberechtigungen vorsieht.

Sie können den Verbund mithilfe der CloudTrail Konsole deaktivieren AWS CLI, oder DisableFederationAPIBetrieb. Wenn Sie den Verbund CloudTrail deaktivieren, wird die Integration mit AWS Glue AWS Lake Formation, und Amazon Athena deaktiviert. Nachdem Sie den Lake-Abfrageverbund deaktiviert haben, können Sie Ihre Ereignisdaten in Athena nicht mehr abfragen. Wenn Sie den Verbund deaktivieren, werden keine CloudTrail Lake-Daten gelöscht und Sie können weiterhin Abfragen in CloudTrail Lake ausführen.

Für die Zusammenführung eines CloudTrail Lake-Ereignisdatenspeichers CloudTrail fallen keine Gebühren an. Für die Ausführung von Abfragen in Amazon Athena fallen Kosten an. Weitere Informationen zur Preisgestaltung von Athena finden Sie unter Amazon Athena – Preise.

Themen

Überlegungen

Berücksichtigen Sie bei der Verbunderstellung eines Ereignisdatenspeichers die folgenden Faktoren:

  • Für die Zusammenführung eines CloudTrail Lake-Event-Datenspeichers CloudTrail fallen keine Gebühren an. Für die Ausführung von Abfragen in Amazon Athena fallen Kosten an. Weitere Informationen zur Preisgestaltung von Athena finden Sie unter Amazon Athena – Preise.

  • Lake Formation wird verwendet, um Berechtigungen für die Verbundressourcen zu verwalten. Wenn Sie die Verbundrolle löschen oder die Berechtigungen für die Ressourcen von Lake Formation widerrufen oder AWS Glue, können Sie keine Abfragen von Athena ausführen. Weitere Informationen zur Arbeit mit Lake Formation finden Sie unter Verwaltung von CloudTrail Lake Federation-Ressourcen mit AWS Lake Formation.

  • Jeder, der Amazon Athena verwendet, um bei Lake Formation registrierte Daten abzufragen, muss über eine IAM Berechtigungsrichtlinie verfügen, die diese lakeformation:GetDataAccess Aktion zulässt. Die AWS verwaltete Richtlinie: AmazonAthenaFullAccessermöglicht diese Aktion. Wenn Sie eingebundenen Richtlinien verwenden, stellen Sie sicher, dass Sie die Berechtigungsrichtlinien aktualisieren, um diese Aktion zuzulassen. Weitere Informationen finden Sie unter Verwalten von Lake-Formation- und Athena-Benutzerberechtigungen.

  • Um Ansichten für Verbundtabellen in Athena zu erstellen, benötigen Sie eine andere Zieldatenbank als aws:cloudtrail. Das liegt daran, dass die aws:cloudtrail Datenbank von verwaltet wird CloudTrail.

  • Um einen Datensatz in Amazon zu erstellen QuickSight, müssen Sie die SQL Option Benutzerdefiniert verwenden wählen. Weitere Informationen finden Sie unter Erstellen eines Datensatzes mit Amazon-Athena-Daten.

  • Wenn der Verbund aktiviert ist, können Sie einen Ereignisdatenspeicher nicht löschen. Um einen Verbundereignisdatenspeicher zu löschen, müssen Sie zunächst den Verbund und den Beendigungsschutz deaktivieren, falls dieser aktiviert ist.

  • Für Ereignisdatenspeicher von Organisationen gelten die folgenden Überlegungen:

    • Nur ein einziges delegiertes Administratorkonto oder das Verwaltungskonto können den Verbund für den Ereignisdatenspeicher einer Organisation aktivieren. Andere delegierte Administratorkonten können mithilfe des Lake-Formation-Datenfreigabefeatures immer noch Informationen abfragen und austauschen.

    • Jedes delegierte Administratorkonto oder das Verwaltungskonto der Organisation können den Verbund deaktivieren.

Erforderliche Berechtigungen für den Verbund

Bevor Sie einen Verbund des Ereignisdatenspeichers erstellen, stellen Sie sicher, dass Sie über alle erforderlichen Berechtigungen für die Verbundrolle und für die Aktivierung und Deaktivierung des Verbunds verfügen. Sie müssen die Berechtigungen für Verbundrollen nur aktualisieren, wenn Sie eine bestehende IAM Rolle auswählen, um den Verbund zu aktivieren. Wenn Sie eine neue IAM Rolle mithilfe der CloudTrail Konsole erstellen möchten, CloudTrail werden alle erforderlichen Berechtigungen für die Rolle bereitgestellt.

IAMBerechtigungen für das Zusammenführen eines Ereignisdatenspeichers

Wenn Sie den Verbund aktivieren, haben Sie die Möglichkeit, eine neue IAM Rolle zu erstellen oder eine vorhandene IAM Rolle zu verwenden. Wenn Sie eine neue IAM Rolle auswählen, CloudTrail wird eine IAM Rolle mit den erforderlichen Berechtigungen erstellt, sodass keine weiteren Maßnahmen Ihrerseits erforderlich sind.

Wenn Sie sich für eine bestehende Rolle entscheiden, stellen Sie sicher, dass die Richtlinien der IAM Rolle die erforderlichen Berechtigungen enthalten, um den Verbund zu aktivieren. Dieser Abschnitt enthält Beispiele für die erforderlichen IAM Rollenberechtigungs- und Vertrauensrichtlinien.

Das folgende Beispiel enthält die Berechtigungsrichtlinie für die Verbundrolle. Geben Sie für die erste Anweisung ARN den vollständigen Ereignisdatenspeicher für anResource.

Die zweite Aussage in dieser Richtlinie ermöglicht es Lake Formation, Daten für einen mit einem KMS Schlüssel verschlüsselten Ereignisdatenspeicher zu entschlüsseln. Ersetzen key-region, account-id, und key-id mit den Werten für Ihren KMS Schlüssel. Sie können diese Anweisung weglassen, wenn Ihr Ereignisdatenspeicher keinen KMS Schlüssel für die Verschlüsselung verwendet.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LakeFederationEDSDataAccess",
            "Effect": "Allow",
            "Action": "cloudtrail:GetEventDataStoreData",
            "Resource": "arn:aws:cloudtrail:eds-region:account-id:eventdatastore/eds-id"
        },
        {
          "Sid": "LakeFederationKMSDecryptAccess",
          "Effect": "Allow",
          "Action": [
              "kms:Decrypt",
              "kms:GenerateDataKey"
          ],
          "Resource": "arn:aws:kms:key-region:account-id:key/key-id"
      }
    ]
}

Das folgende Beispiel enthält die IAM Vertrauensrichtlinie, mit der Sie eine IAM Rolle bei der Verwaltung von Berechtigungen für den Verbundspeicher für Ereignisse übernehmen können AWS Lake Formation . 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lakeformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Erforderliche Berechtigungen für das Aktivieren des Verbunds

Die folgende Beispielrichtlinie bietet die mindestens erforderlichen Berechtigungen, um den Verbund für einen Ereignisdatenspeicher zu aktivieren. Diese Richtlinie ermöglicht es CloudTrail , den Verbund im Ereignisdatenspeicher AWS Glue zu aktivieren, die Verbundressourcen im AWS Glue Datenkatalog zu erstellen und die Ressourcenregistrierung AWS Lake Formation zu verwalten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudTrailEnableFederation",
            "Effect": "Allow",
            "Action": "cloudtrail:EnableFederation",
            "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id"
        },
        {
            "Sid": "FederationRoleAccess",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole",
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::region:role/federation-role-name"
        },
        {
            "Sid": "GlueResourceCreation",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:CreateTable",
                "glue:PassConnection"
            ],
            "Resource": [
                "arn:aws:glue:region:account-id:catalog",
                "arn:aws:glue:region:account-id:database/aws:cloudtrail",
                "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id",
                "arn:aws:glue:region:account-id:connection/aws:cloudtrail"
            ]
        },
        {
            "Sid": "LakeFormationRegistration",
            "Effect": "Allow",
            "Action": [
                "lakeformation:RegisterResource",
                "lakeformation:DeregisterResource"
            ],
            "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id"
        }
    ]
}

Erforderliche Berechtigungen für das Deaktivieren des Verbunds

Die folgende Beispielrichtlinie bietet die mindestens erforderlichen Ressourcen, um den Verbund für einen Ereignisdatenspeicher zu deaktivieren. Diese Richtlinie ermöglicht es, den Verbund im Ereignisdatenspeicher CloudTrail AWS Glue zu deaktivieren, die verwaltete Verbundtabelle im AWS Glue Datenkatalog zu löschen und Lake Formation die Registrierung der Verbundressource aufzuheben.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudTrailDisableFederation",
            "Effect": "Allow",
            "Action": "cloudtrail:DisableFederation",
            "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id"
        },
        {
            "Sid": "GlueTableDeletion",
            "Effect": "Allow",
            "Action": "glue:DeleteTable",
            "Resource": [
                "arn:aws:glue:region:account-id:catalog",
                "arn:aws:glue:region:account-id:database/aws:cloudtrail",
                "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id"
            ]
        },
        {
            "Sid": "LakeFormationDeregistration",
            "Effect": "Allow",
            "Action": "lakeformation:DeregisterResource",
            "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id"
        }
    ]
}