Habilitación de la federación de consultas de Lake - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación de la federación de consultas de Lake

Puede habilitar la federación de consultas de Lake mediante la CloudTrail consola AWS CLI, o EnableFederationAPIoperación. Al habilitar la federación de consultas de Lake, CloudTrail crea una base de datos administrada denominada aws:cloudtrail (si la base de datos aún no existe) y una tabla federada administrada en el catálogo de AWS Glue datos. El ID del banco de datos de eventos se usa para el nombre de la tabla. CloudTrail registra el rol de federación ARN y el almacén de datos de eventos AWS Lake Formation, el servicio responsable de permitir un control de acceso detallado a los recursos federados del catálogo de datos. AWS Glue

En esta sección se describe cómo habilitar la federación mediante la consola y. CloudTrail AWS CLI

CloudTrail console

En el siguiente procedimiento, se muestra cómo habilitar la federación de consultas de Lake en un almacén de datos de eventos existente.

  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

  3. Elija el almacén de datos de eventos que desea actualizar. Se abrirá la página de detalles del almacén de datos de eventos.

  4. En Federación de consultas de Lake, elija Editar y, a continuación, elija Habilitar.

  5. Elija si desea crear un nuevo IAM rol o usar uno existente. Al crear un nuevo rol, crea CloudTrail automáticamente un rol con los permisos necesarios. Si utiliza un rol existente, asegúrese de que la política del rol proporcione los permisos mínimos requeridos.

  6. Si va a crear un nuevo IAM rol, introduzca un nombre para el rol.

  7. Si eliges un IAM rol existente, elige el rol que deseas usar. El rol debe existir en su cuenta.

  8. Elija Guardar cambios. El Estado de la federación cambia a Enabled.

AWS CLI

Para habilitar la federación, ejecute el comando aws cloudtrail enable-federation proporcionando los parámetros --event-data-store y --role necesarios. Para --event-data-store ello, proporciona el banco de datos del evento ARN (o el sufijo de ID delARN). Para--role, indique el ARN para su función de federación. El rol debe existir en su cuenta y proporcionar los permisos mínimos necesarios.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

En este ejemplo, se muestra cómo un administrador delegado puede habilitar la federación en un banco de datos de eventos ARN de la organización especificando el banco de datos de eventos en la cuenta de administración y el rol ARN de federación en la cuenta de administrador delegado.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name