Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Federar un almacén de datos de eventos
La federación de un banco de datos de eventos le permite ver los metadatos asociados al banco de datos de eventos en el catálogo de AWS Glue datos, registrar el catálogo de datos con AWS Lake Formationél y ejecutar consultas SQL sobre los datos de sus eventos mediante Amazon Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar.
Puede habilitar la federación mediante la CloudTrail consola AWS CLI, o EnableFederationFuncionamiento de la API. Al habilitar la federación de consultas de Lake, CloudTrail crea una base de datos administrada denominada aws:cloudtrail (si la base de datos aún no existe) y una tabla federada administrada en el catálogo de AWS Glue datos. El ID del banco de datos de eventos se usa para el nombre de la tabla. CloudTrail registra el ARN de la función de federación y el almacén de datos de eventos AWS Lake Formation, el servicio responsable de permitir un control de acceso detallado de los recursos federados del catálogo de datos. AWS Glue
Para habilitar la federación de consultas de Lake, debe crear un nuevo rol de IAM o elegir uno existente. Lake Formation usa este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente los permisos necesarios para el rol. Si elige un rol existente, asegúrese de que el rol proporcione los permisos mínimos.
Puede deshabilitar la federación mediante la CloudTrail consola AWS CLI, o DisableFederationFuncionamiento de la API. Al deshabilitar la federación, CloudTrail deshabilita la integración con AWS Glue AWS Lake Formation, y Amazon Athena. Tras deshabilitar la federación de consultas de Lake, ya no podrá consultar los datos de sus eventos en Athena. Al deshabilitar la federación, no se elimina ningún dato de CloudTrail Lake y puede seguir realizando consultas en CloudTrail Lake.
La federación de un almacén de datos de eventos de CloudTrail Lake no conlleva ningún CloudTrail cargo. Realizar consultas en Amazon Athena tiene costos. Para obtener más información acerca de los precios de Athena, consulte la Precios de Amazon Athena
Temas
Consideraciones
Debe tener en cuenta los factores siguientes al federar un almacén de datos de eventos:
-
La federación de un almacén de datos de eventos de CloudTrail Lake no conlleva ningún CloudTrail cargo. Realizar consultas en Amazon Athena tiene costos. Para obtener más información acerca de los precios de Athena, consulte la Precios de Amazon Athena
. -
Lake Formation se usa para administrar los permisos de los recursos federados. Si eliminas el rol de federación o revocas los permisos a los recursos de Lake Formation AWS Glue, no puedes ejecutar consultas desde Athena. Para obtener más información sobre el uso de Lake Formation, consulte Administrar los recursos de la federación de CloudTrail Lake con AWS Lake Formation.
-
Cualquier persona que utilice Amazon Athena para consultar datos registrados en Lake Formation debe tener una política de permisos de IAM que permita la acción
lakeformation:GetDataAccess. La política AWS gestionada: AmazonAthenaFullAccesspermite esta acción. Si utiliza políticas insertadas, asegúrese de actualizar las políticas de permisos para permitir esta acción. Para obtener más información, consulte Administración de permisos de usuario de Lake Formation y Athena. -
Para crear vistas en tablas federadas en Athena, necesita una base de datos de destino distinta de
aws:cloudtrail. Esto se debe a que laaws:cloudtrailbase de datos está gestionada por CloudTrail. -
Para crear un conjunto de datos en Amazon QuickSight, debe elegir la opción Usar SQL personalizado. Para obtener más información, consulte Creación de un conjunto de datos con los datos de Amazon Athena.
-
Si la federación está habilitada, no podrá eliminar un almacén de datos de eventos. Para eliminar un almacén de datos de eventos federado, primero debe deshabilitar la federación y la protección de terminación si está habilitada.
-
Las siguientes consideraciones se aplican a los almacenes de datos de eventos de la organización:
-
Solo una cuenta de administrador delegado o la cuenta de administración pueden habilitar la federación en el almacén de datos de eventos de una organización. Otras cuentas de administrador delegado aún pueden consultar y compartir información mediante la característica de intercambio de datos de Lake Formation.
-
Cualquier cuenta de administrador delegado o la cuenta de administración de la organización puede deshabilitar la federación.
-
Permisos necesarios para habilitar la federación
Antes de federar un almacén de datos de eventos, asegúrese de tener todos los permisos necesarios para el rol de federación y para habilitar e deshabilitar la federación. Solo necesita actualizar los permisos del rol de federación si elige un rol de IAM existente para habilitar la federación. Si decide crear un nuevo rol de IAM mediante la CloudTrail consola, CloudTrail proporciona todos los permisos necesarios para el rol.
Temas
Permisos de IAM para federar un almacén de datos de eventos
Cuando habilita la federación, tiene la opción de crear un nuevo rol de IAM o utilizar un rol de IAM existente. Al elegir una nueva función de IAM, CloudTrail crea una función de IAM con los permisos necesarios y no es necesario que realice ninguna otra acción por su parte.
Si elige un rol existente, asegúrese de que las políticas de roles de IAM proporcionen los permisos necesarios para habilitar la federación. Esta sección proporciona ejemplos de las políticas de confianza y de permisos necesarias para el rol de IAM.
En el siguiente ejemplo, se proporciona la política de permisos para el rol de federación. Para la primera instrucción, proporcione el ARN completo del almacén de datos de su evento para el Resource.
La segunda instrucción de esta política permite a Lake Formation descifrar los datos de un almacén de datos de eventos cifrados con una clave de KMS. Sustituya key-region account-id y por key-id los valores de su clave KMS. Puede omitir esta afirmación si el almacén de datos de eventos no utiliza una clave de KMS para el cifrado.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFederationEDSDataAccess", "Effect": "Allow", "Action": "cloudtrail:GetEventDataStoreData", "Resource": "arn:aws:cloudtrail:eds-region:account-id:eventdatastore/eds-id" }, { "Sid": "LakeFederationKMSDecryptAccess", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:key-region:account-id:key/key-id" } ] }
En el siguiente ejemplo, se muestra la política de confianza de IAM, que permite a AWS Lake Formation asumir un rol de IAM para administrar los permisos del almacén de datos de eventos federados.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lakeformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Permisos necesarios para habilitar la federación
En el siguiente ejemplo de política, se proporcionan los permisos mínimos necesarios para habilitar la federación en un almacén de datos de eventos. Esta política permite CloudTrail habilitar la federación en el almacén de datos del evento, AWS Glue crear los recursos federados en el catálogo de AWS Glue datos y AWS Lake Formation administrar el registro de los recursos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudTrailEnableFederation", "Effect": "Allow", "Action": "cloudtrail:EnableFederation", "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" }, { "Sid": "FederationRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole", "iam:GetRole" ], "Resource": "arn:aws:iam::region:role/federation-role-name" }, { "Sid": "GlueResourceCreation", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:CreateTable", "glue:PassConnection" ], "Resource": [ "arn:aws:glue:region:account-id:catalog", "arn:aws:glue:region:account-id:database/aws:cloudtrail", "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id", "arn:aws:glue:region:account-id:connection/aws:cloudtrail" ] }, { "Sid": "LakeFormationRegistration", "Effect": "Allow", "Action": [ "lakeformation:RegisterResource", "lakeformation:DeregisterResource" ], "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id" } ] }
Permisos necesarios para deshabilitar la federación
En el siguiente ejemplo de política, se proporcionan los recursos mínimos necesarios para deshabilitar la federación en un almacén de datos de eventos. Esta política CloudTrail permite deshabilitar la federación en el almacén de datos del evento, AWS Glue eliminar la tabla federada administrada del catálogo de AWS Glue datos y Lake Formation anular el registro del recurso federado.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudTrailDisableFederation", "Effect": "Allow", "Action": "cloudtrail:DisableFederation", "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" }, { "Sid": "GlueTableDeletion", "Effect": "Allow", "Action": "glue:DeleteTable", "Resource": [ "arn:aws:glue:region:account-id:catalog", "arn:aws:glue:region:account-id:database/aws:cloudtrail", "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id" ] }, { "Sid": "LakeFormationDeregistration", "Effect": "Allow", "Action": "lakeformation:DeregisterResource", "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id" } ] }
