Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Federar un almacén de datos de eventos
La federación de un almacén de datos de eventos le permite ver los metadatos asociados al almacén de datos de eventos en el catálogo de AWS Glue datos, registrar el catálogo de datos en AWS Lake Formationél y ejecutar SQL consultas sobre los datos de sus eventos mediante Amazon Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar.
Puede habilitar la federación mediante la CloudTrail consola AWS CLI, o EnableFederationAPIoperación. Al habilitar la federación de consultas de Lake, CloudTrail crea una base de datos administrada denominada aws:cloudtrail (si la base de datos aún no existe) y una tabla federada administrada en el catálogo de AWS Glue datos. El ID del banco de datos de eventos se usa para el nombre de la tabla. CloudTrail registra el rol de federación ARN y el almacén de datos de eventos AWS Lake Formation, el servicio responsable de permitir un control de acceso detallado a los recursos federados del catálogo de datos. AWS Glue
Para habilitar la federación de consultas de Lake, debe crear un IAM rol nuevo o elegir uno existente. Lake Formation usa este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente los permisos necesarios para el rol. Si elige un rol existente, asegúrese de que el rol proporcione los permisos mínimos.
Puede deshabilitar la federación mediante la CloudTrail consola AWS CLI, o DisableFederationAPIoperación. Al deshabilitar la federación, CloudTrail deshabilita la integración con AWS Glue AWS Lake Formation, y Amazon Athena. Tras deshabilitar la federación de consultas de Lake, ya no podrá consultar los datos de sus eventos en Athena. Al deshabilitar la federación, no se elimina ningún dato de CloudTrail Lake y puede seguir realizando consultas en CloudTrail Lake.
La federación de un almacén de datos de eventos de CloudTrail Lake no conlleva ningún CloudTrail cargo. Realizar consultas en Amazon Athena tiene costos. Para obtener más información acerca de los precios de Athena, consulte la Precios de Amazon Athena
Temas
Consideraciones
Debe tener en cuenta los factores siguientes al federar un almacén de datos de eventos:
-
La federación de un almacén de datos de eventos de CloudTrail Lake no conlleva ningún CloudTrail cargo. Realizar consultas en Amazon Athena tiene costos. Para obtener más información acerca de los precios de Athena, consulte la Precios de Amazon Athena
. -
Lake Formation se usa para administrar los permisos de los recursos federados. Si eliminas el rol de federación o revocas los permisos a los recursos de Lake Formation AWS Glue, no puedes ejecutar consultas desde Athena. Para obtener más información sobre el uso de Lake Formation, consulte Administrar los recursos de la federación de CloudTrail Lake con AWS Lake Formation.
-
Cualquier persona que utilice Amazon Athena para consultar datos registrados en Lake Formation debe tener una política de IAM permisos que permita realizar esta acción.
lakeformation:GetDataAccessLa política AWS gestionada: AmazonAthenaFullAccesspermite esta acción. Si utiliza políticas insertadas, asegúrese de actualizar las políticas de permisos para permitir esta acción. Para obtener más información, consulte Administración de permisos de usuario de Lake Formation y Athena. -
Para crear vistas en tablas federadas en Athena, necesita una base de datos de destino distinta de
aws:cloudtrail. Esto se debe a que laaws:cloudtrailbase de datos está gestionada por CloudTrail. -
Para crear un conjunto de datos en Amazon QuickSight, debes elegir la SQL opción Usar personalizado. Para obtener más información, consulte Creación de un conjunto de datos con los datos de Amazon Athena.
-
Si la federación está habilitada, no podrá eliminar un almacén de datos de eventos. Para eliminar un almacén de datos de eventos federado, primero debe deshabilitar la federación y la protección de terminación si está habilitada.
-
Las siguientes consideraciones se aplican a los almacenes de datos de eventos de la organización:
-
Solo una cuenta de administrador delegado o la cuenta de administración pueden habilitar la federación en el almacén de datos de eventos de una organización. Otras cuentas de administrador delegado aún pueden consultar y compartir información mediante la característica de intercambio de datos de Lake Formation.
-
Cualquier cuenta de administrador delegado o la cuenta de administración de la organización puede deshabilitar la federación.
-
Permisos necesarios para habilitar la federación
Antes de federar un almacén de datos de eventos, asegúrese de tener todos los permisos necesarios para el rol de federación y para habilitar e deshabilitar la federación. Solo necesita actualizar los permisos del rol de federación si elige un IAM rol existente para habilitar la federación. Si decide crear un nuevo IAM rol mediante la CloudTrail consola, CloudTrail proporciona todos los permisos necesarios para el rol.
Temas
IAMpermisos para federar un almacén de datos de eventos
Al habilitar la federación, tiene la opción de crear un IAM rol nuevo o usar uno existenteIAM. Al elegir un nuevo IAM rol, CloudTrail crea uno con los permisos necesarios y no es necesario que realice ninguna otra acción por su parte. IAM
Si eliges un rol existente, asegúrate de que las políticas del IAM rol proporcionen los permisos necesarios para habilitar la federación. En esta sección se proporcionan ejemplos de las políticas de permisos y confianza de los IAM roles necesarios.
En el siguiente ejemplo, se proporciona la política de permisos para el rol de federación. Para la primera declaración, proporcione todo el almacén ARN de datos de su evento para elResource.
La segunda declaración de esta política permite a Lake Formation descifrar los datos de un almacén de datos de eventos cifrados con una KMS clave. Reemplazar key-region, account-id, y key-id con los valores de su KMS clave. Puede omitir esta afirmación si el almacén de datos de su evento no utiliza una KMS clave para el cifrado.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFederationEDSDataAccess", "Effect": "Allow", "Action": "cloudtrail:GetEventDataStoreData", "Resource": "arn:aws:cloudtrail:eds-region:account-id:eventdatastore/eds-id" }, { "Sid": "LakeFederationKMSDecryptAccess", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:key-region:account-id:key/key-id" } ] }
El siguiente ejemplo proporciona la política de IAM confianza, que permite asumir una IAM función AWS Lake Formation para administrar los permisos del almacén de datos de eventos federado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lakeformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Permisos necesarios para habilitar la federación
En el siguiente ejemplo de política, se proporcionan los permisos mínimos necesarios para habilitar la federación en un almacén de datos de eventos. Esta política permite CloudTrail habilitar la federación en el almacén de datos del evento, AWS Glue crear los recursos federados en el catálogo de AWS Glue datos y administrar el registro de AWS Lake Formation los recursos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudTrailEnableFederation", "Effect": "Allow", "Action": "cloudtrail:EnableFederation", "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" }, { "Sid": "FederationRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole", "iam:GetRole" ], "Resource": "arn:aws:iam::region:role/federation-role-name" }, { "Sid": "GlueResourceCreation", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:CreateTable", "glue:PassConnection" ], "Resource": [ "arn:aws:glue:region:account-id:catalog", "arn:aws:glue:region:account-id:database/aws:cloudtrail", "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id", "arn:aws:glue:region:account-id:connection/aws:cloudtrail" ] }, { "Sid": "LakeFormationRegistration", "Effect": "Allow", "Action": [ "lakeformation:RegisterResource", "lakeformation:DeregisterResource" ], "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id" } ] }
Permisos necesarios para deshabilitar la federación
En el siguiente ejemplo de política, se proporcionan los recursos mínimos necesarios para deshabilitar la federación en un almacén de datos de eventos. Esta política CloudTrail permite deshabilitar la federación en el almacén de datos del evento, AWS Glue eliminar la tabla federada administrada del catálogo de AWS Glue datos y Lake Formation anular el registro del recurso federado.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudTrailDisableFederation", "Effect": "Allow", "Action": "cloudtrail:DisableFederation", "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" }, { "Sid": "GlueTableDeletion", "Effect": "Allow", "Action": "glue:DeleteTable", "Resource": [ "arn:aws:glue:region:account-id:catalog", "arn:aws:glue:region:account-id:database/aws:cloudtrail", "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id" ] }, { "Sid": "LakeFormationDeregistration", "Effect": "Allow", "Action": "lakeformation:DeregisterResource", "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id" } ] }
