Contrôle de l’accès aux ressources fédérées Déterminer la méthode d’autorisation pour une ressource fédérée Partage entre comptes à l’aide de Lake Formation

Gérer les ressources de la fédération des CloudTrail lacs avec AWS Lake Formation

Lorsque vous fédérez un magasin de données d'événements, CloudTrail enregistre le rôle de fédération ARN et le magasin de données d'événements dans AWS Lake Formation, le service chargé de permettre un contrôle d'accès précis aux ressources fédérées dans AWS Glue Catalogue de données. Cette section décrit comment vous pouvez utiliser Lake Formation pour gérer les ressources de la fédération des CloudTrail lacs.

Lorsque vous activez la fédération, CloudTrail crée les ressources suivantes dans AWS Glue Catalogue de données.

Base de données gérée : CloudTrail crée une base de données avec le nom aws:cloudtrail de chaque compte. CloudTrail gère la base de données. Vous ne pouvez pas supprimer ou modifier la base de données dans AWS Glue.
Table fédérée gérée : CloudTrail crée une table pour chaque banque de données d'événements fédérée et utilise l'ID de la banque de données d'événements pour le nom de la table. CloudTrail gère les tables. Vous ne pouvez pas supprimer ou modifier les tables dans AWS Glue. Pour supprimer une table, vous devez désactiver la fédération dans le magasin de données d'événements.

Contrôle de l’accès aux ressources fédérées

Vous pouvez utiliser l’une des deux méthodes d’autorisation pour contrôler l’accès à la base de données et aux tables gérées.

IAMcontrôle d'accès uniquement : avec le contrôle d'accès IAM uniquement, tous les utilisateurs du compte disposant des IAM autorisations requises ont accès à toutes les ressources du catalogue de données. Pour plus d'informations sur la façon dont AWS Glue fonctionne avecIAM, voir Comment AWS Glue fonctionne avec IAM.

Sur la console Lake Formation, cette méthode apparaît sous la forme Utiliser uniquement le contrôle IAM d'accès.

Note
Si vous souhaitez créer des filtres de données et utiliser d’autres fonctionnalités de Lake Formation, vous devez utiliser le contrôle d’accès de Lake Formation.
Contrôle d’accès à Lake Formation : cette méthode offre les avantages suivants.
- Vous pouvez implémenter la sécurité au niveau des colonnes, des lignes et des cellules en créant des filtres de données. Pour plus d'informations, consultez la section Sécurisation des lacs de données avec un contrôle d'accès au niveau des lignes dans AWS Lake Formation Guide du développeur.
- La base de données et les tables ne sont visibles que par les administrateurs de Lake Formation et les créateurs de la base de données et des ressources. Si un autre utilisateur a besoin d’accéder à ces ressources, vous devez explicitement accorder l’accès en utilisant les autorisations de Lake Formation.

Pour plus d’informations sur le contrôle d’accès, consultez la page Méthodes de contrôle d’accès précis.

Déterminer la méthode d’autorisation pour une ressource fédérée

Lorsque vous activez la fédération pour la première fois, CloudTrail crée une base de données gérée et une table fédérée gérée en utilisant les paramètres de votre lac de données de Lake Formation.

Après avoir CloudTrail activé la fédération, vous pouvez vérifier la méthode d'autorisation que vous utilisez pour la base de données gérée et la table fédérée gérée en vérifiant les autorisations pour ces ressources. Si le IAM_ALLOWED_PRINCIPALS paramètre ALL (Super) to est présent pour la ressource, celle-ci est gérée exclusivement par IAM des autorisations. Si le paramètre est absent, la ressource est gérée par les autorisations de Lake Formation. Pour plus d’informations sur les autorisations Lake Formation, consultez la page Référence des autorisations Lake Formation.

La méthode d’autorisation pour la base de données gérée et la table fédérée gérée peuvent être différentes. Par exemple, si vous vérifiez les valeurs de la base de données et de la table, vous pouvez voir ce qui suit :

Pour la base de données, la valeur attribuée à ALL (Super) IAM_ALLOWED_PRINCIPALS est présente dans les autorisations, ce qui indique que vous utilisez IAM uniquement le contrôle d'accès pour la base de données.
Pour la table, la valeur qui attribue ALL (Super) à IAM_ALLOWED_PRINCIPALS n’est pas présente, ce qui indique un contrôle d’accès par les permissions de Lake Formation.

Vous pouvez passer d’une méthode d’accès à l’autre à tout moment en ajoutant ou en supprimant l’autorisation ALL (Super) définie sur IAM_ALLOWED_PRINCIPALS sur n’importe quelle ressource fédérée de Lake Formation.

Partage entre comptes à l’aide de Lake Formation

Cette section décrit comment partager une base de données gérée et une table fédérée gérée entre des comptes à l’aide de Lake Formation.

Vous pouvez partager une base de données gérée entre plusieurs comptes en procédant comme suit :

Mettez à jour la version de partage de données entre comptes vers la version 4.
Supprimez les autorisations Super définies sur IAM_ALLOWED_PRINCIPALS de la base de données si elles sont présentes pour passer au contrôle d’accès à Lake Formation.
Accordez des autorisations Describe au compte externe sur la base de données.
Si une ressource de catalogue de données est partagée avec votre Compte AWS et votre compte n'est pas le même AWS organisation en tant que compte de partage, acceptez l'invitation de partage de ressources de AWS Resource Access Manager (AWS RAM). Pour plus d'informations, voir Accepter une invitation de partage de ressources de AWS RAM.

Une fois ces étapes terminées, la base de données devrait être visible par le compte externe. Par défaut, le partage de la base de données ne donne accès à aucune table de la base de données.

Vous pouvez partager toutes les tables fédérées gérées ou certaines d’entre elles avec un compte externe en procédant comme suit :

Mettez à jour la version de partage de données entre comptes vers la version 4.
Supprimez les autorisations Super définies sur IAM_ALLOWED_PRINCIPALS de la table si elles sont présentes pour passer au contrôle d’accès à Lake Formation.
(Facultatif) Spécifiez les filtres de données pour restreindre les colonnes ou les lignes.
Accordez des autorisations Select au compte externe sur la table.
Si une ressource de catalogue de données est partagée avec votre Compte AWS et votre compte n'est pas le même AWS organisation en tant que compte de partage, acceptez l'invitation de partage de ressources de AWS Resource Access Manager (AWS RAM). Pour une organisation, vous pouvez accepter automatiquement à l'aide des RAM paramètres. Pour plus d'informations, voir Accepter une invitation de partage de ressources de AWS RAM.
La table devrait maintenant être visible. Pour activer les requêtes Amazon Athena sur cette table, créez un lien de ressource dans ce compte avec la table partagée.

Le compte propriétaire peut révoquer le partage à tout moment en supprimant les autorisations pour le compte externe de Lake Formation ou en désactivant la fédération dans. CloudTrail

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Désactiver la fédération de requêtes Lake

Magasins de données d’événement d’organisation

Gérer les ressources de la fédération des CloudTrail lacs avec AWS Lake Formation

Contrôle de l’accès aux ressources fédérées

Note

Déterminer la méthode d’autorisation pour une ressource fédérée

Partage entre comptes à l’aide de Lake Formation