Fédérer un magasin de données d’événement - AWS CloudTrail
ConsidérationsAutorisations nécessaires pour la fédération

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fédérer un magasin de données d’événement

La fédération d'une banque de données d'événements vous permet de visualiser les métadonnées associées à la banque de données d'événements dans AWS Glue Catalogue de données, enregistre le catalogue de données avec AWS Lake Formation, et vous permet d'exécuter des SQL requêtes sur les données de vos événements à l'aide d'Amazon Athena. Les métadonnées de table stockées dans le AWS Glue Le catalogue de données permet au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger.

Vous pouvez activer la fédération à l'aide de la CloudTrail console, AWS CLI, ou EnableFederationAPIopération. Lorsque vous activez la fédération de requêtes Lake, vous CloudTrail créez une base de données gérée nommée aws:cloudtrail (si la base de données n'existe pas déjà) et une table fédérée gérée dans le AWS Glue Catalogue de données. L'ID du magasin de données d'événements est utilisé pour le nom de la table. CloudTrail enregistre le rôle de fédération ARN et le stockage des données d'événement dans AWS Lake Formation, le service chargé de permettre un contrôle d'accès précis aux ressources fédérées dans AWS Glue Catalogue de données.

Pour activer la fédération de requêtes Lake, vous devez créer un nouveau IAM rôle ou choisir un rôle existant. Lake Formation utilise ce rôle pour gérer les autorisations pour le magasin de données d’événement fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, les autorisations requises sont CloudTrail automatiquement créées pour le rôle. Si vous choisissez un rôle existant, assurez-vous qu’il fournit les autorisations minimales.

Vous pouvez désactiver la fédération à l'aide de la CloudTrail console, AWS CLI, ou DisableFederationAPIopération. Lorsque vous désactivez la fédération, CloudTrail désactive l'intégration avec AWS Glue, AWS Lake Formation, et Amazon Athena. Après avoir désactivé la fédération de requêtes Lake, vous ne pouvez plus interroger les données de vos événements dans Athena. Aucune donnée de CloudTrail Lake n'est supprimée lorsque vous désactivez la fédération et vous pouvez continuer à exécuter des requêtes dans CloudTrail Lake.

La fédération d' CloudTrail un magasin de données d'événements CloudTrail Lake est gratuite. L’exécution de requêtes dans Amazon Athena entraîne des frais. Pour en savoir plus sur la tarification, consultez la Tarification d’Amazon Athena.

Rubriques

Considérations

Tenez compte des facteurs suivants lors de la fédération d’un magasin de données d’événement :

  • La fédération d' CloudTrail un magasin de données d'événements CloudTrail Lake est gratuite. L’exécution de requêtes dans Amazon Athena entraîne des frais. Pour en savoir plus sur la tarification, consultez la Tarification d’Amazon Athena.

  • Lake Formation est utilisée pour gérer les autorisations pour les ressources fédérées. Si vous supprimez le rôle de fédération, ou si vous révoquez les autorisations d'accès aux ressources de Lake Formation ou AWS Glue, vous ne pouvez pas exécuter de requêtes depuis Athéna. Pour plus d’informations sur l’utilisation de Lake Formation, veuillez consulter la page Gérer les ressources de la fédération des CloudTrail lacs avec AWS Lake Formation.

  • Toute personne utilisant Amazon Athena pour interroger des données enregistrées auprès de Lake Formation doit disposer d'une politique d'IAMautorisation autorisant cette action. lakeformation:GetDataAccess Le AWS politique gérée : AmazonAthenaFullAccessautorise cette action. Si vous utilisez des politiques en ligne, veillez à mettre à jour les politiques d’autorisations afin d’autoriser cette action. Pour plus d’informations, consultez la page Gestion des autorisations de Lake Formation et des utilisateurs d’Athena.

  • Pour créer des vues sur des tables fédérées dans Athena, vous avez besoin d’une base de données de destination autre que aws:cloudtrail. Cela est dû au fait que la aws:cloudtrail base de données est gérée par CloudTrail.

  • Pour créer un ensemble de données dans Amazon QuickSight, vous devez choisir l'SQLoption Utiliser un ensemble de données personnalisé. Pour plus d’informations, consultez Créer un jeu de données à l’aide des données Amazon Athena.

  • Si la fédération est activée, vous ne pouvez pas supprimer un magasin de données d’événement. Pour supprimer un magasin de données d’événement fédéré, vous devez d’abord désactiver la fédération et la protection contre la résiliation si elle est activée.

  • Les considérations suivantes s’appliquent aux magasins de données d’événement de l’organisation :

    • Un seul compte administrateur délégué ou le compte de gestion peut activer la fédération sur le magasin de données d’événement d’une organisation. Les autres comptes administrateur délégué peuvent toujours interroger et partager des informations à l’aide de la fonctionnalité de partage de données de Lake Formation.

    • Tout compte administrateur délégué ou le compte de gestion de l’organisation peut désactiver la fédération.

Autorisations nécessaires pour la fédération

Avant de fédérer un magasin de données d’événement, assurez-vous de disposer de toutes les autorisations requises pour le rôle de fédération et pour activer et désactiver la fédération. Vous devez uniquement mettre à jour les autorisations du rôle de fédération si vous choisissez un IAM rôle existant pour activer la fédération. Si vous choisissez de créer un nouveau IAM rôle à l'aide de la CloudTrail console, CloudTrail fournit toutes les autorisations nécessaires pour le rôle.

IAMautorisations pour fédérer une banque de données d'événements

Lorsque vous activez la fédération, vous avez la possibilité de créer un nouveau IAM rôle ou d'utiliser un IAM rôle existant. Lorsque vous choisissez un nouveau IAM rôle, vous CloudTrail créez un IAM rôle avec les autorisations requises et aucune autre action n'est requise de votre part.

Si vous choisissez un rôle existant, assurez-vous que les politiques du IAM rôle fournissent les autorisations requises pour activer la fédération. Cette section fournit des exemples des politiques d'autorisation et de confiance requises pour les IAM rôles.

L’exemple suivant fournit la politique d’autorisation pour le rôle de fédération. Pour le premier relevé, fournissez l'intégralité ARN de votre banque de données événementielle pour leResource.

La deuxième déclaration de cette politique permet à Lake Formation de déchiffrer les données d'un magasin de données d'événements crypté à l'aide d'une KMS clé. Remplacez key-region, account-id, et key-id avec les valeurs de votre KMS clé. Vous pouvez omettre cette déclaration si votre banque de données d'événements n'utilise pas de KMS clé pour le chiffrement.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LakeFederationEDSDataAccess",
            "Effect": "Allow",
            "Action": "cloudtrail:GetEventDataStoreData",
            "Resource": "arn:aws:cloudtrail:eds-region:account-id:eventdatastore/eds-id"
        },
        {
          "Sid": "LakeFederationKMSDecryptAccess",
          "Effect": "Allow",
          "Action": [
              "kms:Decrypt",
              "kms:GenerateDataKey"
          ],
          "Resource": "arn:aws:kms:key-region:account-id:key/key-id"
      }
    ]
}

L'exemple suivant fournit la politique de IAM confiance, qui permet AWS Lake Formation pour assumer un IAM rôle dans la gestion des autorisations pour le magasin de données d'événements fédéré. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lakeformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Autorisations requises pour activer la fédération

L’exemple de politique suivant fournit les autorisations minimales requises pour activer la fédération sur un magasin de données d’événement. Cette politique permet d' CloudTrail activer la fédération sur le magasin de données d'événements, AWS Glue pour créer les ressources fédérées dans AWS Glue Catalogue de données, et AWS Lake Formation pour gérer l'enregistrement des ressources.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudTrailEnableFederation",
            "Effect": "Allow",
            "Action": "cloudtrail:EnableFederation",
            "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id"
        },
        {
            "Sid": "FederationRoleAccess",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole",
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::region:role/federation-role-name"
        },
        {
            "Sid": "GlueResourceCreation",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:CreateTable",
                "glue:PassConnection"
            ],
            "Resource": [
                "arn:aws:glue:region:account-id:catalog",
                "arn:aws:glue:region:account-id:database/aws:cloudtrail",
                "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id",
                "arn:aws:glue:region:account-id:connection/aws:cloudtrail"
            ]
        },
        {
            "Sid": "LakeFormationRegistration",
            "Effect": "Allow",
            "Action": [
                "lakeformation:RegisterResource",
                "lakeformation:DeregisterResource"
            ],
            "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id"
        }
    ]
}

Autorisations nécessaires pour désactiver la fédération

L’exemple de politique suivant fournit les ressources minimales requises pour désactiver la fédération dans un magasin de données d’événement. Cette politique permet CloudTrail de désactiver la fédération sur le magasin de données d'événements, AWS Glue pour supprimer la table fédérée gérée dans AWS Glue Catalogue de données et Lake Formation pour annuler l'enregistrement de la ressource fédérée.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudTrailDisableFederation",
            "Effect": "Allow",
            "Action": "cloudtrail:DisableFederation",
            "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id"
        },
        {
            "Sid": "GlueTableDeletion",
            "Effect": "Allow",
            "Action": "glue:DeleteTable",
            "Resource": [
                "arn:aws:glue:region:account-id:catalog",
                "arn:aws:glue:region:account-id:database/aws:cloudtrail",
                "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id"
            ]
        },
        {
            "Sid": "LakeFormationDeregistration",
            "Effect": "Allow",
            "Action": "lakeformation:DeregisterResource",
            "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id"
        }
    ]
}