Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Mengelola sumber daya federasi CloudTrail Danau dengan AWS Lake Formation

PDF
RSS
Mode fokus
Mengelola sumber daya federasi CloudTrail Danau dengan AWS Lake Formation - AWS CloudTrail
Mengontrol akses ke sumber daya federasiMenentukan metode izin untuk sumber daya federasiBerbagi lintas akun menggunakan Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Saat Anda menggabungkan penyimpanan data acara, CloudTrail mendaftarkan peran federasi ARN dan penyimpanan data acara AWS Lake Formation, layanan yang bertanggung jawab untuk mengizinkan kontrol akses berbutir halus dari sumber daya federasi dalam Katalog Data. AWS Glue Bagian ini menjelaskan bagaimana Anda dapat menggunakan Lake Formation untuk mengelola sumber daya federasi CloudTrail Danau.

Saat Anda mengaktifkan federasi, CloudTrail buat sumber daya berikut di Katalog AWS Glue Data.

  • Database terkelola - CloudTrail membuat 1 database dengan nama aws:cloudtrail per akun. CloudTrail mengelola database. Anda tidak dapat menghapus atau memodifikasi database di AWS Glue.

  • Tabel federasi terkelola - CloudTrail membuat 1 tabel untuk setiap penyimpanan data acara federasi dan menggunakan ID penyimpanan data peristiwa untuk nama tabel. CloudTrail mengelola tabel. Anda tidak dapat menghapus atau memodifikasi tabel di AWS Glue. Untuk menghapus tabel, Anda harus menonaktifkan federasi pada penyimpanan data acara.

Mengontrol akses ke sumber daya federasi

Anda dapat menggunakan salah satu dari dua metode izin untuk mengontrol akses ke database dan tabel terkelola.

Untuk informasi selengkapnya tentang kontrol akses, lihat Metode untuk kontrol akses berbutir halus.

Menentukan metode izin untuk sumber daya federasi

Saat Anda mengaktifkan federasi untuk pertama kalinya, CloudTrail buat database terkelola dan tabel federasi terkelola menggunakan pengaturan danau data Lake Formation Anda.

Setelah CloudTrail mengaktifkan federasi, Anda dapat memverifikasi metode izin yang Anda gunakan untuk database terkelola dan tabel federasi terkelola dengan memeriksa izin untuk sumber daya tersebut. Jika ALL (Super) ke IAM_ALLOWED_PRINCIPALS pengaturan hadir untuk sumber daya, sumber daya dikelola secara eksklusif oleh izin IAM. Jika pengaturan tidak ada, sumber daya dikelola oleh izin Lake Formation. Untuk informasi selengkapnya tentang izin Lake Formation, lihat referensi izin Lake Formation.

Metode izin untuk database terkelola dan tabel federasi terkelola dapat berbeda. Misalnya, jika Anda memeriksa nilai untuk database dan tabel, Anda bisa melihat yang berikut:

  • Untuk database, nilai yang menetapkan ALL (Super) IAM_ALLOWED_PRINCIPALS hadir dalam izin yang menunjukkan bahwa Anda menggunakan kontrol akses IAM hanya untuk database.

  • Untuk tabel, nilai yang menetapkan ALL (Super) untuk IAM_ALLOWED_PRINCIPALS tidak hadir, yang menunjukkan kontrol akses oleh izin Lake Formation.

Anda dapat beralih di antara metode akses kapan saja dengan menambahkan atau menghapus ALL (Super) ke IAM_ALLOWED_PRINCIPALS izin pada sumber daya federasi apa pun di Lake Formation.

Berbagi lintas akun menggunakan Lake Formation

Bagian ini menjelaskan cara membagikan database terkelola dan tabel federasi terkelola di seluruh akun dengan menggunakan Lake Formation.

Anda dapat membagikan database terkelola di seluruh akun dengan mengambil langkah-langkah berikut:

  1. Perbarui versi berbagi data lintas akun ke versi 4.

  2. Hapus Super ke IAM_ALLOWED_PRINCIPALS izin dari database jika ada untuk beralih ke kontrol akses Lake Formation.

  3. Berikan Describe izin ke akun eksternal pada database.

  4. Jika sumber daya Katalog Data dibagikan dengan Anda Akun AWS dan akun Anda tidak berada di AWS organisasi yang sama dengan akun berbagi, terima undangan berbagi sumber daya dari AWS Resource Access Manager (AWS RAM). Untuk informasi selengkapnya, lihat Menerima undangan berbagi sumber daya dari AWS RAM.

Setelah menyelesaikan langkah-langkah ini, database harus terlihat oleh akun eksternal. Secara default, berbagi database tidak memberikan akses ke tabel apa pun dalam database.

Anda dapat berbagi semua atau individu tabel federasi terkelola dengan akun eksternal dengan mengambil langkah-langkah berikut:

  1. Perbarui versi berbagi data lintas akun ke versi 4.

  2. Hapus Super ke IAM_ALLOWED_PRINCIPALS izin dari tabel jika ada untuk beralih ke kontrol akses Lake Formation.

  3. (Opsional) Tentukan filter data apa pun untuk membatasi kolom atau baris.

  4. Berikan Select izin ke akun eksternal di atas meja.

  5. Jika sumber daya Katalog Data dibagikan dengan Anda Akun AWS dan akun Anda tidak berada di AWS organisasi yang sama dengan akun berbagi, terima undangan berbagi sumber daya dari AWS Resource Access Manager (AWS RAM). Untuk organisasi, Anda dapat menerima secara otomatis menggunakan pengaturan RAM. Untuk informasi selengkapnya, lihat Menerima undangan berbagi sumber daya dari AWS RAM.

  6. Tabel sekarang harus terlihat. Untuk mengaktifkan kueri Amazon Athena pada tabel ini, buat tautan sumber daya di akun ini dengan tabel bersama.

Akun pemilik dapat mencabut berbagi kapan saja dengan menghapus izin untuk akun eksternal dari Lake Formation, atau dengan menonaktifkan federasi di. CloudTrail

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.