Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Federasi toko data acara

PDF
RSS
Mode fokus
Federasi toko data acara - AWS CloudTrail
PertimbanganIzin yang diperlukan untuk federasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggabungkan penyimpanan data peristiwa memungkinkan Anda melihat metadata yang terkait dengan penyimpanan data peristiwa di Katalog Data, mendaftarkan Katalog AWS Glue Data dengan AWS Lake Formation, dan memungkinkan Anda menjalankan kueri SQL terhadap data peristiwa Anda menggunakan Amazon Athena. Metadata tabel yang disimpan dalam Katalog AWS Glue Data memungkinkan mesin kueri Athena mengetahui cara menemukan, membaca, dan memproses data yang ingin Anda kueri.

Anda dapat mengaktifkan federasi dengan menggunakan CloudTrail konsol, AWS CLI, atau EnableFederationOperasi API. Saat Anda mengaktifkan federasi kueri Lake, CloudTrail buat database terkelola bernama aws:cloudtrail (jika database belum ada) dan tabel federasi terkelola dalam Katalog AWS Glue Data. ID penyimpanan data acara digunakan untuk nama tabel. CloudTrail mendaftarkan peran federasi ARN dan penyimpanan data acara AWS Lake Formationdi, layanan yang bertanggung jawab untuk memungkinkan kontrol akses berbutir halus dari sumber daya federasi dalam Katalog Data. AWS Glue

Untuk mengaktifkan federasi kueri Danau, Anda harus membuat peran IAM baru atau memilih peran yang ada. Lake Formation menggunakan peran ini untuk mengelola izin untuk penyimpanan data acara federasi. Saat Anda membuat peran baru menggunakan CloudTrail konsol, CloudTrail secara otomatis membuat izin yang diperlukan untuk peran tersebut. Jika Anda memilih peran yang ada, pastikan peran tersebut memberikan izin minimum.

Anda dapat menonaktifkan federasi dengan menggunakan CloudTrail konsol, AWS CLI, atau DisableFederationOperasi API. Saat Anda menonaktifkan federasi, CloudTrail menonaktifkan integrasi dengan AWS Glue, AWS Lake Formation, dan Amazon Athena. Setelah menonaktifkan federasi kueri Danau, Anda tidak dapat lagi menanyakan data acara Anda di Athena. Tidak ada data CloudTrail Lake yang dihapus saat Anda menonaktifkan federasi dan Anda dapat terus menjalankan kueri di CloudTrail Lake.

Tidak ada CloudTrail biaya untuk federasi penyimpanan data acara CloudTrail Lake. Ada biaya untuk menjalankan kueri di Amazon Athena. Untuk informasi selengkapnya tentang harga Athena, lihat Harga Amazon Athena.

Topik

Pertimbangan

Pertimbangkan faktor-faktor berikut saat menggabungkan penyimpanan data acara:

  • Tidak ada CloudTrail biaya untuk federasi penyimpanan data acara CloudTrail Lake. Ada biaya untuk menjalankan kueri di Amazon Athena. Untuk informasi selengkapnya tentang harga Athena, lihat Harga Amazon Athena.

  • Lake Formation digunakan untuk mengelola izin untuk sumber daya federasi. Jika Anda menghapus peran federasi, atau mencabut izin ke sumber daya dari Lake Formation atau AWS Glue, Anda tidak dapat menjalankan kueri dari Athena. Untuk informasi lebih lanjut tentang bekerja dengan Lake Formation, lihatMengelola sumber daya federasi CloudTrail Danau dengan AWS Lake Formation.

  • Siapa pun yang menggunakan Amazon Athena untuk menanyakan data yang terdaftar di Lake Formation harus memiliki kebijakan izin IAM yang memungkinkan tindakan tersebut. lakeformation:GetDataAccess Kebijakan AWS terkelola: AmazonAthenaFullAccessmemungkinkan tindakan ini. Jika Anda menggunakan kebijakan inline, pastikan untuk memperbarui kebijakan izin untuk mengizinkan tindakan ini. Untuk informasi selengkapnya, lihat Mengelola Formasi Danau dan izin pengguna Athena.

  • Untuk membuat tampilan pada tabel federasi di Athena, Anda memerlukan database tujuan selain. aws:cloudtrail Ini karena aws:cloudtrail database dikelola oleh CloudTrail.

  • Untuk membuat kumpulan data di Amazon QuickSight, Anda harus memilih opsi Use custom SQL. Untuk informasi selengkapnya, lihat Membuat kumpulan data menggunakan data Amazon Athena.

  • Jika federasi diaktifkan, Anda tidak dapat menghapus penyimpanan data acara. Untuk menghapus penyimpanan data acara federasi, Anda harus terlebih dahulu menonaktifkan federasi dan perlindungan penghentian jika diaktifkan.

  • Pertimbangan berikut berlaku untuk penyimpanan data acara organisasi:

    • Hanya satu akun administrator yang didelegasikan atau akun manajemen yang dapat mengaktifkan federasi pada penyimpanan data acara organisasi. Akun administrator lain yang didelegasikan masih dapat menanyakan dan berbagi informasi menggunakan fitur berbagi data Lake Formation.

    • Setiap akun administrator yang didelegasikan atau akun manajemen organisasi dapat menonaktifkan federasi.

Izin yang diperlukan untuk federasi

Sebelum membuat federasi penyimpanan data acara, pastikan Anda memiliki semua izin yang diperlukan untuk peran federasi dan untuk mengaktifkan dan menonaktifkan federasi. Anda hanya perlu memperbarui izin peran federasi jika Anda memilih peran IAM yang ada untuk mengaktifkan federasi. Jika Anda memilih untuk membuat peran IAM baru menggunakan CloudTrail konsol, CloudTrail berikan semua izin yang diperlukan untuk peran tersebut.

Izin IAM untuk federasi penyimpanan data acara

Saat Anda mengaktifkan federasi, Anda memiliki opsi untuk membuat peran IAM baru, atau menggunakan peran IAM yang ada. Saat Anda memilih peran IAM baru, CloudTrail buat peran IAM dengan izin yang diperlukan dan tidak ada tindakan lebih lanjut yang diperlukan di pihak Anda.

Jika Anda memilih peran yang ada, pastikan kebijakan peran IAM memberikan izin yang diperlukan untuk mengaktifkan federasi. Bagian ini memberikan contoh izin peran IAM dan kebijakan kepercayaan yang diperlukan.

Contoh berikut memberikan kebijakan izin untuk peran federasi. Untuk pernyataan pertama berikan ARN lengkap dari penyimpanan data acara Anda untuk. Resource

Pernyataan kedua dalam kebijakan ini memungkinkan Lake Formation untuk mendekripsi data untuk penyimpanan data peristiwa yang dienkripsi dengan kunci KMS. Ganti key-regionaccount-id,, dan key-id dengan nilai untuk kunci KMS Anda. Anda dapat menghilangkan pernyataan ini jika penyimpanan data acara Anda tidak menggunakan kunci KMS untuk enkripsi.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LakeFederationEDSDataAccess",
            "Effect": "Allow",
            "Action": "cloudtrail:GetEventDataStoreData",
            "Resource": "arn:aws:cloudtrail:eds-region:account-id:eventdatastore/eds-id"
        },
        {
          "Sid": "LakeFederationKMSDecryptAccess",
          "Effect": "Allow",
          "Action": [
              "kms:Decrypt",
              "kms:GenerateDataKey"
          ],
          "Resource": "arn:aws:kms:key-region:account-id:key/key-id"
      }
    ]
}

Contoh berikut memberikan kebijakan kepercayaan IAM, yang memungkinkan AWS Lake Formation untuk mengambil peran IAM untuk mengelola izin untuk penyimpanan data acara federasi. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lakeformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Izin yang diperlukan untuk mengaktifkan federasi

Kebijakan contoh berikut memberikan izin minimum yang diperlukan untuk mengaktifkan federasi pada penyimpanan data acara. Kebijakan ini memungkinkan CloudTrail untuk mengaktifkan federasi pada penyimpanan data acara, AWS Glue untuk membuat sumber daya federasi dalam Katalog AWS Glue Data, dan AWS Lake Formation mengelola pendaftaran sumber daya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudTrailEnableFederation",
            "Effect": "Allow",
            "Action": "cloudtrail:EnableFederation",
            "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id"
        },
        {
            "Sid": "FederationRoleAccess",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole",
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::region:role/federation-role-name"
        },
        {
            "Sid": "GlueResourceCreation",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:CreateTable",
                "glue:PassConnection"
            ],
            "Resource": [
                "arn:aws:glue:region:account-id:catalog",
                "arn:aws:glue:region:account-id:database/aws:cloudtrail",
                "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id",
                "arn:aws:glue:region:account-id:connection/aws:cloudtrail"
            ]
        },
        {
            "Sid": "LakeFormationRegistration",
            "Effect": "Allow",
            "Action": [
                "lakeformation:RegisterResource",
                "lakeformation:DeregisterResource"
            ],
            "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id"
        }
    ]
}

Izin yang diperlukan untuk menonaktifkan federasi

Contoh kebijakan berikut menyediakan sumber daya minimum yang diperlukan untuk menonaktifkan federasi pada penyimpanan data acara. Kebijakan ini memungkinkan CloudTrail untuk menonaktifkan federasi pada penyimpanan data peristiwa, AWS Glue menghapus tabel federasi terkelola dalam Katalog AWS Glue Data, dan Lake Formation untuk membatalkan pendaftaran sumber daya federasi.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudTrailDisableFederation",
            "Effect": "Allow",
            "Action": "cloudtrail:DisableFederation",
            "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id"
        },
        {
            "Sid": "GlueTableDeletion",
            "Effect": "Allow",
            "Action": "glue:DeleteTable",
            "Resource": [
                "arn:aws:glue:region:account-id:catalog",
                "arn:aws:glue:region:account-id:database/aws:cloudtrail",
                "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id"
            ]
        },
        {
            "Sid": "LakeFormationDeregistration",
            "Effect": "Allow",
            "Action": "lakeformation:DeregisterResource",
            "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id"
        }
    ]
}

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.