Abilitare la federazione delle query di Lake - AWS CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitare la federazione delle query di Lake

È possibile abilitare la federazione delle query di Lake utilizzando la CloudTrail console o AWS CLI l'EnableFederationAPIoperazione. Quando abiliti la federazione delle query di Lake, CloudTrail crea un database gestito denominato aws:cloudtrail (se il database non esiste già) e una tabella federata gestita nel AWS Glue Data Catalog. L'ID del data store degli eventi viene utilizzato per il nome della tabella. CloudTrail registra il ruolo federativo ARN e l'archivio dati degli eventi in AWS Lake Formation, il servizio responsabile di consentire il controllo granulare degli accessi alle risorse federate nel Data Catalog. AWS Glue

Questa sezione descrive come abilitare la federazione utilizzando la console e. CloudTrail AWS CLI

CloudTrail console

La procedura seguente mostra come abilitare la federazione delle query di Lake in un datastore di eventi esistente.

  1. Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel riquadro di navigazione, seleziona Datastore di eventi in Lake.

  3. Scegli il datastore di eventi da aggiornare. In questo modo si apre la pagina dei dettagli del datastore di eventi.

  4. In Federazione delle query di Lake, scegli Modifica, quindi Abilita.

  5. Scegli se creare un nuovo IAM ruolo o utilizzare un ruolo esistente. Quando crei un nuovo ruolo, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se utilizzi un ruolo esistente, assicurati che la policy del ruolo fornisca le autorizzazioni minime richieste.

  6. Se stai creando un nuovo IAM ruolo, inserisci un nome per il ruolo.

  7. Se scegli un IAM ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.

  8. Seleziona Salvataggio delle modifiche. Lo stato della federazione cambia in Enabled.

AWS CLI

Per abilitare la federazione, esegui il comando aws cloudtrail enable-federation fornendo i parametri --event-data-store e --role richiesti. Per--event-data-store, fornisci l'archivio dati degli eventi ARN (o il suffisso ID diARN). Per--role, fornisci il ruolo ARN per il tuo ruolo di federazione. Il ruolo deve esistere nel tuo account e fornire le autorizzazioni minime richieste.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

Questo esempio mostra come un amministratore delegato può abilitare la federazione in un data store di eventi dell'organizzazione specificando il data store ARN degli eventi nell'account di gestione e il ruolo ARN di federazione nell'account amministratore delegato.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name