Controllo dell'accesso alle risorse federate Determinazione del metodo di autorizzazione per una risorsa federata Condivisione tra account tramite Lake Formation

Gestione delle risorse della federazione dei CloudTrail laghi con AWS Lake Formation

Quando si federa un data store di eventi, CloudTrail registra il ruolo di federazione ARN e il data store degli eventi in AWS Lake Formation, il servizio responsabile di consentire il controllo granulare degli accessi alle risorse federate nel Data Catalog. AWS Glue Questa sezione descrive come utilizzare Lake Formation per gestire le risorse della CloudTrail Lake Federation.

Quando abiliti la federazione, CloudTrail crea le seguenti risorse nel AWS Glue Data Catalog.

Database gestito: CloudTrail crea 1 database con il nome aws:cloudtrail per account. CloudTrail gestisce il database. Non è possibile eliminare o modificare il database in AWS Glue.
Tabella federata gestita: CloudTrail crea 1 tabella per ogni data store federato di eventi e utilizza l'ID del data store degli eventi per il nome della tabella. CloudTrail gestisce le tabelle. Non è possibile eliminare o modificare le tabelle in AWS Glue. Per eliminare una tabella, è necessario disabilitare la federazione nel datastore di eventi.

Controllo dell'accesso alle risorse federate

È possibile utilizzare uno dei due metodi di autorizzazione per controllare l'accesso al database e alle tabelle gestiti.

IAMsolo controllo degli accessi: con il IAM solo controllo degli accessi, tutti gli utenti dell'account con le IAM autorizzazioni richieste hanno accesso a tutte le risorse del Data Catalog. Per informazioni su come AWS Glue funzionaIAM, consulta How AWS Glue works with IAM.

Sulla console Lake Formation, questo metodo appare come Usa solo il controllo degli IAM accessi.

Nota
Se desideri creare filtri di dati e utilizzare altre funzionalità di Lake Formation, devi utilizzare il controllo degli accessi di Lake Formation.
Controllo degli accessi di Lake Formation: questo metodo offre i seguenti vantaggi.
- Puoi implementare la sicurezza a livello di colonna, riga e cella tramite la creazione di filtri di dati. Per ulteriori informazioni, consulta Proteggere i data lake con il controllo degli accessi a livello di riga nella Guida per gli AWS Lake Formation sviluppatori.
- Il database e le tabelle sono visibili solo agli amministratori di Lake Formation e ai creatori del database e delle risorse di Lake Formation. Se un altro utente deve accedere a queste risorse, devi concedere l'accesso utilizzando le autorizzazioni di Lake Formation in modo esplicito.

Per ulteriori informazioni sul controllo granulare degli accessi, consulta Metodi per il controllo granulare degli accessi.

Determinazione del metodo di autorizzazione per una risorsa federata

Quando abiliti la federazione per la prima volta, CloudTrail crea un database gestito e una tabella federata gestita utilizzando le impostazioni del data lake Lake Formation.

Dopo aver CloudTrail abilitato la federazione, puoi verificare quale metodo di autorizzazioni stai utilizzando per il database gestito e la tabella federata gestita controllando le autorizzazioni per tali risorse. Se per la risorsa è presente l'IAM_ALLOWED_PRINCIPALS impostazione ALL (Super) to, la risorsa è gestita esclusivamente dalle autorizzazioni. IAM Se l'impostazione non è presente, la risorsa è gestita dalle autorizzazioni di Lake Formation. Per ulteriori informazioni sulle autorizzazioni di Lake Formation, consulta Documentazione di riferimento sulle autorizzazioni Lake Formation.

Il metodo di autorizzazione per il database e la tabella federata gestiti può essere diverso. Ad esempio, se controlli i valori del database e della tabella, potresti visualizzare i seguenti elementi:

Per il database, il valore assegnato a ALL (Super) IAM_ALLOWED_PRINCIPALS è presente nelle autorizzazioni che indica che stai utilizzando IAM solo il controllo di accesso per il database.
Per la tabella, se il valore ALL (Super) assegnato a IAM_ALLOWED_PRINCIPALS non è presente, significa che il controllo degli accessi avviene tramite le autorizzazioni di Lake Formation.

Puoi passare da un metodo di accesso all'altro in qualsiasi momento aggiungendo o rimuovendo ALL (Super) all'autorizzazione di IAM_ALLOWED_PRINCIPALS su qualsiasi risorsa federata in Lake Formation.

Condivisione tra account tramite Lake Formation

In questa sezione viene descritto come condividere un database e una tabella federata gestiti tra account utilizzando Lake Formation.

Puoi condividere un database gestito tra più account seguendo questi passaggi:

Aggiorna la versione per la condivisione dei dati tra account alla versione 4.
Rimuovi Super dalle autorizzazioni IAM_ALLOWED_PRINCIPALS del database, se presenti, per passare al controllo degli accessi di Lake Formation.
Concedi autorizzazioni Describe all'account esterno sul database.
Se una risorsa del Data Catalog è condivisa con te Account AWS e il tuo account non fa parte della stessa AWS organizzazione dell'account di condivisione, accetta l'invito alla condivisione delle risorse da AWS Resource Access Manager ()AWS RAM. Per ulteriori informazioni, consulta Accettazione di un invito alla condivisione di risorse da AWS RAM.

Dopo aver completato questi passaggi, il database dovrebbe essere visibile all'account esterno. Per impostazione predefinita, la condivisione del database non consente l'accesso ad alcuna tabella presente al suo interno.

Puoi condividere tutte le tabelle federate gestite o tabelle singole con un account esterno seguendo questi passaggi:

Aggiorna la versione per la condivisione dei dati tra account alla versione 4.
Rimuovi Super dalle autorizzazioni IAM_ALLOWED_PRINCIPALS della tabella, se presenti, per passare al controllo degli accessi di Lake Formation.
(Facoltativo) Specifica eventuali filtri di dati per limitare colonne o righe.
Concedi autorizzazioni Select all'account esterno sulla tabella.
Se una risorsa del Data Catalog è condivisa con te Account AWS e il tuo account non fa parte della stessa AWS organizzazione dell'account di condivisione, accetta l'invito alla condivisione delle risorse da AWS Resource Access Manager (AWS RAM). Per un'organizzazione, puoi accettare automaticamente utilizzando RAM le impostazioni. Per ulteriori informazioni, vedi Accettazione di un invito alla condivisione di risorse da AWS RAM.
La tabella dovrebbe ora essere visibile. Per abilitare le query di Amazon Athena su questa tabella, crea un link alla risorsa in questo account con la tabella condivisa.

L'account proprietario può revocare la condivisione in qualsiasi momento rimuovendo le autorizzazioni per l'account esterno da Lake Formation o disabilitando la federazione in. CloudTrail

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Disabilitare la federazione delle query di Lake

Datastore di eventi dell'organizzazione

Gestione delle risorse della federazione dei CloudTrail laghi con AWS Lake Formation

Controllo dell'accesso alle risorse federate

Nota

Determinazione del metodo di autorizzazione per una risorsa federata

Condivisione tra account tramite Lake Formation