Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Federare un datastore di eventi
La federazione di un data store di eventi consente di visualizzare i metadati associati al data store degli eventi nel AWS Glue Data Catalog, di registrare il Data Catalog e di eseguire SQL query sui dati degli eventi utilizzando Amazon Athena. AWS Lake Formation I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare.
È possibile abilitare la federazione utilizzando la CloudTrail console, oppure AWS CLIEnableFederationAPIoperazione. Quando abiliti la federazione delle query di Lake, CloudTrail crea un database gestito denominato aws:cloudtrail (se il database non esiste già) e una tabella federata gestita nel AWS Glue Data Catalog. L'ID del data store degli eventi viene utilizzato per il nome della tabella. CloudTrail registra il ruolo federativo ARN e l'archivio dati degli eventi in AWS Lake Formation, il servizio responsabile di consentire il controllo granulare degli accessi alle risorse federate nel Data Catalog. AWS Glue
Per abilitare la federazione delle query di Lake, devi creare un nuovo IAM ruolo o scegliere un ruolo esistente. Lake Formation utilizza questo ruolo per gestire le autorizzazioni per il datastore di eventi federato. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente le autorizzazioni richieste per il ruolo. Se scegli un ruolo esistente, assicurati che fornisca le autorizzazioni minime richieste.
È possibile disabilitare la federazione utilizzando la CloudTrail console AWS CLI, oppure DisableFederationAPIoperazione. Quando disabiliti la federazione, CloudTrail disabilita l'integrazione con AWS Glue e Amazon Athena. AWS Lake Formation Dopo aver disabilitato la federazione delle query di Lake, non puoi più eseguire query sui dati degli eventi in Athena. Nessun dato di CloudTrail Lake viene eliminato quando disabiliti la federazione e puoi continuare a eseguire query in Lake. CloudTrail
Non sono CloudTrail previsti costi per la federazione di un archivio dati di eventi CloudTrail Lake. L'esecuzione delle query in Amazon Athena è soggetta a costi. Per ulteriori informazioni sui prezzi di Athena, consulta Prezzi di Amazon Athena
Argomenti
Considerazioni
Considera i seguenti fattori durante la federazione di un datastore di eventi:
-
Non sono CloudTrail previsti costi per la federazione di un archivio dati di eventi CloudTrail Lake. L'esecuzione delle query in Amazon Athena è soggetta a costi. Per ulteriori informazioni sui prezzi di Athena, consulta Prezzi di Amazon Athena
. -
Lake Formation viene utilizzato per gestire le autorizzazioni per le risorse federate. Se elimini il ruolo federativo o revochi le autorizzazioni per le risorse da Lake Formation oppure AWS Glue non puoi eseguire query da Athena. Per ulteriori informazioni sull'utilizzo di Lake Formation, consulta Gestione delle risorse della federazione dei CloudTrail laghi con AWS Lake Formation.
-
Chiunque utilizzi Amazon Athena per interrogare i dati registrati con Lake Formation deve disporre di una politica di IAM autorizzazioni che consenta l'azione.
lakeformation:GetDataAccessLa politica AWS gestita: AmazonAthenaFullAccessconsente questa azione. Se utilizzi policy inline, assicurati di aggiornare le policy di autorizzazione per consentire questa operazione. Per ulteriori informazioni, consulta Gestione delle autorizzazioni utente Lake Formation e Athena. -
Per creare viste su tabelle federate in Athena, è necessario un database di destinazione diverso da
aws:cloudtrail, Questo perché ilaws:cloudtraildatabase è gestito da CloudTrail. -
Per creare un set di dati in Amazon QuickSight, devi scegliere l'SQLopzione Usa personalizzato. Per ulteriori informazioni, consulta Creazione di un set di dati utilizzando dati di Amazon Athena.
-
Se la federazione è abilitata, non è possibile eliminare un datastore di eventi. Per eliminare un datastore di eventi federato, devi prima disabilitare la federazione e la protezione della terminazione (se abilitata).
-
Le seguenti considerazioni si applicano ai datastore di eventi dell'organizzazione:
-
Solo un singolo account amministratore delegato o l'account di gestione può abilitare la federazione in un datastore di eventi dell'organizzazione. Altri account amministratore delegato possono comunque eseguire query e condividere informazioni utilizzando la funzionalità di condivisione dei dati di Lake Formation.
-
Qualsiasi account amministratore delegato o l'account di gestione dell'organizzazione può disabilitare la federazione.
-
Autorizzazioni necessarie per la federazione
Prima di federare un datastore di eventi, accertati di disporre di tutte le autorizzazioni necessarie per il ruolo di federazione e per abilitare e disabilitare la federazione. Devi aggiornare le autorizzazioni dei ruoli federativi solo se scegli un IAM ruolo esistente per abilitare la federazione. Se scegli di creare un nuovo IAM ruolo utilizzando la CloudTrail console, CloudTrail fornisce tutte le autorizzazioni necessarie per il ruolo.
Argomenti
IAMautorizzazioni per la federazione di un archivio dati di eventi
Quando abiliti la federazione, hai la possibilità di creare un nuovo IAM ruolo o utilizzare un ruolo esistenteIAM. Quando si sceglie un nuovo IAM ruolo, CloudTrail crea un IAM ruolo con le autorizzazioni richieste e non sono necessarie ulteriori azioni da parte dell'utente.
Se scegli un ruolo esistente, assicurati che le politiche del IAM ruolo forniscano le autorizzazioni necessarie per abilitare la federazione. Questa sezione fornisce esempi delle politiche di autorizzazione e attendibilità richieste per i IAM ruoli.
L'esempio seguente fornisce la policy delle autorizzazioni per il ruolo di federazione. Per la prima istruzione, fornisci il data store completo ARN degli eventi perResource.
La seconda dichiarazione di questa politica consente a Lake Formation di decrittografare i dati per un archivio dati di eventi crittografato con una KMS chiave. Replace (Sostituisci) key-region, account-ide key-id con i valori della tua KMS chiave. È possibile omettere questa dichiarazione se l'archivio dati degli eventi non utilizza una KMS chiave per la crittografia.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFederationEDSDataAccess", "Effect": "Allow", "Action": "cloudtrail:GetEventDataStoreData", "Resource": "arn:aws:cloudtrail:eds-region:account-id:eventdatastore/eds-id" }, { "Sid": "LakeFederationKMSDecryptAccess", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:key-region:account-id:key/key-id" } ] }
L'esempio seguente fornisce la policy di IAM fiducia, che consente di AWS Lake Formation assumere un IAM ruolo per gestire le autorizzazioni per l'archivio dati degli eventi federati.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lakeformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Autorizzazioni necessarie per l'abilitazione della federazione
La policy di esempio seguente fornisce le autorizzazioni minime richieste per abilitare la federazione in un datastore di eventi. Questa politica consente di CloudTrail abilitare la federazione sul data store degli eventi, di AWS Glue creare le risorse federate nel AWS Glue Data Catalog e di AWS Lake Formation gestire la registrazione delle risorse.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudTrailEnableFederation", "Effect": "Allow", "Action": "cloudtrail:EnableFederation", "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" }, { "Sid": "FederationRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole", "iam:GetRole" ], "Resource": "arn:aws:iam::region:role/federation-role-name" }, { "Sid": "GlueResourceCreation", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:CreateTable", "glue:PassConnection" ], "Resource": [ "arn:aws:glue:region:account-id:catalog", "arn:aws:glue:region:account-id:database/aws:cloudtrail", "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id", "arn:aws:glue:region:account-id:connection/aws:cloudtrail" ] }, { "Sid": "LakeFormationRegistration", "Effect": "Allow", "Action": [ "lakeformation:RegisterResource", "lakeformation:DeregisterResource" ], "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id" } ] }
Autorizzazioni necessarie per la disabilitazione della federazione
La policy di esempio seguente fornisce le risorse minime richieste per disabilitare la federazione in un datastore di eventi. Questa politica consente di CloudTrail disabilitare la federazione sul data store degli eventi, di AWS Glue eliminare la tabella federata gestita nel AWS Glue Data Catalog e di Lake Formation di annullare la registrazione della risorsa federata.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudTrailDisableFederation", "Effect": "Allow", "Action": "cloudtrail:DisableFederation", "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" }, { "Sid": "GlueTableDeletion", "Effect": "Allow", "Action": "glue:DeleteTable", "Resource": [ "arn:aws:glue:region:account-id:catalog", "arn:aws:glue:region:account-id:database/aws:cloudtrail", "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id" ] }, { "Sid": "LakeFormationDeregistration", "Effect": "Allow", "Action": "lakeformation:DeregisterResource", "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id" } ] }
