Habilitar a federação de consultas do Lake - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar a federação de consultas do Lake

Você pode habilitar a federação de consultas do Lake usando o CloudTrail AWS CLI console ou EnableFederationAPIa operação. Quando você ativa a federação de consultas do Lake, CloudTrail cria um banco de dados gerenciado chamado aws:cloudtrail (se o banco de dados ainda não existir) e uma tabela federada gerenciada no Catálogo de AWS Glue Dados. O ID do armazenamento de dados do evento é usado para o nome da tabela. CloudTrail registra a função da federação ARN e o armazenamento de dados de eventos no AWS Lake Formation, o serviço responsável por permitir o controle de acesso refinado dos recursos federados no Catálogo de Dados. AWS Glue

Esta seção descreve como habilitar a federação usando o CloudTrail console AWS CLI e.

CloudTrail console

O procedimento a seguir mostra como habilitar a federação de consultas do Lake em um armazenamento de dados de eventos existente.

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, em Lake, escolha Armazenamentos de dados de eventos.

  3. Selecione o armazenamento de dados de eventos que você deseja atualizar. A página de detalhes do armazenamento de dados de eventos é aberta.

  4. Na federação de consultas do Lake, escolha Editar e, em seguida, escolha Habilitar.

  5. Escolha se deseja criar uma nova IAM função ou usar uma função existente. Quando você cria uma nova função, cria CloudTrail automaticamente uma função com as permissões necessárias. Se você escolher um perfil existente, a política da perfil deve fornecer as permissões mínimas necessárias.

  6. Se você estiver criando uma nova IAM função, insira um nome para a função.

  7. Se você estiver escolhendo uma IAM função existente, escolha a função que deseja usar. O perfil deve existir em sua conta.

  8. Escolha Salvar alterações. O status da Federação muda para Enabled.

AWS CLI

Para ativar a federação, execute o comando aws cloudtrail enable-federation, fornecendo os parâmetros obrigatórios --event-data-store e --role. Para--event-data-store, forneça o armazenamento de dados do evento ARN (ou o sufixo de ID doARN). Para--role, forneça o ARN para sua função de federação. O perfil deve existir em sua conta e fornecer as permissões mínimas necessárias.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

Este exemplo mostra como um administrador delegado pode habilitar a federação em um armazenamento de dados de eventos da organização especificando o armazenamento ARN de dados de eventos na conta de gerenciamento e o papel ARN da federação na conta de administrador delegado.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name