Gerenciando os recursos da Federação do CloudTrail Lago com AWS Lake Formation - AWS CloudTrail
Controlar o acesso aos recursos federadosDeterminar o método de permissões para um recurso federadoCompartilhamento entre contas no Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando os recursos da Federação do CloudTrail Lago com AWS Lake Formation

Quando você federa um armazenamento de dados de eventos, CloudTrail registra a função de federação ARN e o armazenamento de dados de eventos no AWS Lake Formation, o serviço responsável por permitir o controle de acesso refinado dos recursos federados no Catálogo de Dados. AWS Glue Esta seção descreve como você pode usar o Lake Formation para gerenciar os recursos da federação de CloudTrail lagos.

Quando você ativa a federação, CloudTrail cria os seguintes recursos no Catálogo AWS Glue de Dados.

  • Banco de dados gerenciado — CloudTrail cria 1 banco de dados com o nome aws:cloudtrail por conta. CloudTrail gerencia o banco de dados. Você não pode excluir ou modificar o banco de dados em AWS Glue.

  • Tabela federada gerenciada — CloudTrail cria 1 tabela para cada armazenamento de dados de eventos federados e usa a ID do armazenamento de dados de eventos para o nome da tabela. CloudTrail gerencia as tabelas. Você não pode excluir ou modificar as tabelas em AWS Glue. Para excluir uma tabela, você deve desabilitar a federação no armazenamento de dados de eventos.

Controlar o acesso aos recursos federados

Você pode usar um dos dois métodos de permissões para controlar o acesso ao banco de dados gerenciado e às tabelas.

  • IAMsomente controle de acesso — Com IAM apenas controle de acesso, todos os usuários da conta com as IAM permissões necessárias têm acesso a todos os recursos do Catálogo de Dados. Para obter informações sobre como AWS Glue funciona comIAM, consulte Como AWS Glue funciona com IAM.

    No console do Lake Formation, esse método aparece como Use only IAM access control.

    nota

    Se quiser criar filtros de dados e usar outros atributos do Lake Formation, você deve usar o controle de acesso do Lake Formation.

  • Controle de acesso do Lake Formation: este método oferece as seguintes vantagens.

Para obter mais informações sobre o controle de acesso, consulte Métodos de controle de acesso granular.

Determinar o método de permissões para um recurso federado

Quando você ativa a federação pela primeira vez, CloudTrail cria um banco de dados gerenciado e uma tabela federada gerenciada usando as configurações do data lake do Lake Formation.

Depois de CloudTrail habilitar a federação, você pode verificar qual método de permissões está usando para o banco de dados gerenciado e a tabela federada gerenciada verificando as permissões desses recursos. Se a IAM_ALLOWED_PRINCIPALS configuração ALL (Super) to estiver presente para o recurso, o recurso será gerenciado exclusivamente por IAM permissões. Se a configuração estiver ausente, o recurso será gerenciado pelas permissões do Lake Formation. Para obter mais informações sobre as permissões do Lake Formation, consulte a Referência de permissões do Lake Formation.

O método de permissões para o banco de dados gerenciado e a tabela federada gerenciada pode ser diferente. Por exemplo, se você verificar os valores do banco de dados e da tabela, poderá ver o seguinte:

  • Para o banco de dados, o valor atribuído a ALL (Super) IAM_ALLOWED_PRINCIPALS está presente nas permissões, indicando que você está usando IAM somente o controle de acesso para o banco de dados.

  • Para a tabela, o valor que atribui ALL (Super) a IAM_ALLOWED_PRINCIPALS não está presente, indicando o controle de acesso pelas permissões do Lake Formation.

Você pode alternar entre os métodos de acesso a qualquer momento, adicionando ou removendo ALL (Super) à permissão IAM_ALLOWED_PRINCIPALS em qualquer recurso federado no Lake Formation.

Compartilhamento entre contas no Lake Formation

Esta seção descreve como compartilhar um banco de dados gerenciado e uma tabela federada gerenciada entre contas usando o Lake Formation.

Você pode compartilhar um banco de dados gerenciado entre contas seguindo estas etapas:

  1. Atualize a versão de compartilhamento de dados entre contas para 4.

  2. Remova Super das permissões IAM_ALLOWED_PRINCIPALS do banco de dados, se houver, para alternar para o controle de acesso do Lake Formation.

  3. Conceda permissões Describe para a conta externa no banco de dados.

  4. Se um recurso do Catálogo de Dados for compartilhado com você Conta da AWS e sua conta não estiver na mesma AWS organização da conta de compartilhamento, aceite o convite de compartilhamento de recursos de AWS Resource Access Manager (AWS RAM). Para obter mais informações, consulte Aceitar um convite de compartilhamento de recursos de AWS RAM.

Depois de concluir essas etapas, o banco de dados deverá estar visível para a conta externa. Por padrão, o compartilhamento do banco de dados não dá acesso a nenhuma tabela no banco de dados.

Você pode compartilhar todas as tabelas federadas gerenciadas ou individuais com uma conta externa seguindo estas etapas:

  1. Atualize a versão de compartilhamento de dados entre contas para 4.

  2. Remova Super das permissões IAM_ALLOWED_PRINCIPALS da tabela, se houver, para alternar para o controle de acesso do Lake Formation.

  3. (Opcional) Especifique filtros de dados para restringir colunas ou linhas.

  4. Conceda permissões Select para a conta externa na tabela.

  5. Se um recurso do Catálogo de Dados for compartilhado com você Conta da AWS e sua conta não estiver na mesma AWS organização da conta de compartilhamento, aceite o convite de compartilhamento de recursos de AWS Resource Access Manager (AWS RAM). Para uma organização, você pode aceitar automaticamente usando RAM as configurações. Para obter mais informações, consulte Aceitar um convite de compartilhamento de recursos de AWS RAM.

  6. A tabela agora deverá estar visível. Para habilitar consultas do Amazon Athena nessa tabela, crie um link de recurso nesta conta com a tabela compartilhada.

A conta proprietária pode revogar o compartilhamento a qualquer momento removendo as permissões da conta externa do Lake Formation ou desativando a federação em. CloudTrail