使用 管理 CloudTrail Lake 聯合資源 AWS Lake Formation - AWS CloudTrail
控制聯合資源的存取權限決定聯合資源的許可方法使用 Lake Formation 進行跨帳戶共用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 管理 CloudTrail Lake 聯合資源 AWS Lake Formation

當您聯合事件資料存放區時, 會在 中 CloudTrail 註冊聯合角色ARN和事件資料存放區 AWS Lake Formation,該服務負責允許對 AWS Glue 資料目錄中的聯合資源進行精細存取控制。本節說明如何使用 Lake Formation 管理 CloudTrail Lake 聯合資源。

當您啟用聯合時, 會在 AWS Glue Data Catalog 中 CloudTrail 建立下列資源。

  • 受管資料庫 – CloudTrail 建立 1 個資料庫,每個帳戶的名稱aws:cloudtrail為 。 CloudTrail 管理資料庫。您無法在 中刪除或修改資料庫 AWS Glue。

  • 受管聯合資料表 – 為每個聯合事件資料存放區 CloudTrail 建立 1 個資料表,並使用資料表名稱的事件資料存放區 ID。 CloudTrail 會管理資料表。您無法刪除或修改 中的資料表 AWS Glue。若要刪除資料表,您必須在事件資料存放區上停用聯合

控制聯合資源的存取權限

您可以使用以下兩種許可方法之一來控制受管資料庫和資料表的存取權限。

  • IAM 僅存取控制 – IAM僅具有存取控制,帳戶中具有所需IAM許可的所有使用者都會獲得所有 Data Catalog 資源的存取權。如需如何使用 AWS Glue 的資訊IAM,請參閱如何使用 AWS Glue IAM

    在 Lake Formation 主控台上,此方法顯示為僅使用IAM存取控制

    注意

    如果您要建立資料篩選條件並使用其他 Lake Formation 功能,則必須使用 Lake Formation 存取控制。

  • Lake Formation 存取控制 – 此方法具備下列優點。

如需存取控制的詳細資訊,請參閱精細存取控制的方法

決定聯合資源的許可方法

當您第一次啟用聯合時, 會使用 Lake Formation 資料湖設定 CloudTrail 建立受管資料庫和受管聯合資料表。

CloudTrail 啟用聯合後,您可以透過檢查這些資源的許可,來驗證您用於受管資料庫和受管聯合資料表的許可方法。如果 資源有 IAM_ALLOWED_PRINCIPALS ALL超級 ) 設定為 ,資源只會由IAM許可管理。如果缺少該設定,則資源將由 Lake Formation 許可管理。如需 Lake Formation 許可的詳細資訊,請參閱 Lake Formation 許可參考

受管資料庫和受管聯合資料表的許可方法可能不同。舉例來說,如果您檢查資料庫和資料表的值,可能會看到下列內容:

  • 對於資料庫,指派給 ALL超級 ) 的值IAM_ALLOWED_PRINCIPALS存在於許可中,表示您IAM僅使用資料庫的存取控制。

  • 若為資料表,則不會顯示指派 ALL (Super) 至 IAM_ALLOWED_PRINCIPALS 的值,這表示透過 Lake Formation 許可進行存取控制。

您可以在 Lake Formation 中對任何聯合資源新增或移除 ALL (Super) 至 IAM_ALLOWED_PRINCIPALS 的許可,藉此隨時切換存取方法。

使用 Lake Formation 進行跨帳戶共用

本節說明如何使用 Lake Formation 跨帳戶共用受管資料庫和受管聯合資料表。

您可以執行下列步驟,以跨帳戶共用受管資料庫:

  1. 跨帳戶資料共用版本更新至第 4 版。

  2. 從資料庫移除 SuperIAM_ALLOWED_PRINCIPALS 的許可 (如有),以切換至 Lake Formation 存取控制。

  3. Describe 許可授予資料庫上的外部帳戶。

  4. 如果 Data Catalog 資源與 共用, AWS 帳戶 而您的帳戶與共用帳戶不在同一個 AWS 組織中,請接受來自 AWS Resource Access Manager () 的資源共用邀請AWS RAM。如需詳細資訊,請參閱接受來自 的資源共用邀請 AWS RAM

完成這些步驟後,外部帳戶應該可以看到資料庫。依預設,共用資料庫未授予資料庫中任何資料表的存取權限。

您可以執行下列步驟,與外部帳戶共用所有或個別的受管聯合資料表:

  1. 跨帳戶資料共用版本更新至第 4 版。

  2. 從資料表移除 SuperIAM_ALLOWED_PRINCIPALS 的許可 (如有),以切換至 Lake Formation 存取控制。

  3. (選用) 指定任何資料篩選條件,以限制資料欄或資料列。

  4. Select 許可授予資料表上的外部帳戶。

  5. 如果 Data Catalog 資源與 共用, AWS 帳戶 而您的帳戶與共用帳戶不在同一個 AWS 組織中,請接受來自 AWS Resource Access Manager () 的資源共用邀請AWS RAM。對於組織,您可以使用 RAM 設定自動接受。如需詳細資訊,請參閱接受來自 的資源共用邀請 AWS RAM

  6. 您現在應該可以看到資料表。若要在此資料表上啟用 Amazon Athena 查詢,請在此帳戶中使用共用資料表建立資源連結

擁有帳戶可以透過從 Lake Formation 中移除外部帳戶的許可,或在 中停用聯合來隨時撤銷共用 CloudTrail。