Steuern des Zugriffs auf Verbundressourcen Ermitteln der Berechtigungsmethode für eine Verbundressource Kontoübergreifendes Teilen mit Lake Formation

Verwaltung der Ressourcen von CloudTrail Lake Federation mit AWS Lake Formation

Wenn Sie einen Ereignisdatenspeicher verbinden, CloudTrail registriert die Verbundrolle ARN und den Ereignisdatenspeicher in dem Dienst AWS Lake Formation, der für die detaillierte Zugriffskontrolle der Verbundressourcen im Datenkatalog verantwortlich ist. AWS Glue In diesem Abschnitt wird beschrieben, wie Sie Lake Formation verwenden können, um die Ressourcen der CloudTrail Lake Federation zu verwalten.

Wenn Sie den Verbund aktivieren, werden die folgenden Ressourcen im AWS Glue Datenkatalog CloudTrail erstellt.

Verwaltete Datenbank — CloudTrail erstellt eine Datenbank mit dem Namen aws:cloudtrail pro Konto. CloudTrail verwaltet die Datenbank. Sie können die Datenbank in nicht löschen oder ändern AWS Glue.
Verwaltete Verbundtabelle — CloudTrail erstellt eine Tabelle für jeden föderierten Ereignisdatenspeicher und verwendet die ID des Ereignisdatenspeichers als Tabellennamen. CloudTrail verwaltet die Tabellen. Sie können die Tabellen in nicht löschen oder ändern AWS Glue. Um eine Tabelle zu löschen, müssen Sie den Verbund im Ereignisdatenspeicher deaktivieren.

Steuern des Zugriffs auf Verbundressourcen

Sie können eine von zwei Berechtigungsmethoden verwenden, um den Zugriff auf die verwaltete Datenbank und die Tabellen zu steuern.

Nur IAM-Zugriffskontrolle – Bei der reinen IAM-Zugriffskontrolle erhalten alle Benutzer des Kontos mit den erforderlichen IAM-Berechtigungen Zugriff auf alle Datenkatalogressourcen. Informationen zur AWS Glue Funktionsweise mit IAM finden Sie unter Wie AWS Glue funktioniert mit IAM.

In der Lake-Formation-Konsole wird diese Methode als Nur IAM-Zugriffskontrolle verwenden angezeigt.

Anmerkung
Wenn Sie Datenfilter erstellen und andere Lake-Formation-Features verwenden möchten, müssen Sie die Lake-Formation-Zugriffskontrolle verwenden.
Lake-Formation-Zugriffskontrolle – Diese Methode bietet die folgenden Vorteile.
- Sie können die Sicherheit auf Spalten-, Zeilen- und Zellenebene implementieren, indem Sie Datenfilter erstellen. Weitere Informationen finden Sie im Entwicklerhandbuch unter Absichern von Data Lakes mit Zugriffskontrolle auf Zeilenebene.AWS Lake Formation
- Datenbank und Tabellen sind nur für Lake-Formation-Administratoren und Ersteller der Datenbank und der Ressourcen sichtbar. Wenn ein anderer Benutzer Zugriff auf diese Ressourcen benötigt, müssen Sie den Zugriff mithilfe von Lake-Formation-Berechtigungen explizit gewähren.

Weitere Informationen zur differenzierten Zugriffskontrolle finden Sie unter Methoden für die differenzierte Zugriffskontrolle.

Ermitteln der Berechtigungsmethode für eine Verbundressource

Wenn Sie den Verbund zum ersten Mal aktivieren, werden mithilfe Ihrer Lake Formation Data Lake-Einstellungen eine verwaltete Datenbank und eine verwaltete Verbundtabelle CloudTrail erstellt.

Nachdem Sie den Verbund CloudTrail aktiviert haben, können Sie überprüfen, welche Berechtigungsmethode Sie für die verwaltete Datenbank und die verwaltete Verbundtabelle verwenden, indem Sie die Berechtigungen für diese Ressourcen überprüfen. Wenn die Einstellung ALL (Super) auf IAM_ALLOWED_PRINCIPALS für die Ressource vorhanden ist, wird die Ressource ausschließlich über IAM-Berechtigungen verwaltet. Wenn die Einstellung fehlt, wird die Ressource über Lake-Formation-Berechtigungen verwaltet. Weitere Informationen zu Lake-Formation-Berechtigungen finden Sie in der Referenz zu Lake-Formation-Berechtigungen.

Die Berechtigungsmethode für die verwaltete Datenbank und die verwaltete Verbundtabelle kann unterschiedlich sein. Wenn Sie beispielsweise die Werte für die Datenbank und die Tabelle überprüfen, könnten Sie Folgendes sehen:

Für die Datenbank ist der Wert, der ALL (Super) auf IAM_ALLOWED_PRINCIPALS zuweist, in den Berechtigungen enthalten, was darauf hinweist, dass Sie nur die IAM-Zugriffskontrolle für die Datenbank verwenden.
Für die Tabelle ist der Wert, der ALL (Super) auf IAM_ALLOWED_PRINCIPALS zuweist, nicht vorhanden, was auf eine Zugriffskontrolle durch Lake-Formation-Berechtigungen hinweist.

Sie können jederzeit zwischen den Zugriffsmethoden wechseln, indem Sie die Berechtigung ALL (Super) auf IAM_ALLOWED_PRINCIPALS für eine beliebige Verbundressource in Lake Formation hinzufügen oder entfernen.

Kontoübergreifendes Teilen mit Lake Formation

In diesem Abschnitt wird beschrieben, wie Sie mithilfe von Lake Formation eine verwaltete Datenbank und eine verwaltete Verbundtabelle für mehrere Konten gemeinsam nutzen können.

Gehen Sie wie folgt vor, um eine verwaltete Datenbank für mehrere Konten gemeinsam zu nutzen:

Aktualisieren Sie die Version für die kontoübergreifende gemeinsame Nutzung von Daten auf Version 4.
Entfernen die Berechtigungen Super auf IAM_ALLOWED_PRINCIPALS aus der Datenbank, falls vorhanden, um zur Lake-Formation-Zugriffskontrolle zu wechseln.
Erteilen Sie dem externen Konto in der Datenbank Describe-Berechtigungen.
Wenn eine Datenkatalogressource mit Ihnen gemeinsam genutzt wird AWS-Konto und Ihr Konto nicht derselben AWS Organisation angehört wie das gemeinsam genutzte Konto, nehmen Sie die Einladung von AWS Resource Access Manager (AWS RAM) zur gemeinsamen Nutzung der Ressource an. Weitere Informationen finden Sie unter Eine Einladung zur gemeinsamen Nutzung einer Ressource aus dem AWS RAM annehmen.

Nach Abschluss dieser Schritte sollte die Datenbank für das externe Konto sichtbar sein. Standardmäßig gewährt die gemeinsame Nutzung der Datenbank keinen Zugriff auf Tabellen in der Datenbank.

Gehen Sie wie folgt vor, um alle oder einzelne verwaltete Verbundtabellen für ein externes Konto freizugeben:

Aktualisieren Sie die Version für die kontoübergreifende gemeinsame Nutzung von Daten auf Version 4.
Entfernen die Berechtigungen Super auf IAM_ALLOWED_PRINCIPALS aus der Tabelle, falls vorhanden, um zur Lake-Formation-Zugriffskontrolle zu wechseln.
(Optional) Geben Sie beliebige Datenfilter an, um Spalten oder Zeilen einzuschränken.
Erteilen Sie dem externen Konto in der Tabelle Select-Berechtigungen.
Wenn eine Datenkatalogressource mit Ihnen geteilt wird AWS-Konto und Ihr Konto nicht in derselben AWS Organisation wie das gemeinsam genutzte Konto ist, akzeptieren Sie die Einladung von AWS Resource Access Manager (AWS RAM) zur gemeinsamen Nutzung von Ressourcen. Für eine Organisation können Sie die Einladung mithilfe der RAM-Einstellungen automatisch akzeptieren. Weitere Informationen finden Sie unter Eine Einladung zur gemeinsamen Nutzung einer Ressource aus dem AWS RAM annehmen.
Die Tabelle sollte jetzt sichtbar sein. Um Amazon-Athena-Abfragen für diese Tabelle zu aktivieren, erstellen Sie in diesem Konto einen Ressourcenlink zur gemeinsam genutzten Tabelle.

Das Eigentümerkonto kann die gemeinsame Nutzung jederzeit widerrufen, indem es die Berechtigungen für das externe Konto von Lake Formation entfernt oder den Verbund in deaktiviert. CloudTrail

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Lake-Abfrageverbund deaktivieren

Ereignisdatenspeicher einer Organisation

Verwaltung der Ressourcen von CloudTrail Lake Federation mit AWS Lake Formation

Steuern des Zugriffs auf Verbundressourcen

Anmerkung

Ermitteln der Berechtigungsmethode für eine Verbundressource

Kontoübergreifendes Teilen mit Lake Formation