Administra los recursos de la federación de CloudTrail Lake con AWS Lake Formation

Al federar un banco de datos de eventos, CloudTrail registra el ARN de la función de federación y el almacén de datos de eventos AWS Lake Formation en el servicio responsable de permitir un control de acceso detallado de los recursos federados en el catálogo de datos. AWS Glue En esta sección se describe cómo puede utilizar Lake Formation para gestionar los recursos de la federación de CloudTrail lagos.

Al habilitar la federación, CloudTrail crea los siguientes recursos en el catálogo AWS Glue de datos.

• Base de datos gestionada: CloudTrail crea 1 base de datos con el nombre de aws:cloudtrail cada cuenta. CloudTrail administra la base de datos. No puede eliminar ni modificar la base de datos en AWS Glue.

• Tabla federada gestionada: CloudTrail crea 1 tabla para cada banco de datos de eventos federado y utiliza el ID del banco de datos de eventos como nombre de la tabla. CloudTrail administra las tablas. No puede eliminar ni modificar las tablas que contiene AWS Glue. Para eliminar una tabla, debe deshabilitar la federación en el almacén de datos de eventos.

Cómo controlar el acceso a los recursos federados

Puede usar uno de los dos métodos de permisos para controlar el acceso a la base de datos y las tablas administradas.

• Control de acceso solo de IAM: con el control de acceso solo de IAM, todos los usuarios de la cuenta con los permisos de IAM requeridos tienen acceso a todos los recursos del catálogo de datos. Para obtener información sobre cómo AWS Glue funciona con IAM, consulte Cómo AWS Glue funciona con IAM.

  En la consola de Lake Formation, este método aparece como Utilizar solo control de acceso IAM.

  nota

  Si desea crear filtros de datos y usar otras características de Lake Formation, debe usar el control de acceso de Lake Formation.

• Control de acceso a Lake Formation: este método ofrece las siguientes ventajas.

  • Puede implementar seguridad a nivel de columna, de fila y de celda mediante el uso de filtros de datos. Para obtener más información, consulte Proteger los lagos de datos con un control de acceso a nivel de fila en la Guía para desarrolladores.AWS Lake Formation

  • La base de datos y las tablas solo son visibles para los administradores de Lake Formation y los creadores de la base de datos y los recursos. Si otro usuario necesita acceder a estos recursos, debe conceder el acceso de forma explícita mediante los permisos de Lake Formation.

Para obtener más información sobre el control de acceso, consulte Métodos para el control de acceso detallado.

Cómo determinar el método de permisos para un recurso federado

Cuando habilita la federación por primera vez, CloudTrail crea una base de datos gestionada y una tabla federada gestionada con la configuración del lago de datos de Lake Formation.

Una vez CloudTrail habilitada la federación, puede comprobar qué método de permisos está utilizando para la base de datos gestionada y la tabla federada gestionada comprobando los permisos de esos recursos. Si el recurso tiene la configuración ALL (Super) en IAM_ALLOWED_PRINCIPALS , el recurso se administra exclusivamente mediante permisos de IAM. Si falta la configuración, el recurso se administra mediante los permisos de Lake Formation. Para obtener más información sobre los permisos de Lake Formation, consulte Referencia de permisos de Lake Formation.

El método de permisos para la base de datos administrada y la tabla federada administrada puede diferir. Por ejemplo, si comprueban los valores de la base de datos y la tabla, puede ver lo siguiente:

• En el caso de la base de datos, está presente el valor que asigna ALL (Super) a IAM_ALLOWED_PRINCIPALS en los permisos, lo que indica que utiliza el control de acceso exclusivo de IAM para la base de datos.

• En la tabla, no está presente el valor que asigna ALL (Super) a IAM_ALLOWED_PRINCIPALS en los permisos, lo que indica el control de acceso mediante los permisos de Lake Formation.

Puede cambiar entre los métodos de acceso en cualquier momento al agregar o quitar el permiso ALL (Super) al permiso IAM_ALLOWED_PRINCIPALS en cualquier recurso federado de Lake Formation.

Uso compartido de datos entre cuentas mediante Lake Formation

En esta sección, se describe cómo compartir una base de datos administrada y una tabla federada administrada entre cuentas mediante Lake Formation.

Puede compartir una base de datos administrada entre cuentas siguiendo estos pasos:

1. Actualice la versión para compartir datos entre cuentas a la versión 4.

2. Elimine Super de los permisos IAM_ALLOWED_PRINCIPALS de la base de datos, si están presentes, para cambiar al control de acceso de Lake Formation.

3. Conceda permisos Describe a la cuenta externa en la base de datos.

4. Si comparte un recurso del catálogo de datos con usted Cuenta de AWS y su cuenta no pertenece a la misma AWS organización que la cuenta compartida, acepte la invitación para compartir recursos de AWS Resource Access Manager (AWS RAM). Para obtener más información, consulte Aceptar una invitación de AWS RAM para compartir recursos.

Tras completar estos pasos, la base de datos debería estar visible para la cuenta externa. De forma predeterminada, compartir la base de datos no da acceso a ninguna tabla de la base de datos.

Puede compartir todas las tablas federadas administradas o de forma individual con una cuenta externa siguiendo estos pasos:

1. Actualice la versión para compartir datos entre cuentas a la versión 4.

2. Elimine Super de los permisos IAM_ALLOWED_PRINCIPALS de la tabla si están presentes para cambiar al control de acceso de Lake Formation.

3. (Opcional) Especifique cualquier filtro de datos para restringir las columnas o filas.

4. Conceda permisos Select a la cuenta externa de la tabla.

5. Si comparte un recurso del catálogo de datos con usted Cuenta de AWS y su cuenta no pertenece a la misma AWS organización que la cuenta compartida, acepte la invitación para compartir recursos de AWS Resource Access Manager (AWS RAM). Para una organización, puede aceptar automáticamente el uso de la configuración de RAM. Para obtener más información, consulte Aceptar una invitación de AWS RAM para compartir recursos.

6. La tabla ahora debería estar visible. Para habilitar las consultas de Amazon Athena en esta tabla, cree un enlace de recursos en esta cuenta con la tabla compartida.

La cuenta propietaria puede revocar el uso compartido en cualquier momento quitando los permisos de la cuenta externa de Lake Formation o deshabilitando la federación en. CloudTrail