Activer la fédération de requêtes Lake - AWS CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer la fédération de requêtes Lake

Vous pouvez activer la fédération de requêtes Lake à l'aide de la CloudTrail console, AWS CLI, ou EnableFederationAPIopération. Lorsque vous activez la fédération de requêtes Lake, vous CloudTrail créez une base de données gérée nommée aws:cloudtrail (si la base de données n'existe pas déjà) et une table fédérée gérée dans le AWS Glue Catalogue de données. L'ID du magasin de données d'événements est utilisé pour le nom de la table. CloudTrail enregistre le rôle de fédération ARN et le stockage des données d'événement dans AWS Lake Formation, le service chargé de permettre un contrôle d'accès précis aux ressources fédérées dans AWS Glue Catalogue de données.

Cette section décrit comment activer la fédération à l'aide de la CloudTrail console et AWS CLI.

CloudTrail console

La procédure suivante explique comment activer la fédération de requêtes Lake sur un magasin de données d’événement existant.

  1. Connectez-vous au AWS Management Console et ouvrez la CloudTrail console à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Dans le panneau de navigation, sous Lake, choisissez Magasins de données d’événement.

  3. Choisissez le magasin de données d’événement que vous voulez mettre à jour. Cela ouvre la page contenant les détails du magasin de données d’événement.

  4. Dans Fédération de requêtes Lake, choisissez Modifier, puis sélectionnez Activer.

  5. Choisissez de créer un nouveau IAM rôle ou d'utiliser un rôle existant. Lorsque vous créez un nouveau rôle, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous utilisez un rôle existant, assurez-vous que la politique du rôle fournit les autorisations minimales requises.

  6. Si vous créez un nouveau IAM rôle, entrez un nom pour le rôle.

  7. Si vous choisissez un IAM rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.

  8. Sélectionnez Enregistrer les modifications. Le statut de la fédération passe à Enabled.

AWS CLI

Pour activer la fédération, exécutez la commande aws cloudtrail enable-federation en fournissant les paramètres --event-data-store et --role requis. Pour--event-data-store, fournissez le magasin de données d'événements ARN (ou le suffixe d'identification duARN). Pour--role, indiquez le rôle ARN de votre fédération. Le rôle doit exister dans votre compte et fournir les autorisations minimales requises.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

Cet exemple montre comment un administrateur délégué peut activer la fédération sur le magasin de données d'événements d'une organisation en spécifiant le magasin ARN de données d'événements dans le compte ARN de gestion et le rôle de fédération dans le compte d'administrateur délégué.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name