Gérer les ressources de la fédération des CloudTrail lacs avec AWS Lake Formation - AWS CloudTrail
Contrôle de l’accès aux ressources fédéréesDéterminer la méthode d’autorisation pour une ressource fédéréePartage entre comptes à l’aide de Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérer les ressources de la fédération des CloudTrail lacs avec AWS Lake Formation

Lorsque vous fédérez un magasin de données d'événements, CloudTrail enregistrez le rôle de fédération ARN et le magasin de données d'événements AWS Lake Formation, le service chargé de permettre un contrôle d'accès précis aux ressources fédérées du catalogue de données. AWS Glue Cette section décrit comment vous pouvez utiliser Lake Formation pour gérer les ressources de la fédération des CloudTrail lacs.

Lorsque vous activez la fédération, CloudTrail crée les ressources suivantes dans le catalogue de AWS Glue données.

  • Base de données gérée : CloudTrail crée une base de données avec le nom aws:cloudtrail de chaque compte. CloudTrail gère la base de données. Vous ne pouvez ni supprimer ni modifier la base de données dans AWS Glue.

  • Table fédérée gérée : CloudTrail crée une table pour chaque banque de données d'événements fédérée et utilise l'ID de la banque de données d'événements pour le nom de la table. CloudTrail gère les tables. Vous ne pouvez ni supprimer ni modifier les tables dans AWS Glue. Pour supprimer une table, vous devez désactiver la fédération dans le magasin de données d’événement.

Contrôle de l’accès aux ressources fédérées

Vous pouvez utiliser l’une des deux méthodes d’autorisation pour contrôler l’accès à la base de données et aux tables gérées.

  • Contrôle d’accès IAM uniquement : avec le contrôle d’accès IAM uniquement, tous les utilisateurs du compte disposant des autorisations IAM requises ont accès à toutes les ressources du catalogue de données. Pour plus d'informations sur le AWS Glue fonctionnement avec IAM, voir AWS Glue Fonctionnement avec IAM.

    Sur la console Lake Formation, cette méthode apparaît sous la forme Utiliser uniquement le contrôle d’accès IAM.

    Note

    Si vous souhaitez créer des filtres de données et utiliser d’autres fonctionnalités de Lake Formation, vous devez utiliser le contrôle d’accès de Lake Formation.

  • Contrôle d’accès à Lake Formation : cette méthode offre les avantages suivants.

    • Vous pouvez implémenter la sécurité au niveau des colonnes, des lignes et des cellules en créant des filtres de données.

    • La base de données et les tables ne sont visibles que par les administrateurs de Lake Formation et les créateurs de la base de données et des ressources. Si un autre utilisateur a besoin d’accéder à ces ressources, vous devez explicitement accorder l’accès en utilisant les autorisations de Lake Formation.

Pour plus d’informations sur le contrôle d’accès, consultez la page Méthodes de contrôle d’accès précis.

Déterminer la méthode d’autorisation pour une ressource fédérée

Lorsque vous activez la fédération pour la première fois, CloudTrail crée une base de données gérée et une table fédérée gérée en utilisant les paramètres de votre lac de données de Lake Formation.

Après avoir CloudTrail activé la fédération, vous pouvez vérifier la méthode d'autorisation que vous utilisez pour la base de données gérée et la table fédérée gérée en vérifiant les autorisations pour ces ressources. Si le paramètre ALL (Super) défini sur IAM_ALLOWED_PRINCIPALS est présent pour la ressource, celle-ci est gérée exclusivement par des autorisations IAM. Si le paramètre est absent, la ressource est gérée par les autorisations de Lake Formation. Pour plus d’informations sur les autorisations Lake Formation, consultez la page Référence des autorisations Lake Formation.

La méthode d’autorisation pour la base de données gérée et la table fédérée gérée peuvent être différentes. Par exemple, si vous vérifiez les valeurs de la base de données et de la table, vous pouvez voir ce qui suit :

  • Pour la base de données, la valeur qui attribue ALL (Super) à IAM_ALLOWED_PRINCIPALS est présente dans les autorisations, ce qui indique que vous utilisez uniquement le contrôle d’accès IAM pour la base de données.

  • Pour la table, la valeur qui attribue ALL (Super) à IAM_ALLOWED_PRINCIPALS n’est pas présente, ce qui indique un contrôle d’accès par les permissions de Lake Formation.

Vous pouvez passer d’une méthode d’accès à l’autre à tout moment en ajoutant ou en supprimant l’autorisation ALL (Super) définie sur IAM_ALLOWED_PRINCIPALS sur n’importe quelle ressource fédérée de Lake Formation.

Partage entre comptes à l’aide de Lake Formation

Cette section décrit comment partager une base de données gérée et une table fédérée gérée entre des comptes à l’aide de Lake Formation.

Vous pouvez partager une base de données gérée entre plusieurs comptes en procédant comme suit :

  1. Mettez à jour la version de partage de données entre comptes vers la version 4.

  2. Supprimez les autorisations Super définies sur IAM_ALLOWED_PRINCIPALS de la base de données si elles sont présentes pour passer au contrôle d’accès à Lake Formation.

  3. Accordez des autorisations Describe au compte externe sur la base de données.

  4. Si une ressource du catalogue de données est partagée avec vous Compte AWS et que votre compte n'appartient pas à la même AWS organisation que le compte de partage, acceptez l'invitation de partage de ressources provenant de AWS Resource Access Manager (AWS RAM). Pour plus d'informations, voir Accepter une invitation de partage de ressources depuis la AWS RAM.

Une fois ces étapes terminées, la base de données devrait être visible par le compte externe. Par défaut, le partage de la base de données ne donne accès à aucune table de la base de données.

Vous pouvez partager toutes les tables fédérées gérées ou certaines d’entre elles avec un compte externe en procédant comme suit :

  1. Mettez à jour la version de partage de données entre comptes vers la version 4.

  2. Supprimez les autorisations Super définies sur IAM_ALLOWED_PRINCIPALS de la table si elles sont présentes pour passer au contrôle d’accès à Lake Formation.

  3. (Facultatif) Spécifiez les filtres de données pour restreindre les colonnes ou les lignes.

  4. Accordez des autorisations Select au compte externe sur la table.

  5. Si une ressource du catalogue de données est partagée avec vous Compte AWS et que votre compte n'appartient pas à la même AWS organisation que le compte de partage, acceptez l'invitation de partage de ressources provenant de AWS Resource Access Manager (AWS RAM). Pour une organisation, vous pouvez l’accepter automatiquement à l’aide des paramètres RAM. Pour plus d'informations, voir Accepter une invitation de partage de ressources depuis la AWS RAM.

  6. La table devrait maintenant être visible. Pour activer les requêtes Amazon Athena sur cette table, créez un lien de ressource dans ce compte avec la table partagée.

Le compte propriétaire peut révoquer le partage à tout moment en supprimant les autorisations pour le compte externe de Lake Formation ou en désactivant la fédération dans. CloudTrail