Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Federasi toko data acara
Menggabungkan penyimpanan data peristiwa memungkinkan Anda melihat metadata yang terkait dengan penyimpanan data peristiwa di Katalog Data, mendaftarkan Katalog AWS Glue Data dengan AWS Lake Formation, dan memungkinkan Anda menjalankan SQL kueri terhadap data peristiwa menggunakan Amazon Athena. Metadata tabel yang disimpan dalam Katalog AWS Glue Data memungkinkan mesin kueri Athena mengetahui cara menemukan, membaca, dan memproses data yang ingin Anda kueri.
Anda dapat mengaktifkan federasi dengan menggunakan CloudTrail konsol, AWS CLI, atau EnableFederationAPIoperasi. Saat Anda mengaktifkan federasi kueri Lake, CloudTrail buat database terkelola bernama aws:cloudtrail (jika database belum ada) dan tabel federasi terkelola dalam Katalog AWS Glue Data. ID penyimpanan data acara digunakan untuk nama tabel. CloudTrail mendaftarkan peran federasi ARN dan penyimpanan data acara di AWS Lake Formation, layanan yang bertanggung jawab untuk mengizinkan kontrol akses berbutir halus dari sumber daya federasi dalam Katalog Data. AWS Glue
Untuk mengaktifkan federasi kueri Danau, Anda harus membuat IAM peran baru atau memilih peran yang ada. Lake Formation menggunakan peran ini untuk mengelola izin penyimpanan data acara federasi. Saat Anda membuat peran baru menggunakan CloudTrail konsol, CloudTrail secara otomatis membuat izin yang diperlukan untuk peran tersebut. Jika Anda memilih peran yang ada, pastikan peran tersebut memberikan izin minimum.
Anda dapat menonaktifkan federasi dengan menggunakan CloudTrail konsol, AWS CLI, atau DisableFederationAPIoperasi. Saat Anda menonaktifkan federasi, CloudTrail menonaktifkan integrasi dengan AWS Glue, AWS Lake Formation, dan Amazon Athena. Setelah menonaktifkan federasi kueri Danau, Anda tidak dapat lagi menanyakan data acara Anda di Athena. Tidak ada data CloudTrail Danau yang dihapus saat Anda menonaktifkan federasi dan Anda dapat terus menjalankan kueri di CloudTrail Danau.
Tidak ada CloudTrail biaya untuk federasi penyimpanan data acara CloudTrail Lake. Ada biaya untuk menjalankan kueri di Amazon Athena. Untuk informasi lebih lanjut tentang harga Athena, lihat Harga Amazon Athena
Topik
Pertimbangan
Pertimbangkan faktor-faktor berikut saat menggabungkan penyimpanan data acara:
-
Tidak ada CloudTrail biaya untuk federasi penyimpanan data acara CloudTrail Lake. Ada biaya untuk menjalankan kueri di Amazon Athena. Untuk informasi lebih lanjut tentang harga Athena, lihat Harga Amazon Athena
. -
Lake Formation digunakan untuk mengelola izin untuk sumber daya federasi. Jika Anda menghapus peran federasi, atau mencabut izin ke sumber daya dari Lake Formation atau AWS Glue, Anda tidak dapat menjalankan kueri dari Athena. Untuk informasi lebih lanjut tentang bekerja dengan Lake Formation, lihatMengelola sumber daya federasi CloudTrail Danau dengan AWS Lake Formation.
-
Siapa pun yang menggunakan Amazon Athena untuk menanyakan data yang terdaftar di Lake Formation harus memiliki kebijakan IAM izin yang memungkinkan tindakan tersebut.
lakeformation:GetDataAccessKebijakan AWS terkelola: AmazonAthenaFullAccessmemungkinkan tindakan ini. Jika Anda menggunakan kebijakan inline, pastikan untuk memperbarui kebijakan izin untuk mengizinkan tindakan ini. Untuk informasi selengkapnya, lihat Mengelola Formasi Danau dan izin pengguna Athena. -
Untuk membuat tampilan pada tabel federasi di Athena, Anda memerlukan database tujuan selain.
aws:cloudtrailIni karenaaws:cloudtraildatabase dikelola oleh CloudTrail. -
Untuk membuat kumpulan data di Amazon QuickSight, Anda harus memilih SQL opsi Gunakan kustom. Untuk informasi selengkapnya, lihat Membuat kumpulan data menggunakan data Amazon Athena.
-
Jika federasi diaktifkan, Anda tidak dapat menghapus penyimpanan data acara. Untuk menghapus penyimpanan data acara federasi, Anda harus terlebih dahulu menonaktifkan federasi dan perlindungan penghentian jika diaktifkan.
-
Pertimbangan berikut berlaku untuk penyimpanan data acara organisasi:
-
Hanya satu akun administrator yang didelegasikan atau akun manajemen yang dapat mengaktifkan federasi pada penyimpanan data acara organisasi. Akun administrator lain yang didelegasikan masih dapat menanyakan dan berbagi informasi menggunakan fitur berbagi data Lake Formation.
-
Setiap akun administrator yang didelegasikan atau akun manajemen organisasi dapat menonaktifkan federasi.
-
Izin yang diperlukan untuk federasi
Sebelum membuat federasi penyimpanan data acara, pastikan Anda memiliki semua izin yang diperlukan untuk peran federasi dan untuk mengaktifkan dan menonaktifkan federasi. Anda hanya perlu memperbarui izin peran federasi jika Anda memilih IAM peran yang ada untuk mengaktifkan federasi. Jika Anda memilih untuk membuat IAM peran baru menggunakan CloudTrail konsol, CloudTrail berikan semua izin yang diperlukan untuk peran tersebut.
Topik
IAMizin untuk federasi penyimpanan data acara
Saat mengaktifkan federasi, Anda memiliki opsi untuk membuat IAM peran baru, atau menggunakan IAM peran yang sudah ada. Saat Anda memilih peran baru, CloudTrail buat IAM IAM peran dengan izin yang diperlukan dan tidak ada tindakan lebih lanjut yang diperlukan di pihak Anda.
Jika Anda memilih peran yang ada, pastikan kebijakan IAM peran memberikan izin yang diperlukan untuk mengaktifkan federasi. Bagian ini memberikan contoh izin IAM peran dan kebijakan kepercayaan yang diperlukan.
Contoh berikut memberikan kebijakan izin untuk peran federasi. Untuk pernyataan pertama berikan lengkap ARN penyimpanan data acara Anda untukResource.
Pernyataan kedua dalam kebijakan ini memungkinkan Lake Formation untuk mendekripsi data untuk penyimpanan data peristiwa yang dienkripsi dengan kunci. KMS Ganti key-region, account-id, dan key-id dengan nilai-nilai untuk KMS kunci Anda. Anda dapat menghilangkan pernyataan ini jika penyimpanan data acara Anda tidak menggunakan KMS kunci untuk enkripsi.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFederationEDSDataAccess", "Effect": "Allow", "Action": "cloudtrail:GetEventDataStoreData", "Resource": "arn:aws:cloudtrail:eds-region:account-id:eventdatastore/eds-id" }, { "Sid": "LakeFederationKMSDecryptAccess", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:key-region:account-id:key/key-id" } ] }
Contoh berikut memberikan kebijakan IAM kepercayaan, yang memungkinkan AWS Lake Formation untuk mengambil IAM peran untuk mengelola izin untuk penyimpanan data acara gabungan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lakeformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Izin yang diperlukan untuk mengaktifkan federasi
Kebijakan contoh berikut memberikan izin minimum yang diperlukan untuk mengaktifkan federasi pada penyimpanan data acara. Kebijakan ini memungkinkan CloudTrail untuk mengaktifkan federasi pada penyimpanan data acara, AWS Glue untuk membuat sumber daya federasi dalam Katalog AWS Glue Data, dan AWS Lake Formation mengelola pendaftaran sumber daya.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudTrailEnableFederation", "Effect": "Allow", "Action": "cloudtrail:EnableFederation", "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" }, { "Sid": "FederationRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole", "iam:GetRole" ], "Resource": "arn:aws:iam::region:role/federation-role-name" }, { "Sid": "GlueResourceCreation", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:CreateTable", "glue:PassConnection" ], "Resource": [ "arn:aws:glue:region:account-id:catalog", "arn:aws:glue:region:account-id:database/aws:cloudtrail", "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id", "arn:aws:glue:region:account-id:connection/aws:cloudtrail" ] }, { "Sid": "LakeFormationRegistration", "Effect": "Allow", "Action": [ "lakeformation:RegisterResource", "lakeformation:DeregisterResource" ], "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id" } ] }
Izin yang diperlukan untuk menonaktifkan federasi
Contoh kebijakan berikut menyediakan sumber daya minimum yang diperlukan untuk menonaktifkan federasi pada penyimpanan data acara. Kebijakan ini memungkinkan CloudTrail untuk menonaktifkan federasi pada penyimpanan data peristiwa, AWS Glue menghapus tabel federasi terkelola dalam Katalog AWS Glue Data, dan Lake Formation untuk membatalkan pendaftaran sumber daya federasi.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudTrailDisableFederation", "Effect": "Allow", "Action": "cloudtrail:DisableFederation", "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" }, { "Sid": "GlueTableDeletion", "Effect": "Allow", "Action": "glue:DeleteTable", "Resource": [ "arn:aws:glue:region:account-id:catalog", "arn:aws:glue:region:account-id:database/aws:cloudtrail", "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id" ] }, { "Sid": "LakeFormationDeregistration", "Effect": "Allow", "Action": "lakeformation:DeregisterResource", "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id" } ] }
