Gestione delle risorse della federazione dei CloudTrail laghi con AWS Lake Formation

Quando si federa un Event Data Store, CloudTrail registra il ruolo di federazione ARN e Event Data Store AWS Lake Formation, il servizio responsabile di consentire il controllo granulare degli accessi alle risorse federate nel Data Catalog. AWS Glue Questa sezione descrive come utilizzare Lake Formation per gestire le risorse della CloudTrail Lake Federation.

Quando abiliti la federazione, CloudTrail crea le seguenti risorse nel AWS Glue Data Catalog.

• Database gestito: CloudTrail crea 1 database con il nome aws:cloudtrail per account. CloudTrail gestisce il database. Non è possibile eliminare o modificare il database in AWS Glue.

• Tabella federata gestita: CloudTrail crea 1 tabella per ogni data store federato di eventi e utilizza l'ID del data store degli eventi per il nome della tabella. CloudTrail gestisce le tabelle. Non è possibile eliminare o modificare le tabelle in AWS Glue. Per eliminare una tabella, è necessario disabilitare la federazione nel datastore di eventi.

Controllo dell'accesso alle risorse federate

È possibile utilizzare uno dei due metodi di autorizzazione per controllare l'accesso al database e alle tabelle gestiti.

• Solo controllo degli accessi IAM: con questa opzione, tutti gli utenti dell'account con le autorizzazioni IAM richieste hanno accesso a tutte le risorse del Catalogo dati. Per informazioni su come AWS Glue funziona con IAM, consulta How AWS Glue works with IAM.

  Sulla console Lake Formation, questo metodo ha il nome Usa solo il controllo degli accessi IAM.

  Nota

  Se desideri creare filtri di dati e utilizzare altre funzionalità di Lake Formation, devi utilizzare il controllo degli accessi di Lake Formation.

• Controllo degli accessi di Lake Formation: questo metodo offre i seguenti vantaggi.

  • Puoi implementare la sicurezza a livello di colonna, riga e cella tramite la creazione di filtri di dati. Per ulteriori informazioni, consulta Proteggere i data lake con il controllo degli accessi a livello di riga nella Guida per gli AWS Lake Formation sviluppatori.

  • Il database e le tabelle sono visibili solo agli amministratori di Lake Formation e ai creatori del database e delle risorse di Lake Formation. Se un altro utente deve accedere a queste risorse, devi concedere l'accesso utilizzando le autorizzazioni di Lake Formation in modo esplicito.

Per ulteriori informazioni sul controllo granulare degli accessi, consulta Metodi per il controllo granulare degli accessi.

Determinazione del metodo di autorizzazione per una risorsa federata

Quando abiliti la federazione per la prima volta, CloudTrail crea un database gestito e una tabella federata gestita utilizzando le impostazioni del data lake Lake Formation.

Dopo aver CloudTrail abilitato la federazione, puoi verificare quale metodo di autorizzazioni stai utilizzando per il database gestito e la tabella federata gestita controllando le autorizzazioni per tali risorse. Se per la risorsa è presente l'impostazione ALL (Super) per IAM_ALLOWED_PRINCIPALS , la risorsa viene gestita esclusivamente dalle autorizzazioni IAM. Se l'impostazione non è presente, la risorsa è gestita dalle autorizzazioni di Lake Formation. Per ulteriori informazioni sulle autorizzazioni di Lake Formation, consulta Documentazione di riferimento sulle autorizzazioni Lake Formation.

Il metodo di autorizzazione per il database e la tabella federata gestiti può essere diverso. Ad esempio, se controlli i valori del database e della tabella, potresti visualizzare i seguenti elementi:

• Per il database, se il valore ALL (Super) assegnato a IAM_ALLOWED_PRINCIPALS è presente nelle autorizzazioni significa che stai utilizzando solo il controllo degli accessi IAM per il database.

• Per la tabella, se il valore ALL (Super) assegnato a IAM_ALLOWED_PRINCIPALS non è presente, significa che il controllo degli accessi avviene tramite le autorizzazioni di Lake Formation.

Puoi passare da un metodo di accesso all'altro in qualsiasi momento aggiungendo o rimuovendo ALL (Super) all'autorizzazione di IAM_ALLOWED_PRINCIPALS su qualsiasi risorsa federata in Lake Formation.

Condivisione tra account tramite Lake Formation

In questa sezione viene descritto come condividere un database e una tabella federata gestiti tra account utilizzando Lake Formation.

Puoi condividere un database gestito tra più account seguendo questi passaggi:

1. Aggiorna la versione per la condivisione dei dati tra account alla versione 4.

2. Rimuovi Super dalle autorizzazioni IAM_ALLOWED_PRINCIPALS del database, se presenti, per passare al controllo degli accessi di Lake Formation.

3. Concedi autorizzazioni Describe all'account esterno sul database.

4. Se una risorsa del Data Catalog è condivisa con te Account AWS e il tuo account non fa parte della stessa AWS organizzazione dell'account di condivisione, accetta l'invito alla condivisione delle risorse da AWS Resource Access Manager (AWS RAM). Per ulteriori informazioni, consulta Accettazione di un invito alla condivisione di risorse dalla AWS RAM.

Dopo aver completato questi passaggi, il database dovrebbe essere visibile all'account esterno. Per impostazione predefinita, la condivisione del database non consente l'accesso ad alcuna tabella presente al suo interno.

Puoi condividere tutte le tabelle federate gestite o tabelle singole con un account esterno seguendo questi passaggi:

1. Aggiorna la versione per la condivisione dei dati tra account alla versione 4.

2. Rimuovi Super dalle autorizzazioni IAM_ALLOWED_PRINCIPALS della tabella, se presenti, per passare al controllo degli accessi di Lake Formation.

3. (Facoltativo) Specifica eventuali filtri di dati per limitare colonne o righe.

4. Concedi autorizzazioni Select all'account esterno sulla tabella.

5. Se una risorsa del Data Catalog è condivisa con il tuo account Account AWS e il tuo account non fa parte della stessa AWS organizzazione dell'account di condivisione, accetta l'invito alla condivisione delle risorse da AWS Resource Access Manager (AWS RAM). Per un'organizzazione, puoi accettare automaticamente l'invito utilizzando le impostazioni RAM. Per ulteriori informazioni, consulta Accettazione di un invito alla condivisione di risorse dalla AWS RAM.

6. La tabella dovrebbe ora essere visibile. Per abilitare le query di Amazon Athena su questa tabella, crea un link alla risorsa in questo account con la tabella condivisa.

L'account proprietario può revocare la condivisione in qualsiasi momento rimuovendo le autorizzazioni per l'account esterno da Lake Formation o disabilitando la federazione in. CloudTrail