Gerenciando os recursos da Federação do CloudTrail Lago com AWS Lake Formation

Quando você federa um armazenamento de dados de eventos, CloudTrail registra o ARN da função de federação e o armazenamento de dados de eventos em AWS Lake Formation, o serviço responsável por permitir o controle de acesso refinado dos recursos federados no Catálogo de Dados. AWS Glue Esta seção descreve como você pode usar o Lake Formation para gerenciar os recursos da federação CloudTrail Lake.

Quando você ativa a federação, CloudTrail cria os seguintes recursos no Catálogo AWS Glue de Dados.

• Banco de dados gerenciado — CloudTrail cria 1 banco de dados com o nome aws:cloudtrail por conta. CloudTrail gerencia o banco de dados. Você não pode excluir ou modificar o banco de dados em AWS Glue.

• Tabela federada gerenciada — CloudTrail cria 1 tabela para cada armazenamento de dados de eventos federados e usa a ID do armazenamento de dados de eventos para o nome da tabela. CloudTrail gerencia as tabelas. Você não pode excluir ou modificar as tabelas em AWS Glue. Para excluir uma tabela, você deve desabilitar a federação no armazenamento de dados de eventos.

Controlar o acesso aos recursos federados

Você pode usar um dos dois métodos de permissões para controlar o acesso ao banco de dados gerenciado e às tabelas.

• Controle de acesso somente do IAM: com o controle de acesso somente do IAM, todos os usuários na conta com as permissões necessárias do IAM têm acesso a todos os recursos do catálogo de dados. Para obter informações sobre como AWS Glue funciona com o IAM, consulte Como AWS Glue funciona com o IAM.

  No console do Lake Formation, esse método aparece como Use apenas controle de acesso do IAM.

  nota

  Se quiser criar filtros de dados e usar outros atributos do Lake Formation, você deve usar o controle de acesso do Lake Formation.

• Controle de acesso do Lake Formation: este método oferece as seguintes vantagens.

  • É possível implementar segurança por coluna, por linha e por célula ao criar filtros de dados.

  • O banco de dados e as tabelas só são visíveis para os administradores e criadores do banco de dados e dos recursos do Lake Formation. Se outro usuário precisar acessar esses recursos, você deverá conceder acesso explicitamente usando as permissões do Lake Formation.

Para obter mais informações sobre o controle de acesso, consulte Métodos de controle de acesso granular.

Determinar o método de permissões para um recurso federado

Quando você ativa a federação pela primeira vez, CloudTrail cria um banco de dados gerenciado e uma tabela federada gerenciada usando as configurações do data lake do Lake Formation.

Depois de CloudTrail habilitar a federação, você pode verificar qual método de permissões está usando para o banco de dados gerenciado e a tabela federada gerenciada verificando as permissões desses recursos. Se ALL (Super) da configuração IAM_ALLOWED_PRINCIPALS estiver presente para o recurso, ele será gerenciado exclusivamente pelas permissões do IAM. Se a configuração estiver ausente, o recurso será gerenciado pelas permissões do Lake Formation. Para obter mais informações sobre as permissões do Lake Formation, consulte a Referência de permissões do Lake Formation.

O método de permissões para o banco de dados gerenciado e a tabela federada gerenciada pode ser diferente. Por exemplo, se você verificar os valores do banco de dados e da tabela, poderá ver o seguinte:

• Para o banco de dados, o valor atribuído a ALL (Super) para IAM_ALLOWED_PRINCIPALS está presente nas permissões, indicando que você está usando apenas o controle de acesso do IAM para o banco de dados.

• Para a tabela, o valor que atribui ALL (Super) a IAM_ALLOWED_PRINCIPALS não está presente, indicando o controle de acesso pelas permissões do Lake Formation.

Você pode alternar entre os métodos de acesso a qualquer momento, adicionando ou removendo ALL (Super) à permissão IAM_ALLOWED_PRINCIPALS em qualquer recurso federado no Lake Formation.

Compartilhamento entre contas no Lake Formation

Esta seção descreve como compartilhar um banco de dados gerenciado e uma tabela federada gerenciada entre contas usando o Lake Formation.

Você pode compartilhar um banco de dados gerenciado entre contas seguindo estas etapas:

1. Atualize a versão de compartilhamento de dados entre contas para 4.

2. Remova Super das permissões IAM_ALLOWED_PRINCIPALS do banco de dados, se houver, para alternar para o controle de acesso do Lake Formation.

3. Conceda permissões Describe para a conta externa no banco de dados.

4. Se um recurso do Catálogo de Dados for compartilhado com você Conta da AWS e sua conta não estiver na mesma AWS organização da conta de compartilhamento, aceite o convite de compartilhamento de recursos AWS Resource Access Manager (AWS RAM). Para obter mais informações, consulte Aceitar um convite de compartilhamento de recursos da AWS RAM.

Depois de concluir essas etapas, o banco de dados deverá estar visível para a conta externa. Por padrão, o compartilhamento do banco de dados não dá acesso a nenhuma tabela no banco de dados.

Você pode compartilhar todas as tabelas federadas gerenciadas ou individuais com uma conta externa seguindo estas etapas:

1. Atualize a versão de compartilhamento de dados entre contas para 4.

2. Remova Super das permissões IAM_ALLOWED_PRINCIPALS da tabela, se houver, para alternar para o controle de acesso do Lake Formation.

3. (Opcional) Especifique filtros de dados para restringir colunas ou linhas.

4. Conceda permissões Select para a conta externa na tabela.

5. Se um recurso do Catálogo de Dados for compartilhado com você Conta da AWS e sua conta não estiver na mesma AWS organização da conta de compartilhamento, aceite o convite de compartilhamento de recursos AWS Resource Access Manager (AWS RAM). Para uma organização, você pode aceitar automaticamente o uso das configurações de RAM. Para obter mais informações, consulte Aceitar um convite de compartilhamento de recursos da AWS RAM.

6. A tabela agora deverá estar visível. Para habilitar consultas do Amazon Athena nessa tabela, crie um link de recurso nesta conta com a tabela compartilhada.

A conta proprietária pode revogar o compartilhamento a qualquer momento removendo as permissões da conta externa do Lake Formation ou desativando a federação em. CloudTrail