使用管理 CloudTrail 湖联盟资源 AWS Lake Formation - AWS CloudTrail
控制对联合资源的访问权确定联合资源的权限方法使用 Lake Formation 进行跨账户共享

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用管理 CloudTrail 湖联盟资源 AWS Lake Formation

联合事件数据存储时,在其中 CloudTrail 注册联合角色 ARN 和事件数据存储,该服务负责允许对数据目录 AWS Lake Formation中的联合资源进行精细访问控制。 AWS Glue 本节介绍如何使用 Lake Formation 来管理 CloudTrail 湖联盟资源。

启用联合后, CloudTrail 将在 AWS Glue 数据目录中创建以下资源。

  • 托管数据库-使用aws:cloudtrail每个账户的名称 CloudTrail 创建 1 个数据库。 CloudTrail 管理数据库。您无法在中删除或修改数据库 AWS Glue。

  • 托管联合表-为每个联合事件数据存储 CloudTrail 创建 1 个表,并使用事件数据存储 ID 作为表名。 CloudTrail 管理表。您无法删除或修改中的表 AWS Glue。要删除表,您必须在事件数据存储上禁用联合身份验证

控制对联合资源的访问权

您可以使用两种权限方法中的一种来控制对托管数据库和表的访问权。

  • 仅限 IAM 访问控制 – 通过仅限 IAM 访问控制,账户中具有所需 IAM 权限的所有用户均可访问所有数据目录资源。有关如何 AWS Glue 使用 IAM 的信息,请参阅如何 AWS Glue 使用 IAM

    在 Lake Formation 控制台上,此方法显示为仅使用 IAM 访问控制

    注意

    如果要创建数据筛选条件并使用其他 Lake Formation 功能,必须使用 Lake Formation 访问控制。

  • Lake Formation 访问控制 – 这种方法具有以下优势。

有关访问控制的更多信息,请参阅精细访问控制的方法

确定联合资源的权限方法

首次启用联合时,使用您的 Lake Formation 数据湖设置 CloudTrail 创建托管数据库和托管联合表。

CloudTrail 启用联合后,您可以通过检查托管数据库和托管联合表的权限来验证您对托管数据库和托管联合表使用的是哪种权限方法。如果资源存在 ALLSuper)到 IAM_ALLOWED_PRINCIPALS 设置,则该资源将由 IAM 权限独家管理。如果缺少该设置,则资源将由 Lake Formation 权限管理。有关 Lake Formation 权限的更多信息,请参阅 Lake Formation 权限参考

托管数据库和托管联合表的权限方法可能有所不同。例如,如果您检查数据库和表的值,可能会看到以下内容:

  • 对于数据库,将 ALLSuper)分配给 IAM_ALLOWED_PRINCIPALS 的值存在于权限中,表示您对数据库使用仅限 IAM 访问控制。

  • 对于表,将 ALLSuper)分配给 IAM_ALLOWED_PRINCIPALS 的值不存在,表示通过 Lake Formation 权限进行访问控制。

您可以随时在访问方法之间切换,方法是在 Lake Formation 中的任何联合资源上添加或移除 ALLSuper)到 IAM_ALLOWED_PRINCIPALS 权限。

使用 Lake Formation 进行跨账户共享

本部分介绍如何使用 Lake Formation 在账户之间共享托管数据库和托管联合表。

通过执行以下步骤,您可以跨账户共享托管数据库:

  1. 跨账户数据共享版本更新为版本 4。

  2. 从数据库中移除 SuperIAM_ALLOWED_PRINCIPALS 权限(如果有),以切换到 Lake Formation 访问控制。

  3. 向数据库上的外部账户授予 Describe 权限。

  4. 如果与您共享了数据目录资源, AWS 账户 并且您的账户与共享账户不在同一个 AWS 组织中,请接受 AWS Resource Access Manager (AWS RAM) 的资源共享邀请。有关更多信息,请参阅接受 AWS RAM 的资源共享邀请

完成这些步骤后,数据库应对外部账户可见。默认情况下,共享数据库不允许访问数据库中的任何表。

您可以通过执行以下步骤与外部账户共享所有托管联合表或单个托管联合表:

  1. 跨账户数据共享版本更新为版本 4。

  2. 从表中移除 SuperIAM_ALLOWED_PRINCIPALS 权限(如果有),以切换到 Lake Formation 访问控制。

  3. (可选)指定任何数据筛选条件以限制列或行。

  4. 向表上的外部账户授予 Select 权限。

  5. 如果与您共享了数据目录资源, AWS 账户 并且您的账户与共享账户不在同一个 AWS 组织中,请接受 AWS Resource Access Manager (AWS RAM) 的资源共享邀请。对于组织,您可以使用 RAM 设置来自动接受。有关更多信息,请参阅接受 AWS RAM 的资源共享邀请

  6. 表格现在应可见。要在此表上启用 Amazon Athena 查询,请使用共享表在此账户中创建资源链接

拥有者账户可以随时撤消共享,方法是从 Lake Formation 中删除外部账户的权限,或者在中禁用联合。 CloudTrail