管理 CloudTrail 湖泊聯合資源 AWS Lake Formation

聯合事件資料存放區時，會在中 CloudTrail 註冊聯合角色 ARN 和事件資料存放區 AWS Lake Formation，該服務負責允許對資料目錄中聯合資源進行精細存取控制。 AWS Glue 本節說明如何使用 Lake Formation 來管理 CloudTrail 湖泊聯合資源。

啟用聯合時，會在資 AWS Glue 料目錄中 CloudTrail 建立下列資源。

• 受管理的資料庫 — CloudTrail 使用aws:cloudtrail每個帳戶的名稱建立 1 個資料庫。 CloudTrail 管理數據庫。您無法刪除或修改中的資料庫 AWS Glue。

• 受管理的聯合資料表 — 為每個聯合事件資料存放區 CloudTrail 建立 1 個表格，並將事件資料存放區 ID 用於表格名稱。 CloudTrail 管理表格。您無法刪除或修改中的表格 AWS Glue。若要刪除資料表，您必須在事件資料存放區上停用聯合。

控制聯合資源的存取權限

您可以使用以下兩種許可方法之一來控制受管資料庫和資料表的存取權限。

• 僅限 IAM 存取控制 – 透過僅限 IAM 存取控制，帳戶中具有所需 IAM 許可的所有使用者均有權存取所有 Data Catalog 資源。如需如何使 AWS Glue 用 IAM 的詳細資訊，請參閱如 AWS Glue 何使用 IAM。

  在 Lake Formation 主控台上，此方法會顯示為僅限 IAM 存取控制。

  注意

  如果您要建立資料篩選條件並使用其他 Lake Formation 功能，則必須使用 Lake Formation 存取控制。

• Lake Formation 存取控制 – 此方法具備下列優點。

  • 您可以建立資料篩選條件，來實作資料欄層級、資料列層級和儲存格層級安全性。如需詳細資訊，請參閱AWS Lake Formation 開發人員指南中的使用列層級存取控制來保護資料湖的安全。

  • 只有 Lake Formation 管理員與資料庫和資源的建立者可以看到資料庫和資料表。如果其他使用者需要存取這些資源，您必須明確使用 Lake Formation 許可授予存取權限。

如需存取控制的詳細資訊，請參閱精細存取控制的方法。

決定聯合資源的許可方法

首次啟用聯合時，會使用 Lake Formation 資料湖設定 CloudTrail 建立受管理的資料庫和受管理的聯合表格。

CloudTrail 啟用聯合之後，您可以檢查這些資源的權限，以確認受管理資料庫和受管理的聯合資料表使用的權限方法。如果資源存在 ALL (Super) 至 IAM_ALLOWED_PRINCIPALS 的設定，則資源僅能由 IAM 許可管理。如果缺少該設定，則資源將由 Lake Formation 許可管理。如需 Lake Formation 許可的詳細資訊，請參閱 Lake Formation 許可參考。

受管資料庫和受管聯合資料表的許可方法可能不同。舉例來說，如果您檢查資料庫和資料表的值，可能會看到下列內容：

• 若為資料庫，則指派 ALL (Super) 至 IAM_ALLOWED_PRINCIPALS 的值會顯示在許可中，表示您正在對資料庫使用僅限 IAM 存取控制。

• 若為資料表，則不會顯示指派 ALL (Super) 至 IAM_ALLOWED_PRINCIPALS 的值，這表示透過 Lake Formation 許可進行存取控制。

您可以在 Lake Formation 中對任何聯合資源新增或移除 ALL (Super) 至 IAM_ALLOWED_PRINCIPALS 的許可，藉此隨時切換存取方法。

使用 Lake Formation 進行跨帳戶共用

本節說明如何使用 Lake Formation 跨帳戶共用受管資料庫和受管聯合資料表。

您可以執行下列步驟，以跨帳戶共用受管資料庫：

1. 將跨帳戶資料共用版本更新至第 4 版。

2. 從資料庫移除 Super 至 IAM_ALLOWED_PRINCIPALS 的許可 (如有)，以切換至 Lake Formation 存取控制。

3. 將 Describe 許可授予資料庫上的外部帳戶。

4. 如果資料目錄資源已與您共用， AWS 帳戶 且您的帳號與共用帳號不在同一個 AWS 組織中，請接受來自 AWS Resource Access Manager (AWS RAM) 的資源共用邀請。如需詳細資訊，請參閱接受來自 AWS RAM 的資源共用邀請。

完成這些步驟後，外部帳戶應該可以看到資料庫。依預設，共用資料庫未授予資料庫中任何資料表的存取權限。

您可以執行下列步驟，與外部帳戶共用所有或個別的受管聯合資料表：

1. 將跨帳戶資料共用版本更新至第 4 版。

2. 從資料表移除 Super 至 IAM_ALLOWED_PRINCIPALS 的許可 (如有)，以切換至 Lake Formation 存取控制。

3. (選用) 指定任何資料篩選條件，以限制資料欄或資料列。

4. 將 Select 許可授予資料表上的外部帳戶。

5. 如果資料目錄資源已與您共用， AWS 帳戶 且您的帳號與共用帳號不在同一個 AWS 組織中，請接受來自 AWS Resource Access Manager (AWS RAM) 的資源共用邀請。對於組織，您可以使用 RAM 設定來自動接受。如需詳細資訊，請參閱接受來自 AWS RAM 的資源共用邀請。

6. 您現在應該可以看到資料表。若要在此資料表上啟用 Amazon Athena 查詢，請在此帳戶中使用共用資料表建立資源連結。

擁有帳戶可以隨時撤銷共用，方法是從 Lake Formation 移除外部帳戶的權限，或停用中的聯合 CloudTrail。