Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verbund für einen Ereignisdatenspeicher erstellen
<a name="query-federation"></a>

**Anmerkung**  
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).

Durch das Zusammenführen eines Ereignisdatenspeichers können Sie die mit dem Ereignisdatenspeicher verknüpften Metadaten im AWS Glue [Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) anzeigen, den Datenkatalog registrieren und mithilfe von Amazon Athena SQL-Abfragen für Ihre Ereignisdaten ausführen. AWS Lake Formation Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. 

Sie können den Verbund mithilfe der CloudTrail Konsole oder der [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html)API-Operation aktivieren. AWS CLI Wenn Sie den Lake-Abfrageverbund aktivieren, werden eine verwaltete Datenbank mit dem Namen `aws:cloudtrail` (falls die Datenbank noch nicht vorhanden ist) und eine verwaltete Verbundtabelle im AWS Glue Datenkatalog CloudTrail erstellt. Die ID des Ereignisdatenspeichers wird für den Tabellennamen verwendet. CloudTrail registriert den ARN der Verbundrolle und den Ereignisdatenspeicher in [AWS Lake Formation](query-federation-lake-formation.md), dem Dienst, der für die detaillierte Zugriffskontrolle der Verbundressourcen im AWS Glue Datenkatalog verantwortlich ist.

Um Lake-Abfrageverbund zu aktivieren, müssen Sie eine neue IAM-Rolle erstellen oder eine vorhandene Rolle auswählen. Lake Formation verwendet diese Rolle, um Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mithilfe der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail werden automatisch die erforderlichen Berechtigungen für die Rolle erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Rolle die [Mindestberechtigungen](#query-federation-permissions-role) vorsieht.

Sie können den Verbund mithilfe der CloudTrail Konsole oder der [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html)API-Operation deaktivieren. AWS CLI Wenn Sie den Verbund CloudTrail deaktivieren, wird die Integration mit AWS Glue AWS Lake Formation, und Amazon Athena deaktiviert. Nachdem Sie den Lake-Abfrageverbund deaktiviert haben, können Sie Ihre Ereignisdaten in Athena nicht mehr abfragen. Wenn Sie den Verbund deaktivieren, werden keine CloudTrail Lake-Daten gelöscht und Sie können weiterhin Abfragen in CloudTrail Lake ausführen.

Für die Zusammenführung eines CloudTrail Lake-Ereignisdatenspeichers CloudTrail fallen keine Gebühren an. Für die Ausführung von Abfragen in Amazon Athena fallen Kosten an. Weitere Informationen zur Preisgestaltung von Athena finden Sie unter [Amazon Athena – Preise](https://aws.amazon.com/athena/pricing/).

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/cOeZaJt_k-w?si=4LsEgq23NNHSJAAg/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/cOeZaJt_k-w?si=4LsEgq23NNHSJAAg)


**Topics**
+ [Überlegungen](#query-federation-considerations)
+ [Erforderliche Berechtigungen für den Verbund](#query-federation-permissions)
+ [Lake-Abfrageverbund aktivieren](query-enable-federation.md)
+ [Lake-Abfrageverbund deaktivieren](query-disable-federation.md)
+ [Verwaltung der Ressourcen von CloudTrail Lake Federation mit AWS Lake Formation](query-federation-lake-formation.md)

## Überlegungen
<a name="query-federation-considerations"></a>

Berücksichtigen Sie bei der Verbunderstellung eines Ereignisdatenspeichers die folgenden Faktoren:
+ Für die Zusammenführung eines CloudTrail Lake-Event-Datenspeichers CloudTrail fallen keine Gebühren an. Für die Ausführung von Abfragen in Amazon Athena fallen Kosten an. Weitere Informationen zur Preisgestaltung von Athena finden Sie unter [Amazon Athena – Preise](https://aws.amazon.com/athena/pricing/).
+ Lake Formation wird verwendet, um Berechtigungen für die Verbundressourcen zu verwalten. Wenn Sie die Verbundrolle löschen oder die Berechtigungen für die Ressourcen von Lake Formation widerrufen oder AWS Glue, können Sie keine Abfragen von Athena ausführen. Weitere Informationen zur Arbeit mit Lake Formation finden Sie unter [Verwaltung der Ressourcen von CloudTrail Lake Federation mit AWS Lake Formation](query-federation-lake-formation.md). 
+ Jeder, der Amazon Athena zum Abfragen von bei Lake Formation registrierten Daten verwendet, muss über eine IAM-Berechtigungsrichtlinie verfügen, die die `lakeformation:GetDataAccess`-Aktion zulässt. Die AWS verwaltete Richtlinie: [https://docs.aws.amazon.com/athena/latest/ug/managed-policies.html#amazonathenafullaccess-managed-policy](https://docs.aws.amazon.com/athena/latest/ug/managed-policies.html#amazonathenafullaccess-managed-policy)ermöglicht diese Aktion. Wenn Sie eingebundenen Richtlinien verwenden, stellen Sie sicher, dass Sie die Berechtigungsrichtlinien aktualisieren, um diese Aktion zuzulassen. Weitere Informationen finden Sie unter [Verwalten von Lake-Formation- und Athena-Benutzerberechtigungen](https://docs.aws.amazon.com/athena/latest/ug/lf-athena-user-permissions.html).
+ Um Ansichten für Verbundtabellen in Athena zu erstellen, benötigen Sie eine andere Zieldatenbank als `aws:cloudtrail`. Das liegt daran, dass die `aws:cloudtrail` Datenbank von verwaltet wird CloudTrail.
+ Um einen Datensatz in Amazon Quick zu erstellen, müssen Sie die Option **Benutzerdefiniertes SQL verwenden** wählen. Weitere Informationen finden Sie unter [Erstellen eines Datensatzes mit Amazon-Athena-Daten](https://docs.aws.amazon.com/quicksight/latest/user/create-a-data-set-athena.html).
+ Wenn der Verbund aktiviert ist, können Sie einen Ereignisdatenspeicher nicht löschen. Um einen Verbundereignisdatenspeicher zu löschen, müssen Sie zunächst den [Verbund](query-disable-federation.md) und den [Beendigungsschutz deaktivieren](query-eds-termination-protection.md), falls dieser aktiviert ist.
+ Für Ereignisdatenspeicher von Organisationen gelten die folgenden Überlegungen:
  + Nur ein einziges delegiertes Administratorkonto oder das Verwaltungskonto können den Verbund für den Ereignisdatenspeicher einer Organisation aktivieren. Andere delegierte Administratorkonten können mithilfe des [Lake-Formation-Datenfreigabefeatures](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html) immer noch Informationen abfragen und austauschen.
  + Jedes delegierte Administratorkonto oder das Verwaltungskonto der Organisation können den Verbund deaktivieren.

## Erforderliche Berechtigungen für den Verbund
<a name="query-federation-permissions"></a>

Bevor Sie einen Verbund des Ereignisdatenspeichers erstellen, stellen Sie sicher, dass Sie über alle erforderlichen Berechtigungen für die Verbundrolle und für die Aktivierung und Deaktivierung des Verbunds verfügen. Sie müssen die Berechtigungen für die Verbundrolle nur aktualisieren, wenn Sie eine bestehende IAM-Rolle für die Aktivierung des Verbunds auswählen. Wenn Sie sich dafür entscheiden, eine neue IAM-Rolle mithilfe der CloudTrail Konsole zu erstellen, CloudTrail werden alle erforderlichen Berechtigungen für die Rolle bereitgestellt.

**Topics**
+ [IAM-Berechtigungen für den Verbund eines Ereignisdatenspeichers](#query-federation-permissions-role)
+ [Erforderliche Berechtigungen für das Aktivieren des Verbunds](#query-federation-permissions-enable)
+ [Erforderliche Berechtigungen für das Deaktivieren des Verbunds](#query-federation-permissions-disable)

### IAM-Berechtigungen für den Verbund eines Ereignisdatenspeichers
<a name="query-federation-permissions-role"></a>

Beim Aktivieren des Verbunds haben Sie die Möglichkeit, eine neue IAM-Rolle zu erstellen oder eine vorhandene IAM-Rolle zu verwenden. Wenn Sie eine neue IAM-Rolle auswählen, CloudTrail wird eine IAM-Rolle mit den erforderlichen Berechtigungen erstellt, sodass keine weiteren Maßnahmen Ihrerseits erforderlich sind.

Wenn Sie eine vorhandene Rolle auswählen, stellen Sie sicher, dass die Richtlinien der IAM-Rolle über die erforderlichen Berechtigungen verfügen, um den Verbund zu aktivieren. Dieser Abschnitt enthält Beispiele für die erforderlichen IAM-Rollenberechtigungen und Vertrauensrichtlinien.

Das folgende Beispiel enthält die Berechtigungsrichtlinie für die Verbundrolle. Geben Sie für die erste Anweisung den vollständigen ARN Ihres Ereignisdatenspeichers für `Resource` an.

Die zweite Aussage in dieser Richtlinie ermöglicht Lake Formation, Daten für einen mit einem KMS-Schlüssel verschlüsselten Ereignisdatenspeicher zu entschlüsseln. Ersetzen Sie *key-region**account-id*, und *key-id* durch die Werte für Ihren KMS-Schlüssel. Sie können diese Anweisung weglassen, wenn der Ereignisdatenspeicher keinen KMS-Schlüssel für die Verschlüsselung verwendet.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "LakeFederationEDSDataAccess",
            "Effect": "Allow",
            "Action": "cloudtrail:GetEventDataStoreData",
            "Resource": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
        },
        {
            "Sid": "LakeFederationKMSDecryptAccess",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111111111111:key/key-id"
        }
    ]
}
```

------

Im folgenden Beispiel wird die IAM-Vertrauensrichtlinie bereitgestellt, die es AWS Lake Formation ermöglicht, eine IAM-Rolle zur Verwaltung von Berechtigungen für den Verbundereignisdatenspeicher anzunehmen. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lakeformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

### Erforderliche Berechtigungen für das Aktivieren des Verbunds
<a name="query-federation-permissions-enable"></a>

Die folgende Beispielrichtlinie bietet die mindestens erforderlichen Berechtigungen, um den Verbund für einen Ereignisdatenspeicher zu aktivieren. Diese Richtlinie ermöglicht es CloudTrail , den Verbund im Ereignisdatenspeicher AWS Glue zu aktivieren, die Verbundressourcen im AWS Glue Datenkatalog zu erstellen und die Ressourcenregistrierung AWS Lake Formation zu verwalten.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CloudTrailEnableFederation",
            "Effect": "Allow",
            "Action": "cloudtrail:EnableFederation",
            "Resource": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
        },
        {
            "Sid": "FederationRoleAccess",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole",
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/federation-role-name"
        },
        {
            "Sid": "GlueResourceCreation",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:CreateTable",
                "glue:PassConnection"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111111111111:catalog",
                "arn:aws:glue:us-east-1:111111111111:database/aws:cloudtrail",
                "arn:aws:glue:us-east-1:111111111111:table/aws:cloudtrail/eds-id",
                "arn:aws:glue:us-east-1:111111111111:connection/aws:cloudtrail"
            ]
        },
        {
            "Sid": "LakeFormationRegistration",
            "Effect": "Allow",
            "Action": [
                "lakeformation:RegisterResource",
                "lakeformation:DeregisterResource"
            ],
            "Resource": "arn:aws:lakeformation:region:111111111111:catalog:111111111111"
        }
    ]
}
```

------

### Erforderliche Berechtigungen für das Deaktivieren des Verbunds
<a name="query-federation-permissions-disable"></a>

Die folgende Beispielrichtlinie bietet die mindestens erforderlichen Ressourcen, um den Verbund für einen Ereignisdatenspeicher zu deaktivieren. Diese Richtlinie ermöglicht es, den Verbund im Ereignisdatenspeicher CloudTrail AWS Glue zu deaktivieren, die verwaltete Verbundtabelle im AWS Glue Datenkatalog zu löschen und Lake Formation die Registrierung der Verbundressource aufzuheben.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CloudTrailDisableFederation",
            "Effect": "Allow",
            "Action": "cloudtrail:DisableFederation",
            "Resource": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
        },
        {
            "Sid": "GlueTableDeletion",
            "Effect": "Allow",
            "Action": "glue:DeleteTable",
            "Resource": [
                "arn:aws:glue:us-east-1:111111111111:catalog",
                "arn:aws:glue:us-east-1:111111111111:database/aws:cloudtrail",
                "arn:aws:glue:us-east-1:111111111111:table/aws:cloudtrail/eds-id"
            ]
        },
        {
            "Sid": "LakeFormationDeregistration",
            "Effect": "Allow",
            "Action": "lakeformation:DeregisterResource",
            "Resource": "arn:aws:lakeformation:us-east-1:111111111111:catalog:111111111111"
        }
    ]
}
```

------

# Lake-Abfrageverbund aktivieren
<a name="query-enable-federation"></a>

**Anmerkung**  
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).

Sie können den Lake-Abfrageverbund mithilfe der CloudTrail Konsole oder der [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html)API-Operation aktivieren. AWS CLI Wenn Sie den Lake-Abfrageverbund aktivieren, werden eine verwaltete Datenbank mit dem Namen `aws:cloudtrail` (falls die Datenbank noch nicht vorhanden ist) und eine verwaltete Verbundtabelle im AWS Glue Datenkatalog CloudTrail erstellt. Die ID des Ereignisdatenspeichers wird für den Tabellennamen verwendet. CloudTrail registriert den ARN der Verbundrolle und den Ereignisdatenspeicher in [AWS Lake Formation](query-federation-lake-formation.md), dem Dienst, der für die detaillierte Zugriffskontrolle der Verbundressourcen im AWS Glue Datenkatalog verantwortlich ist.

In diesem Abschnitt wird beschrieben, wie Sie den Verbund mithilfe der CloudTrail Konsole und aktivieren. AWS CLI

------
#### [ CloudTrail console ]

Das folgende Verfahren zeigt, wie Sie den Lake-Abfrageverbund für einen vorhandenen Ereignisdatenspeicher aktivieren.

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.

1. Wählen Sie den Ereignisdatenspeicher, den Sie aktualisieren möchten. Diese Aktion öffnet die Detailseite des Ereignisdatenspeichers.

1. Wählen Sie in **Lake-Abfrageverbund** die Option **Bearbeiten** und dann **Aktivieren** aus.

1. Wählen Sie, ob Sie eine neue IAM-Rolle erstellen oder eine vorhandene Rolle verwenden möchten. Wenn Sie eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle verwenden, stellen Sie sicher, dass die Richtlinie für die Rolle die [erforderlichen Mindestberechtigungen](query-federation.md#query-federation-permissions-role) vorsieht.

1.  Wenn Sie eine neue IAM-Rolle erstellen, geben Sie einen Namen für die Rolle ein. 

1.  Wenn Sie eine bestehende IAM-Rolle wählen, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein. 

1. Wählen Sie **Änderungen speichern ** aus. Der **Verbundstatus** ändert sich in `Enabled`.

------
#### [ AWS CLI ]

Um den Verbund zu aktivieren, führen Sie den Befehl **aws cloudtrail enable-federation** aus und geben Sie die erforderlichen Parameter **--event-data-store** und **--role** ein. Geben Sie für **--event-data-store** den ARN des Ereignisdatenspeichers (oder das ID-Suffix des ARN) an. Geben Sie für **--role** den ARN für Ihre Verbundrolle an. Die Rolle muss in Ihrem Konto vorhanden sein und über die [erforderlichen Mindestberechtigungen verfügen](query-federation.md#query-federation-permissions-role).

```
aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name
```

Dieses Beispiel zeigt, wie ein delegierter Administrator den Verbund für den Ereignisdatenspeicher einer Organisation aktivieren kann, indem er den ARN des Ereignisdatenspeichers im Verwaltungskonto und den ARN der Verbundrolle im delegierten Administratorkonto angibt.

```
aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
```

------

# Lake-Abfrageverbund deaktivieren
<a name="query-disable-federation"></a>

**Anmerkung**  
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).

Sie können den Verbund mithilfe der CloudTrail Konsole oder der [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html)API-Operation deaktivieren. AWS CLI Wenn Sie den Verbund CloudTrail deaktivieren, wird die Integration mit AWS Glue AWS Lake Formation, und Amazon Athena deaktiviert. Nachdem Sie den Lake-Abfrageverbund deaktiviert haben, können Sie Ihre Ereignisdaten in Athena nicht mehr abfragen. Wenn Sie den Verbund deaktivieren, werden keine CloudTrail Lake-Daten gelöscht und Sie können weiterhin Abfragen in CloudTrail Lake ausführen.

In diesem Abschnitt wird beschrieben, wie Sie den Verbund mithilfe der CloudTrail Konsole und deaktivieren AWS CLI.

------
#### [ CloudTrail console ]

Das folgende Verfahren zeigt, wie Sie den Lake-Abfrageverbund für einen vorhandenen Ereignisdatenspeicher deaktivieren.

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.

1. Wählen Sie den Ereignisdatenspeicher, den Sie aktualisieren möchten. Diese Aktion öffnet die Detailseite des Ereignisdatenspeichers.

1. Wählen Sie in **Lake-Abfrageverbund** die Option **Bearbeiten** und dann **Deaktivieren** aus.

1. Wählen Sie **Änderungen speichern ** aus. Der **Verbundstatus** ändert sich in `Disabled`.

------
#### [ AWS CLI ]

Führen Sie den Befehl **aws cloudtrail disable-federation** aus, um den Verbund im Ereignisdatenspeicher zu deaktivieren. Der Ereignisdatenspeicher wird durch `--event-data-store` angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert.

```
aws cloudtrail disable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
```

**Anmerkung**  
Wenn es sich um den Ereignisdatenspeicher einer Organisation handelt, geben Sie die Konto-ID für das Verwaltungskonto an.

------

# Verwaltung der Ressourcen von CloudTrail Lake Federation mit AWS Lake Formation
<a name="query-federation-lake-formation"></a>

**Anmerkung**  
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).

Wenn Sie einen Ereignisdatenspeicher verbinden, CloudTrail registriert die Verbundrolle ARN und den Ereignisdatenspeicher in dem Dienst AWS Lake Formation, der für die detaillierte Zugriffskontrolle der Verbundressourcen im Datenkatalog verantwortlich ist. AWS Glue In diesem Abschnitt wird beschrieben, wie Sie Lake Formation verwenden können, um die Ressourcen der CloudTrail Lake Federation zu verwalten.

Wenn Sie den Verbund aktivieren, werden die folgenden Ressourcen im AWS Glue Datenkatalog CloudTrail erstellt.
+ **Verwaltete Datenbank** — CloudTrail erstellt eine Datenbank mit dem Namen `aws:cloudtrail` pro Konto. CloudTrail verwaltet die Datenbank. Sie können die Datenbank in nicht löschen oder ändern AWS Glue. 
+ **Verwaltete Verbundtabelle** — CloudTrail erstellt eine Tabelle für jeden föderierten Ereignisdatenspeicher und verwendet die ID des Ereignisdatenspeichers als Tabellennamen. CloudTrail verwaltet die Tabellen. Sie können die Tabellen in nicht löschen oder ändern AWS Glue. Um eine Tabelle zu löschen, müssen Sie den [Verbund im Ereignisdatenspeicher deaktivieren](query-disable-federation.md). 

## Steuern des Zugriffs auf Verbundressourcen
<a name="query-federation-lake-formation-control"></a>

Sie können eine von zwei Berechtigungsmethoden verwenden, um den Zugriff auf die verwaltete Datenbank und die Tabellen zu steuern.
+ **Nur IAM-Zugriffskontrolle** – Bei der reinen IAM-Zugriffskontrolle erhalten alle Benutzer des Kontos mit den erforderlichen IAM-Berechtigungen Zugriff auf alle Datenkatalogressourcen. Informationen zur AWS Glue Funktionsweise mit IAM finden Sie unter [Wie AWS Glue funktioniert mit IAM](https://docs.aws.amazon.com/glue/latest/dg/security_iam_service-with-iam.html). 

  In der Lake-Formation-Konsole wird diese Methode als **Nur IAM-Zugriffskontrolle verwenden** angezeigt.
**Anmerkung**  
Wenn Sie Datenfilter erstellen und andere Lake-Formation-Features verwenden möchten, müssen Sie die Lake-Formation-Zugriffskontrolle verwenden.
+ **Lake-Formation-Zugriffskontrolle** – Diese Methode bietet die folgenden Vorteile. 
  + Sie können die Sicherheit auf Spalten-, Zeilen- und Zellenebene implementieren, indem Sie [Datenfilter](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html) erstellen. *Weitere Informationen finden Sie im Entwicklerhandbuch unter [Absichern von Data Lakes mit Zugriffskontrolle auf Zeilenebene](https://docs.aws.amazon.com/lake-formation/latest/dg/cbac-tutorial.html).AWS Lake Formation *
  + Datenbank und Tabellen sind nur für Lake-Formation-Administratoren und Ersteller der Datenbank und der Ressourcen sichtbar. Wenn ein anderer Benutzer Zugriff auf diese Ressourcen benötigt, müssen Sie den [Zugriff mithilfe von Lake-Formation-Berechtigungen explizit gewähren](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-catalog-permissions.html).

Weitere Informationen zur differenzierten Zugriffskontrolle finden Sie unter [Methoden für die differenzierte Zugriffskontrolle](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-fine-grained.html).

## Ermitteln der Berechtigungsmethode für eine Verbundressource
<a name="query-federation-lake-formation-permissions-method"></a>

Wenn Sie den Verbund zum ersten Mal aktivieren, werden mithilfe Ihrer Lake Formation Data Lake-Einstellungen eine verwaltete Datenbank und eine verwaltete Verbundtabelle CloudTrail erstellt.

Nachdem Sie den Verbund CloudTrail aktiviert haben, können Sie überprüfen, welche Berechtigungsmethode Sie für die verwaltete Datenbank und die verwaltete Verbundtabelle verwenden, indem Sie die Berechtigungen für diese Ressourcen überprüfen. Wenn die Einstellung `ALL` (*Super*) auf `IAM_ALLOWED_PRINCIPALS ` für die Ressource vorhanden ist, wird die Ressource ausschließlich über IAM-Berechtigungen verwaltet. Wenn die Einstellung fehlt, wird die Ressource über Lake-Formation-Berechtigungen verwaltet. Weitere Informationen zu Lake-Formation-Berechtigungen finden Sie in der [Referenz zu Lake-Formation-Berechtigungen](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html).

Die Berechtigungsmethode für die verwaltete Datenbank und die verwaltete Verbundtabelle kann unterschiedlich sein. Wenn Sie beispielsweise die Werte für die Datenbank und die Tabelle überprüfen, könnten Sie Folgendes sehen:
+ Für die Datenbank ist der Wert, der `ALL` (*Super*) auf `IAM_ALLOWED_PRINCIPALS` zuweist, in den Berechtigungen enthalten, was darauf hinweist, dass Sie nur die IAM-Zugriffskontrolle für die Datenbank verwenden.
+ Für die Tabelle ist der Wert, der `ALL` (*Super*) auf `IAM_ALLOWED_PRINCIPALS` zuweist, nicht vorhanden, was auf eine Zugriffskontrolle durch Lake-Formation-Berechtigungen hinweist.

Sie können jederzeit zwischen den Zugriffsmethoden wechseln, indem Sie die Berechtigung `ALL` (*Super*) auf `IAM_ALLOWED_PRINCIPALS ` für eine beliebige Verbundressource in Lake Formation hinzufügen oder entfernen.

## Kontoübergreifendes Teilen mit Lake Formation
<a name="query-federation-lake-formation-cross-account"></a>

In diesem Abschnitt wird beschrieben, wie Sie mithilfe von Lake Formation eine verwaltete Datenbank und eine verwaltete Verbundtabelle für mehrere Konten gemeinsam nutzen können.

Gehen Sie wie folgt vor, um eine verwaltete Datenbank für mehrere Konten gemeinsam zu nutzen:

1. Aktualisieren Sie die Version für die [kontoübergreifende gemeinsame Nutzung von Daten](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html) auf Version 4. 

1. Entfernen die Berechtigungen `Super` auf `IAM_ALLOWED_PRINCIPALS` aus der Datenbank, falls vorhanden, um zur Lake-Formation-Zugriffskontrolle zu wechseln.

1. Erteilen Sie dem externen Konto in der Datenbank `Describe`-Berechtigungen.

1. Wenn eine Datenkatalogressource mit Ihnen gemeinsam genutzt wird AWS-Konto und Ihr Konto nicht derselben AWS Organisation angehört wie das gemeinsam genutzte Konto, nehmen Sie die Einladung von AWS Resource Access Manager (AWS RAM) zur gemeinsamen Nutzung der Ressource an. Weitere Informationen finden Sie unter Eine [Einladung zur gemeinsamen Nutzung einer Ressource aus dem AWS RAM annehmen](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).

Nach Abschluss dieser Schritte sollte die Datenbank für das externe Konto sichtbar sein. Standardmäßig gewährt die gemeinsame Nutzung der Datenbank keinen Zugriff auf Tabellen in der Datenbank.

 Gehen Sie wie folgt vor, um alle oder einzelne verwaltete Verbundtabellen für ein externes Konto freizugeben:

1. Aktualisieren Sie die Version für die [kontoübergreifende gemeinsame Nutzung von Daten](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html) auf Version 4. 

1. Entfernen die Berechtigungen `Super` auf `IAM_ALLOWED_PRINCIPALS` aus der Tabelle, falls vorhanden, um zur Lake-Formation-Zugriffskontrolle zu wechseln.

1. (Optional) Geben Sie beliebige [Datenfilter](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html) an, um Spalten oder Zeilen einzuschränken.

1. Erteilen Sie dem externen Konto in der Tabelle `Select`-Berechtigungen.

1. Wenn eine Datenkatalogressource mit Ihnen geteilt wird AWS-Konto und Ihr Konto nicht in derselben AWS Organisation wie das gemeinsam genutzte Konto ist, akzeptieren Sie die Einladung von AWS Resource Access Manager (AWS RAM) zur gemeinsamen Nutzung von Ressourcen. Für eine Organisation können Sie die Einladung mithilfe der RAM-Einstellungen automatisch akzeptieren. Weitere Informationen finden Sie unter Eine [Einladung zur gemeinsamen Nutzung einer Ressource aus dem AWS RAM annehmen](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).

1. Die Tabelle sollte jetzt sichtbar sein. Um Amazon-Athena-Abfragen für diese Tabelle zu aktivieren, erstellen Sie [in diesem Konto einen Ressourcenlink](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-table.html) zur gemeinsam genutzten Tabelle.

Das Eigentümerkonto kann die gemeinsame Nutzung jederzeit widerrufen, indem es die Berechtigungen für das externe Konto von Lake Formation entfernt oder den [Verbund in deaktiviert](query-disable-federation.md). CloudTrail