Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einen Data Lake aus einer AWS CloudTrail Quelle erstellen
Dieses Tutorial führt Sie durch die Aktionen, die Sie in der Lake Formation Formation-Konsole ausführen müssen, um Ihren ersten Data Lake aus einer AWS CloudTrail Quelle zu erstellen und zu laden.
**Allgemeine Schritte zum Erstellen eines Data Lakes**
1. Registrieren Sie einen Amazon Simple Storage Service (Amazon S3) -Pfad als Data Lake.
1. Erteilen Sie Lake Formation die Berechtigungen, in den Datenkatalog und in Amazon S3 S3-Standorte im Data Lake zu schreiben.
1. Erstellen Sie eine Datenbank, um die Metadatentabellen im Datenkatalog zu organisieren.
1. Verwenden Sie einen Blueprint, um einen Workflow zu erstellen. Führen Sie den Workflow aus, um Daten aus einer Datenquelle aufzunehmen.
1. Richten Sie Ihre Lake Formation Formation-Berechtigungen so ein, dass andere Personen Daten im Datenkatalog und im Data Lake verwalten können.
1. Richten Sie Amazon Athena so ein, dass die Daten, die Sie in Ihren Amazon S3 S3-Data Lake importiert haben, abgefragt werden.
1. Richten Sie Amazon Redshift Spectrum für einige Datenspeichertypen so ein, dass die Daten abgefragt werden, die Sie in Ihren Amazon S3 S3-Data Lake importiert haben.
**Topics**
+ [Zielgruppe](#cloudtrail-tut-personas)
+ [Voraussetzungen](#cloudtrail-tut-prereqs)
+ [Schritt 1: Erstellen Sie einen Data Analyst-Benutzer](#cloudtrail-tut-create-lf-user)
+ [Schritt 2: Fügen Sie der Workflow-Rolle Berechtigungen zum Lesen von AWS CloudTrail Protokollen hinzu](#cloudtrail-tut-grant-cloudtrail)
+ [Schritt 3: Erstellen Sie einen Amazon S3 S3-Bucket für den Data Lake](#cloudtrail-tut-create-bucket)
+ [Schritt 4: Registrieren Sie einen Amazon S3 S3-Pfad](#cloudtrail-tut-register)
+ [Schritt 5: Erteilen Sie Berechtigungen für den Datenspeicherort](#cloudtrail-tut-data-location)
+ [Schritt 6: Erstellen Sie eine Datenbank im Datenkatalog](#cloudtrail-tut-create-db)
+ [Schritt 7: Erteilen Sie Datenberechtigungen](#cloudtrail-tut-data-permissions)
+ [Schritt 8: Verwenden Sie einen Blueprint, um einen Workflow zu erstellen](#cloudtrail-tut-create-workflow)
+ [Schritt 9: Führen Sie den Workflow aus](#cloudtrail-tut-run-workflow)
+ [Schritt 10: Gewähren Sie SELECT für die Tabellen](#cloudtrail-tut-grant-table)
+ [Schritt 11: Fragen Sie den Data Lake ab mit Amazon Athena](#cloudtrail-tut-query)
## Zielgruppe
In der folgenden Tabelle sind die Rollen aufgeführt, die in diesem Tutorial verwendet wurden, um einen Data Lake zu erstellen.
**Zielgruppe**
| Rolle | Description |
| --- | --- |
| IAM-Administrator | Hat die AWS verwaltete Richtlinie:AdministratorAccess. Kann IAM-Rollen und Amazon S3 S3-Buckets erstellen. |
| Data-Lake-Administrator | Benutzer, der auf den Datenkatalog zugreifen, Datenbanken erstellen und anderen Benutzern Lake Formation Formation-Berechtigungen gewähren kann. Hat weniger IAM-Berechtigungen als der IAM-Administrator, reicht aber aus, um den Data Lake zu verwalten. |
| Datenanalyst | Benutzer, der Abfragen für den Data Lake ausführen kann. Hat nur genügend Berechtigungen, um Abfragen auszuführen. |
| Workflow-Rolle | Rolle mit den erforderlichen IAM-Richtlinien zur Ausführung eines Workflows. Weitere Informationen finden Sie unter [(Optional) Erstellen Sie eine IAM-Rolle für Workflows](initial-lf-config.md#iam-create-blueprint-role). |
## Voraussetzungen
Bevor Sie beginnen:
+ Stellen Sie sicher, dass Sie die Aufgaben in [Richten AWS Lake Formation](initial-lf-config.md) abgeschlossen haben.
+ Informieren Sie sich über den Speicherort Ihrer CloudTrail Protokolle.
+ Athena verlangt von der Datenanalyst-Persona, dass sie vor der Verwendung von Athena einen Amazon S3 S3-Bucket zum Speichern von Abfrageergebnissen erstellt.
Vertrautheit mit AWS Identity and Access Management (IAM) wird vorausgesetzt. Informationen zu IAM finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
## Schritt 1: Erstellen Sie einen Data Analyst-Benutzer
Dieser Benutzer verfügt über die Mindestberechtigungen, um den Data Lake abzufragen.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam) die IAM-Konsole. Melden Sie sich als der Administratorbenutzer an, den Sie in der verwalteten Richtlinie erstellt haben, [Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin) oder als Benutzer mit der `AdministratorAccess` AWS verwalteten Richtlinie.
1. Erstellen Sie einen Benutzer `datalake_user` mit dem Namen mit den folgenden Einstellungen:
+ AWS-Managementkonsole Zugriff aktivieren.
+ Legen Sie ein Passwort fest und fordern Sie kein Zurücksetzen des Passworts an.
+ Hängen Sie die `AmazonAthenaFullAccess` AWS verwaltete Richtlinie an.
+ Fügen Sie die folgende Inline-Richtlinie an. Speichern Sie die Richtlinie unter dem Namen `DatalakeUserBasic`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartitions",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:GetLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
],
"Resource": "*"
}
]
}
```
## Schritt 2: Fügen Sie der Workflow-Rolle Berechtigungen zum Lesen von AWS CloudTrail Protokollen hinzu
1. Fügen Sie der Rolle die folgende Inline-Richtlinie hinzu`LakeFormationWorkflowRole`. Die Richtlinie gewährt die Erlaubnis, Ihre AWS CloudTrail Protokolle zu lesen. Speichern Sie die Richtlinie unter dem Namen `DatalakeGetCloudTrail`.
Weitere Informationen zum Erstellen der `LakeFormationWorkflowRole`-Rolle finden Sie unter [(Optional) Erstellen Sie eine IAM-Rolle für Workflows](initial-lf-config.md#iam-create-blueprint-role).
**Wichtig**
**Ersetzen Sie durch den Amazon S3 S3-Speicherort Ihrer CloudTrail Daten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": ["arn:aws:s3:::/*"]
}
]
}
```
------
1. Stellen Sie sicher, dass der Rolle drei Richtlinien zugeordnet sind.
## Schritt 3: Erstellen Sie einen Amazon S3 S3-Bucket für den Data Lake
Erstellen Sie den Amazon S3 S3-Bucket, der der Stammspeicherort Ihres Data Lakes sein soll.
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)und melden Sie sich als der Administratorbenutzer an, den Sie erstellt haben[Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin).
1. Wählen Sie **Create Bucket** und erstellen Sie mithilfe des Assistenten einen Bucket mit dem ** Namen`-datalake-cloudtrail`, der Ihren Vor- und Nachnamen enthält. Beispiel: `jdoe-datalake-cloudtrail`.
Eine ausführliche Anleitung zur Erstellung eines Amazon S3 S3-Buckets finden Sie unter [Bucket erstellen](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html).
## Schritt 4: Registrieren Sie einen Amazon S3 S3-Pfad
Registrieren Sie einen Amazon S3 S3-Pfad als Stammverzeichnis Ihres Data Lakes.
1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Melden Sie sich als Data Lake-Administrator an.
1. Wählen Sie im Navigationsbereich unter **Registrieren und aufnehmen** die Option **Data Lake-Standorte** aus.
1. Wählen Sie **Speicherort registrieren** und dann **Durchsuchen** aus.
1. Wählen Sie den `-datalake-cloudtrail` Bucket aus, den Sie zuvor erstellt haben, akzeptieren Sie die Standard-IAM-Rolle `AWSServiceRoleForLakeFormationDataAccess` und wählen Sie dann **Standort registrieren** aus.
Weitere Informationen zur Registrierung von Standorten finden Sie unter[Hinzufügen eines Amazon S3 S3-Standorts zu Ihrem Data Lake](register-data-lake.md).
## Schritt 5: Erteilen Sie Berechtigungen für den Datenspeicherort
Prinzipale müssen über *Datenspeicherberechtigungen für* einen Data Lake-Standort verfügen, um Datenkatalogtabellen oder Datenbanken zu erstellen, die auf diesen Speicherort verweisen. Sie müssen der IAM-Rolle für Workflows Datenspeicherberechtigungen erteilen, damit der Workflow in das Datenaufnahmeziel schreiben kann.
1. **Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option Datenspeicherorte aus.**
1. Wählen Sie **Grant** aus, und treffen Sie im Dialogfeld **Berechtigungen gewähren** die folgenden Auswahlen:
1. Wählen Sie für **IAM-Benutzer und -Rollen** die Option. `LakeFormationWorkflowRole`
1. Wählen Sie für **Speicherorte** Ihren `-datalake-cloudtrail` Bucket aus.
1. Wählen Sie **Grant (Erteilen)**.
Weitere Informationen zu Berechtigungen für Datenspeicherorte finden Sie unter[Underlying data access control](access-control-underlying-data.md#data-location-permissions).
## Schritt 6: Erstellen Sie eine Datenbank im Datenkatalog
Metadatentabellen im Lake Formation Data Catalog werden in einer Datenbank gespeichert.
1. Wählen Sie im Navigationsbereich unter **Datenkatalog** die Option **Datenbanken** aus.
1. Wählen Sie **Datenbank erstellen** aus, und geben Sie unter **Datenbankdetails** den Namen ein`lakeformation_cloudtrail`.
1. Lassen Sie die anderen Felder leer und wählen Sie **Datenbank erstellen** aus.
## Schritt 7: Erteilen Sie Datenberechtigungen
Sie müssen Berechtigungen zum Erstellen von Metadatentabellen im Datenkatalog erteilen. Da der Workflow mit der Rolle ausgeführt wird`LakeFormationWorkflowRole`, müssen Sie der Rolle diese Berechtigungen erteilen.
1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Datenkatalog** die Option **Datenbanken** aus.
1. Wählen Sie die `lakeformation_cloudtrail` Datenbank aus und wählen Sie dann in der Dropdownliste **Aktionen** unter der Überschrift Berechtigungen die Option **Grant** aus.
1. Treffen Sie im Dialogfeld „**Datenberechtigungen gewähren**“ die folgenden Optionen:
1. Wählen Sie unter **Principals** für **IAM-Benutzer und -Rollen** die Option aus. `LakeFormationWorkflowRole`
1. Wählen Sie unter **LF-Tags or catalog resources (LF-Tags oder Katalogressourcen)** die Option **Named Data Catalog resources (Benannte Datenkatalogressourcen)**.
1. Bei **Datenbanken** sollten Sie sehen, dass die `lakeformation_cloudtrail` Datenbank bereits hinzugefügt wurde.
1. Wählen Sie unter **Datenbankberechtigungen** die Optionen **Tabelle erstellen**, **Ändern** und **Löschen** aus, und deaktivieren Sie **Super**, falls diese Option ausgewählt ist.
1. Wählen Sie **Grant (Erteilen)**.
Weitere Informationen zur Erteilung von Lake Formation Formation-Berechtigungen finden Sie unter[Verwaltung von Lake Formation Formation-Berechtigungen](managing-permissions.md).
## Schritt 8: Verwenden Sie einen Blueprint, um einen Workflow zu erstellen
Um die CloudTrail Protokolle zu lesen, ihre Struktur zu verstehen und die entsprechenden Tabellen im Datenkatalog zu erstellen, müssen wir einen Workflow einrichten, der aus AWS Glue Crawlern, Jobs, Triggern und Workflows besteht. Die Blueprints von Lake Formation vereinfachen diesen Prozess.
Der Workflow generiert die Jobs, Crawler und Trigger, die Daten erkennen und in Ihren Data Lake aufnehmen. Sie erstellen einen Workflow, der auf einem der vordefinierten Lake Formation-Blueprints basiert.
1. **Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Ingestion die Option **Blueprints** aus, und wählen Sie dann Blueprint** verwenden aus.**
1. **Wählen Sie auf der Seite Blueprint **verwenden unter Blueprint-Typ** die Option aus. **AWS CloudTrail****
1. Wählen **Sie unter Quelle importieren** eine CloudTrail Quelle und ein Startdatum aus.
1. Geben **Sie unter Importziel** die folgenden Parameter an:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/getting-started-cloudtrail-tutorial.html)
1. Wählen Sie für die Importhäufigkeit die Option **Bei Bedarf ausführen aus**.
1. Geben **Sie unter Importoptionen** die folgenden Parameter an:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/getting-started-cloudtrail-tutorial.html)
1. Wählen Sie **Create** und warten Sie, bis die Konsole meldet, dass der Workflow erfolgreich erstellt wurde.
**Tipp**
Haben Sie die folgende Fehlermeldung erhalten?
`User: arn:aws:iam:::user/ is not authorized to perform: iam:PassRole on resource:arn:aws:iam:::role/LakeFormationWorkflowRole...`
Falls ja, überprüfen Sie, ob Sie die Inline-Richtlinie für den Data Lake-Administratorbenutzer durch eine gültige AWS Kontonummer ersetzt ** haben.
## Schritt 9: Führen Sie den Workflow aus
Da Sie angegeben haben, dass es sich um einen Workflow handelt run-on-demand, müssen Sie den Workflow manuell starten.
+ Wählen Sie auf der Seite **Blueprints** den Workflow aus`lakeformationcloudtrailtest`, und klicken Sie im Menü **Aktionen** auf **Start**.
Während der Ausführung des Workflows können Sie seinen Fortschritt in der Spalte **Status der letzten Ausführung einsehen**. Wählen Sie gelegentlich die Schaltfläche „Aktualisieren“.
Der Status wechselt von **LÄUFT** zu **Wird** erkannt, **importiert** und ist **ABGESCHLOSSEN**.
Wenn der Workflow abgeschlossen ist:
+ Der Datenkatalog wird neue Metadatentabellen enthalten.
+ Ihre CloudTrail Protokolle werden in den Data Lake aufgenommen.
Wenn der Workflow fehlschlägt, gehen Sie wie folgt vor:
1. Wählen Sie den Workflow aus, und klicken Sie im Menü **Aktionen** **auf Diagramm anzeigen**.
Der Workflow wird in der AWS Glue Konsole geöffnet.
1. Wählen Sie den Workflow aus und gehen Sie auf die Registerkarte **History (Verlauf)**.
1. Wählen Sie unter **Verlauf** den letzten Lauf aus und klicken Sie **auf Laufdetails anzeigen**.
1. Wählen Sie im dynamischen (Laufzeit-) Diagramm einen fehlgeschlagenen Job oder Crawler aus und überprüfen Sie die Fehlermeldung. Fehlgeschlagene Knoten sind entweder rot oder gelb.
## Schritt 10: Gewähren Sie SELECT für die Tabellen
Sie müssen die `SELECT` Berechtigung für die neuen Datenkatalogtabellen erteilen, damit der Datenanalyst die Daten abfragen kann, auf die die Tabellen verweisen.
**Anmerkung**
Ein Workflow erteilt dem Benutzer, der ihn ausgeführt hat, automatisch die `SELECT` Berechtigung für die Tabellen, die er erstellt hat. Da der Data Lake-Administrator diesen Workflow ausgeführt hat, müssen Sie ihn `SELECT` dem Datenanalysten erteilen.
1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Datenkatalog** die Option **Datenbanken** aus.
1. Wählen Sie die `lakeformation_cloudtrail` Datenbank aus und wählen Sie dann in der Dropdownliste **Aktionen** unter der Überschrift Berechtigungen die Option **Grant** aus.
1. Treffen Sie im Dialogfeld „**Datenberechtigungen gewähren**“ die folgenden Optionen:
1. Wählen Sie unter **Principals** für **IAM-Benutzer und -Rollen** die Option aus. `datalake_user`
1. Wählen Sie unter **LF-Tags oder Katalogressourcen** die Option **Benannte** Datenkatalogressourcen aus.
1. Für **Datenbanken** sollte die `lakeformation_cloudtrail` Datenbank bereits ausgewählt sein.
1. Wählen Sie für **Tabellen** die Option`cloudtrailtest-cloudtrail`.
1. Wählen Sie unter **Tabellen- und Spaltenberechtigungen** die **Option Auswählen aus**.
1. Wählen Sie **Grant (Erteilen)**.
**Der nächste Schritt wird als Datenanalyst ausgeführt.**
## Schritt 11: Fragen Sie den Data Lake ab mit Amazon Athena
Verwenden Sie die Amazon Athena Konsole, um die CloudTrail Daten in Ihrem Data Lake abzufragen.
1. Öffnen Sie die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)und melden Sie sich als Datenanalyst, Benutzer `datalake_user` an.
1. Falls erforderlich, wählen Sie **Get Started**, um zum Athena-Abfrage-Editor zu gelangen.
1. Wählen Sie für **Datenquelle** **AwsDataCatalog** aus.
1. Wählen Sie unter **Database (Datenbank)** Option `lakeformation_cloudtrail` aus.
Die **Tabellenliste** wird aufgefüllt.
1. **Wählen Sie im Überlaufmenü (3 horizontal angeordnete Punkte) neben der Tabelle `cloudtrailtest-cloudtrail` die Option **Tabellenvorschau** und anschließend Ausführen aus.**
Die Abfrage wird ausgeführt und zeigt 10 Datenzeilen an.
Wenn Sie Athena noch nicht verwendet haben, müssen Sie zunächst einen Amazon S3 S3-Standort in der Athena-Konsole zum Speichern der Abfrageergebnisse konfigurieren. Sie `datalake_user` müssen über die erforderlichen Berechtigungen für den Zugriff auf den von Ihnen Amazon S3 S3-Bucket verfügen.
**Anmerkung**
Nachdem Sie das Tutorial abgeschlossen haben, gewähren Sie den Prinzipalen in Ihrer Organisation Datenberechtigungen und Datenspeicherberechtigungen.