Habilitación de la federación de consultas de Lake - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación de la federación de consultas de Lake

Puede habilitar la federación de consultas de Lake mediante la CloudTrail consola o la operación de la EnableFederationAPI. AWS CLI Al habilitar la federación de consultas de Lake, CloudTrail crea una base de datos administrada denominada aws:cloudtrail (si la base de datos aún no existe) y una tabla federada administrada en el catálogo de AWS Glue datos de. El ID del almacén de datos de eventos se utiliza para el nombre de la tabla. CloudTrail registra el ARN del rol de federación y el almacén de datos de eventos en AWS Lake Formation, el servicio responsable de permitir un control de acceso detallado de los recursos federados del catálogo de datos de. AWS Glue

En esta sección, se describe cómo habilitar la federación mediante la CloudTrail consola y la AWS CLI.

CloudTrail console

En el siguiente procedimiento, se muestra cómo habilitar la federación de consultas de Lake en un almacén de datos de eventos existente.

  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

  3. Elija el almacén de datos de eventos que desea actualizar. Se abrirá la página de detalles del almacén de datos de eventos.

  4. En Federación de consultas de Lake, elija Editar y, a continuación, elija Habilitar.

  5. Elija si desea crear un nuevo rol de IAM, o utilizar un rol existente. Al crear un nuevo rol, crea CloudTrail automáticamente uno con los permisos necesarios. Si utiliza un rol existente, asegúrese de que la política del rol proporcione los permisos mínimos requeridos.

  6. Si está creando un rol de IAM nuevo, ingrese un nombre para el rol.

  7. Si elige un rol de IAM existente, elija el rol que quiere usar. El rol debe existir en su cuenta.

  8. Seleccione Save changes (Guardar cambios). El Estado de la federación cambia a Enabled.

AWS CLI

Para habilitar la federación, ejecute el comando aws cloudtrail enable-federation proporcionando los parámetros --event-data-store y --role necesarios. En --event-data-store, proporcione el ARN del almacén de datos de eventos (o el sufijo de ID del ARN). En --role, proporcione el ARN de su rol de federación. El rol debe existir en su cuenta y proporcionar los permisos mínimos necesarios.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

En este ejemplo, se muestra cómo un administrador delegado puede habilitar la federación en un almacén de datos de eventos de la organización especificando el ARN del almacén de datos de eventos en la cuenta de administración y el ARN del rol de federación en la cuenta de administrador delegado.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name