Controllo dell'accesso alle risorse federate Determinazione del metodo di autorizzazione per una risorsa federata Condivisione tra account tramite Lake Formation

Gestione delle risorse di CloudTrail Lake Federation con AWS Lake Formation

Quando federi un datastore di eventi, CloudTrail registra l'ARN del ruolo di federazione e il datastore di eventi in AWS Lake Formation, il servizio responsabile di consentire il controllo granulare degli accessi alle risorse federate nel Catalogo dati. AWS Glue Questa sezione spiega come utilizzare Lake Formation per gestire le risorse della federazione dei CloudTrail laghi.

Quando abiliti la federazione, CloudTrail crea le seguenti risorse nel Catalogo AWS Glue dati.

Database gestito: CloudTrail crea 1 database con il nome aws:cloudtrail per account. CloudTrail gestisce il database. Non è possibile eliminare o modificare il database in AWS Glue.
Tabella federata gestita: CloudTrail crea 1 tabella per ogni datastore di eventi federato e utilizza l'ID del datastore di eventi come nome della tabella. CloudTrail gestisce le tabelle. Non è possibile eliminare o modificare le tabelle in AWS Glue. Per eliminare una tabella, è necessario disabilitare la federazione nel datastore di eventi.

Controllo dell'accesso alle risorse federate

È possibile utilizzare uno dei due metodi di autorizzazione per controllare l'accesso al database e alle tabelle gestiti.

Solo controllo degli accessi IAM: con questa opzione, tutti gli utenti dell'account con le autorizzazioni IAM richieste hanno accesso a tutte le risorse del Catalogo dati. Per informazioni sul AWS Glue funzionamento di con IAM, consulta AWS Glue Funzionamento di con IAM.

Sulla console Lake Formation, questo metodo ha il nome Usa solo il controllo degli accessi IAM.

Nota
Se desideri creare filtri di dati e utilizzare altre funzionalità di Lake Formation, devi utilizzare il controllo degli accessi di Lake Formation.
Controllo degli accessi di Lake Formation: questo metodo offre i seguenti vantaggi.
- Puoi implementare la sicurezza a livello di colonna, riga e cella tramite la creazione di filtri di dati. Per ulteriori informazioni, consulta Proteggere i data lake con il controllo degli accessi a livello di riga nella Guida per gli AWS Lake Formation sviluppatori.
- Il database e le tabelle sono visibili solo agli amministratori di Lake Formation e ai creatori del database e delle risorse di Lake Formation. Se un altro utente deve accedere a queste risorse, devi concedere l'accesso utilizzando le autorizzazioni di Lake Formation in modo esplicito.

Per ulteriori informazioni sul controllo granulare degli accessi, consulta Metodi per il controllo granulare degli accessi.

Determinazione del metodo di autorizzazione per una risorsa federata

Quando abiliti la federazione per la prima volta, CloudTrail crea un database e una tabella federata gestiti sulla base delle impostazioni del data lake di Lake Formation.

Dopo aver CloudTrail abilitato la federazione, puoi verificare il metodo di autorizzazione in uso per il database e la tabella federata gestiti controllando le autorizzazioni per tali risorse. Se per la risorsa è presente l'impostazione ALL (Super) per IAM_ALLOWED_PRINCIPALS , la risorsa viene gestita esclusivamente dalle autorizzazioni IAM. Se l'impostazione non è presente, la risorsa è gestita dalle autorizzazioni di Lake Formation. Per ulteriori informazioni sulle autorizzazioni di Lake Formation, consulta Documentazione di riferimento sulle autorizzazioni Lake Formation.

Il metodo di autorizzazione per il database e la tabella federata gestiti può essere diverso. Ad esempio, se controlli i valori del database e della tabella, potresti visualizzare i seguenti elementi:

Per il database, se il valore ALL (Super) assegnato a IAM_ALLOWED_PRINCIPALS è presente nelle autorizzazioni significa che stai utilizzando solo il controllo degli accessi IAM per il database.
Per la tabella, se il valore ALL (Super) assegnato a IAM_ALLOWED_PRINCIPALS non è presente, significa che il controllo degli accessi avviene tramite le autorizzazioni di Lake Formation.

Puoi passare da un metodo di accesso all'altro in qualsiasi momento aggiungendo o rimuovendo ALL (Super) all'autorizzazione di IAM_ALLOWED_PRINCIPALS su qualsiasi risorsa federata in Lake Formation.

Condivisione tra account tramite Lake Formation

In questa sezione viene descritto come condividere un database e una tabella federata gestiti tra account utilizzando Lake Formation.

Puoi condividere un database gestito tra più account seguendo questi passaggi:

Aggiorna la versione per la condivisione dei dati tra account alla versione 4.
Rimuovi Super dalle autorizzazioni IAM_ALLOWED_PRINCIPALS del database, se presenti, per passare al controllo degli accessi di Lake Formation.
Concedi autorizzazioni Describe all'account esterno sul database.
Se una risorsa del Catalogo dati è condivisa con il tuo Account AWS e l'account non fa parte della stessa AWS organizzazione dell'account di condivisione, accetta l'invito alla condivisione delle risorse da AWS Resource Access Manager (AWS RAM). Per ulteriori informazioni, consulta Accettare un invito alla condivisione di risorse da AWS RAM.

Dopo aver completato questi passaggi, il database dovrebbe essere visibile all'account esterno. Per impostazione predefinita, la condivisione del database non consente l'accesso ad alcuna tabella presente al suo interno.

Puoi condividere tutte le tabelle federate gestite o tabelle singole con un account esterno seguendo questi passaggi:

Aggiorna la versione per la condivisione dei dati tra account alla versione 4.
Rimuovi Super dalle autorizzazioni IAM_ALLOWED_PRINCIPALS della tabella, se presenti, per passare al controllo degli accessi di Lake Formation.
(Facoltativo) Specifica eventuali filtri di dati per limitare colonne o righe.
Concedi autorizzazioni Select all'account esterno sulla tabella.
Se una risorsa del Catalogo dati è condivisa con il tuo Account AWS e l'account non fa parte della stessa AWS organizzazione dell'account di condivisione, accetta l'invito alla condivisione delle risorse da AWS Resource Access Manager (AWS RAM). Per un'organizzazione, puoi accettare automaticamente l'invito utilizzando le impostazioni RAM. Per ulteriori informazioni, consulta Accettare un invito alla condivisione di risorse da AWS RAM.
La tabella dovrebbe ora essere visibile. Per abilitare le query di Amazon Athena su questa tabella, crea un link alla risorsa in questo account con la tabella condivisa.

L'account proprietario può revocare la condivisione in qualsiasi momento rimuovendo le autorizzazioni per l'account esterno da Lake Formation o disabilitando la federazione in. CloudTrail

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Disabilitare la federazione delle query di Lake

Datastore di eventi dell'organizzazione

Gestione delle risorse di CloudTrail Lake Federation con AWS Lake Formation

Controllo dell'accesso alle risorse federate

Nota

Determinazione del metodo di autorizzazione per una risorsa federata

Condivisione tra account tramite Lake Formation