Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Federare un datastore di eventi
<a name="query-federation"></a>

**Nota**  
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).

La federazione di un data store di eventi consente di visualizzare i metadati associati al data store degli eventi nel AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro), di registrare il Data Catalog e di eseguire query SQL sui dati degli eventi utilizzando Amazon Athena. AWS Lake Formation I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. 

È possibile abilitare la federazione utilizzando la CloudTrail console o il AWS CLI funzionamento dell'[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html)API. Quando abiliti la federazione delle query di Lake, CloudTrail crea un database gestito denominato `aws:cloudtrail` (se il database non esiste già) e una tabella federata gestita nel AWS Glue Data Catalog. L'ID del data store degli eventi viene utilizzato per il nome della tabella. CloudTrail registra il ruolo di federazione [AWS Lake Formation](query-federation-lake-formation.md)in cui ARN e event data store, il servizio responsabile di consentire il controllo granulare degli accessi alle risorse federate nel Data Catalog. AWS Glue 

Per abilitare la federazione delle query di Lake, devi creare un nuovo ruolo IAM o scegliere un ruolo esistente. Lake Formation utilizza questo ruolo per gestire le autorizzazioni per il datastore di eventi federato. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente le autorizzazioni richieste per il ruolo. Se scegli un ruolo esistente, assicurati che fornisca le [autorizzazioni minime richieste](#query-federation-permissions-role).

È possibile disabilitare la federazione utilizzando la CloudTrail console o AWS CLI l'operazione [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html)API. Quando disabiliti la federazione, CloudTrail disabilita l'integrazione con AWS Glue e Amazon Athena. AWS Lake Formation Dopo aver disabilitato la federazione delle query di Lake, non puoi più eseguire query sui dati degli eventi in Athena. Nessun dato di CloudTrail Lake viene eliminato quando disabiliti la federazione e puoi continuare a eseguire query in Lake. CloudTrail 

Non sono CloudTrail previsti costi per la federazione di un archivio dati di eventi CloudTrail Lake. L'esecuzione delle query in Amazon Athena è soggetta a costi. Per ulteriori informazioni sui prezzi di Athena, consulta [Prezzi di Amazon Athena](https://aws.amazon.com/athena/pricing/).

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/cOeZaJt_k-w?si=4LsEgq23NNHSJAAg/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/cOeZaJt_k-w?si=4LsEgq23NNHSJAAg)


**Topics**
+ [Considerazioni](#query-federation-considerations)
+ [Autorizzazioni necessarie per la federazione](#query-federation-permissions)
+ [Abilitare la federazione delle query di Lake](query-enable-federation.md)
+ [Disabilitare la federazione delle query di Lake](query-disable-federation.md)
+ [Gestione delle risorse della federazione dei CloudTrail laghi con AWS Lake Formation](query-federation-lake-formation.md)

## Considerazioni
<a name="query-federation-considerations"></a>

Considera i seguenti fattori durante la federazione di un datastore di eventi:
+ Non sono CloudTrail previsti costi per la federazione di un archivio dati di eventi CloudTrail Lake. L'esecuzione delle query in Amazon Athena è soggetta a costi. Per ulteriori informazioni sui prezzi di Athena, consulta [Prezzi di Amazon Athena](https://aws.amazon.com/athena/pricing/).
+ Lake Formation viene utilizzato per gestire le autorizzazioni per le risorse federate. Se elimini il ruolo federativo o revochi le autorizzazioni per le risorse da Lake Formation oppure AWS Glue non puoi eseguire query da Athena. Per ulteriori informazioni sull'utilizzo di Lake Formation, consulta [Gestione delle risorse della federazione dei CloudTrail laghi con AWS Lake Formation](query-federation-lake-formation.md). 
+ Chiunque utilizzi Amazon Athena per eseguire query sui dati registrati con Lake Formation deve disporre di una policy di autorizzazione IAM che consente l'operazione `lakeformation:GetDataAccess`. La politica AWS gestita: consente questa azione. [https://docs.aws.amazon.com/athena/latest/ug/managed-policies.html#amazonathenafullaccess-managed-policy](https://docs.aws.amazon.com/athena/latest/ug/managed-policies.html#amazonathenafullaccess-managed-policy) Se utilizzi policy inline, assicurati di aggiornare le policy di autorizzazione per consentire questa operazione. Per ulteriori informazioni, consulta [Gestione delle autorizzazioni utente Lake Formation e Athena](https://docs.aws.amazon.com/athena/latest/ug/lf-athena-user-permissions.html).
+ Per creare viste su tabelle federate in Athena, è necessario un database di destinazione diverso da `aws:cloudtrail`, Questo perché il `aws:cloudtrail` database è gestito da CloudTrail.
+ Per creare un set di dati in Amazon Quick, devi scegliere l'opzione **Usa SQL personalizzato**. Per ulteriori informazioni, consulta [Creazione di un set di dati utilizzando dati di Amazon Athena](https://docs.aws.amazon.com/quicksight/latest/user/create-a-data-set-athena.html).
+ Se la federazione è abilitata, non è possibile eliminare un datastore di eventi. Per eliminare un datastore di eventi federato, devi prima [disabilitare la federazione](query-disable-federation.md) e la [protezione della terminazione](query-eds-termination-protection.md) (se abilitata).
+ Le seguenti considerazioni si applicano ai datastore di eventi dell'organizzazione:
  + Solo un singolo account amministratore delegato o l'account di gestione può abilitare la federazione in un datastore di eventi dell'organizzazione. Altri account amministratore delegato possono comunque eseguire query e condividere informazioni utilizzando la [funzionalità di condivisione dei dati di Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html).
  + Qualsiasi account amministratore delegato o l'account di gestione dell'organizzazione può disabilitare la federazione.

## Autorizzazioni necessarie per la federazione
<a name="query-federation-permissions"></a>

Prima di federare un datastore di eventi, accertati di disporre di tutte le autorizzazioni necessarie per il ruolo di federazione e per abilitare e disabilitare la federazione. Per abilitare la federazione, devi aggiornare le autorizzazioni del ruolo di federazione solo se scegli un ruolo IAM esistente. Se scegli di creare un nuovo ruolo IAM utilizzando la CloudTrail console, CloudTrail fornisce tutte le autorizzazioni necessarie per il ruolo.

**Topics**
+ [Autorizzazioni IAM per la federazione di un datastore di eventi](#query-federation-permissions-role)
+ [Autorizzazioni necessarie per l'abilitazione della federazione](#query-federation-permissions-enable)
+ [Autorizzazioni necessarie per la disabilitazione della federazione](#query-federation-permissions-disable)

### Autorizzazioni IAM per la federazione di un datastore di eventi
<a name="query-federation-permissions-role"></a>

Quando abiliti la federazione, puoi creare un nuovo ruolo IAM o utilizzare un ruolo IAM esistente. Quando scegli un nuovo ruolo IAM, CloudTrail crea un ruolo IAM con le autorizzazioni richieste e non sono necessarie ulteriori azioni da parte tua.

Se scegli un ruolo esistente, accertati che le policy dei ruoli IAM forniscano le autorizzazioni necessarie per abilitare la federazione. Questa sezione fornisce esempi delle policy di attendibilità e di autorizzazione necessarie al ruolo IAM.

L'esempio seguente fornisce la policy delle autorizzazioni per il ruolo di federazione. Per la prima istruzione, fornisci l'ARN completo del datastore di eventi per la `Resource`.

La seconda istruzione di questa policy consente a Lake Formation di decrittare i dati di un datastore di eventi crittografato con una chiave KMS. Sostituisci *key-region* e *key-id* con i valori della tua chiave KMS. *account-id* Se il datastore di eventi non utilizza una chiave KMS per la crittografia, puoi omettere questa istruzione.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "LakeFederationEDSDataAccess",
            "Effect": "Allow",
            "Action": "cloudtrail:GetEventDataStoreData",
            "Resource": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
        },
        {
            "Sid": "LakeFederationKMSDecryptAccess",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111111111111:key/key-id"
        }
    ]
}
```

------

L'esempio seguente fornisce la policy di attendibilità IAM che consente a AWS Lake Formation di assumere un ruolo IAM per la gestione delle autorizzazioni per il datastore di eventi federato. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lakeformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

### Autorizzazioni necessarie per l'abilitazione della federazione
<a name="query-federation-permissions-enable"></a>

La policy di esempio seguente fornisce le autorizzazioni minime richieste per abilitare la federazione in un datastore di eventi. Questa policy consente di CloudTrail abilitare la federazione nell'archivio dati degli eventi, di AWS Glue creare le risorse federate nel AWS Glue Data Catalog e di AWS Lake Formation gestire la registrazione delle risorse.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CloudTrailEnableFederation",
            "Effect": "Allow",
            "Action": "cloudtrail:EnableFederation",
            "Resource": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
        },
        {
            "Sid": "FederationRoleAccess",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole",
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/federation-role-name"
        },
        {
            "Sid": "GlueResourceCreation",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:CreateTable",
                "glue:PassConnection"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111111111111:catalog",
                "arn:aws:glue:us-east-1:111111111111:database/aws:cloudtrail",
                "arn:aws:glue:us-east-1:111111111111:table/aws:cloudtrail/eds-id",
                "arn:aws:glue:us-east-1:111111111111:connection/aws:cloudtrail"
            ]
        },
        {
            "Sid": "LakeFormationRegistration",
            "Effect": "Allow",
            "Action": [
                "lakeformation:RegisterResource",
                "lakeformation:DeregisterResource"
            ],
            "Resource": "arn:aws:lakeformation:region:111111111111:catalog:111111111111"
        }
    ]
}
```

------

### Autorizzazioni necessarie per la disabilitazione della federazione
<a name="query-federation-permissions-disable"></a>

La policy di esempio seguente fornisce le risorse minime richieste per disabilitare la federazione in un datastore di eventi. Questa politica consente di CloudTrail disabilitare la federazione sul data store degli eventi, di AWS Glue eliminare la tabella federata gestita nel AWS Glue Data Catalog e di Lake Formation di annullare la registrazione della risorsa federata.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CloudTrailDisableFederation",
            "Effect": "Allow",
            "Action": "cloudtrail:DisableFederation",
            "Resource": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
        },
        {
            "Sid": "GlueTableDeletion",
            "Effect": "Allow",
            "Action": "glue:DeleteTable",
            "Resource": [
                "arn:aws:glue:us-east-1:111111111111:catalog",
                "arn:aws:glue:us-east-1:111111111111:database/aws:cloudtrail",
                "arn:aws:glue:us-east-1:111111111111:table/aws:cloudtrail/eds-id"
            ]
        },
        {
            "Sid": "LakeFormationDeregistration",
            "Effect": "Allow",
            "Action": "lakeformation:DeregisterResource",
            "Resource": "arn:aws:lakeformation:us-east-1:111111111111:catalog:111111111111"
        }
    ]
}
```

------

# Abilitare la federazione delle query di Lake
<a name="query-enable-federation"></a>

**Nota**  
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).

Puoi abilitare la federazione delle query di Lake utilizzando la CloudTrail console o AWS CLI il funzionamento dell'[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html)API. Quando abiliti la federazione delle query di Lake, CloudTrail crea un database gestito denominato `aws:cloudtrail` (se il database non esiste già) e una tabella federata gestita nel AWS Glue Data Catalog. L'ID del data store degli eventi viene utilizzato per il nome della tabella. CloudTrail registra il ruolo di federazione [AWS Lake Formation](query-federation-lake-formation.md)in cui ARN e event data store, il servizio responsabile di consentire il controllo granulare degli accessi alle risorse federate nel Data Catalog. AWS Glue 

Questa sezione descrive come abilitare la federazione utilizzando la console e. CloudTrail AWS CLI

------
#### [ CloudTrail console ]

La procedura seguente mostra come abilitare la federazione delle query di Lake in un datastore di eventi esistente.

1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Nel riquadro di navigazione, seleziona **Datastore di eventi** in **Lake**.

1. Scegli il datastore di eventi da aggiornare. In questo modo si apre la pagina dei dettagli del datastore di eventi.

1. In **Federazione delle query di Lake**, scegli **Modifica**, quindi **Abilita**.

1. Scegli se creare un nuovo ruolo IAM o se utilizzarne uno esistente. Quando crei un nuovo ruolo, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se utilizzi un ruolo esistente, assicurati che la policy del ruolo fornisca le [autorizzazioni minime richieste](query-federation.md#query-federation-permissions-role).

1.  Se crei un nuovo ruolo IAM, inserisci un nome per il ruolo. 

1.  Se scegli un ruolo IAM esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account. 

1. Scegli **Save changes** (Salva modifiche). Lo **stato della federazione** cambia in `Enabled`.

------
#### [ AWS CLI ]

Per abilitare la federazione, esegui il comando **aws cloudtrail enable-federation** fornendo i parametri **--event-data-store** e **--role** richiesti. Per **--event-data-store**, fornisci l'ARN del datastore di eventi (o il suffisso ID dell'ARN). Per **--role**, fornisci l'ARN per il tuo ruolo di federazione. Il ruolo deve esistere nel tuo account e fornire le [autorizzazioni minime richieste](query-federation.md#query-federation-permissions-role).

```
aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name
```

Questo esempio mostra come un amministratore delegato può abilitare la federazione in un datastore di eventi dell'organizzazione specificando l'ARN del datastore di eventi nell'account di gestione e l'ARN del ruolo di federazione nell'account amministratore delegato.

```
aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
```

------

# Disabilitare la federazione delle query di Lake
<a name="query-disable-federation"></a>

**Nota**  
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).

Puoi disabilitare la federazione utilizzando la CloudTrail console o AWS CLI il funzionamento dell'[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html)API. Quando disabiliti la federazione, CloudTrail disabilita l'integrazione con AWS Glue e Amazon Athena. AWS Lake Formation Dopo aver disabilitato la federazione delle query di Lake, non puoi più eseguire query sui dati degli eventi in Athena. Nessun dato di CloudTrail Lake viene eliminato quando disabiliti la federazione e puoi continuare a eseguire query in Lake. CloudTrail 

Questa sezione descrive come disabilitare la federazione utilizzando la CloudTrail console e AWS CLI.

------
#### [ CloudTrail console ]

La procedura seguente mostra come disabilitare la federazione delle query di Lake in un datastore di eventi esistente.

1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Nel riquadro di navigazione, seleziona **Datastore di eventi** in **Lake**.

1. Scegli il datastore di eventi da aggiornare. In questo modo si apre la pagina dei dettagli del datastore di eventi.

1. In **Federazione delle query di Lake**, scegli **Modifica**, quindi **Disabilita**.

1. Scegli **Save changes** (Salva modifiche). Lo **stato della federazione** cambia in `Disabled`.

------
#### [ AWS CLI ]

Per disabilitare la federazione nel datastore di eventi, esegui il comando **aws cloudtrail disable-federation**. L'archivio di dati degli eventi è specificato da `--event-data-store`, che accetta un ARN dell'archivio di dati degli eventi o il suffisso ID dell'ARN.

```
aws cloudtrail disable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
```

**Nota**  
Se si tratta di un datastore di eventi dell'organizzazione, utilizza l'ID account dell'account di gestione.

------

# Gestione delle risorse della federazione dei CloudTrail laghi con AWS Lake Formation
<a name="query-federation-lake-formation"></a>

**Nota**  
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).

Quando si federa un Event Data Store, CloudTrail registra il ruolo di federazione ARN e Event Data Store AWS Lake Formation, il servizio responsabile di consentire il controllo granulare degli accessi alle risorse federate nel Data Catalog. AWS Glue Questa sezione descrive come utilizzare Lake Formation per gestire le risorse della CloudTrail Lake Federation.

Quando abiliti la federazione, CloudTrail crea le seguenti risorse nel AWS Glue Data Catalog.
+ **Database gestito**: CloudTrail crea 1 database con il nome `aws:cloudtrail` per account. CloudTrail gestisce il database. Non è possibile eliminare o modificare il database in AWS Glue. 
+ **Tabella federata gestita**: CloudTrail crea 1 tabella per ogni data store federato di eventi e utilizza l'ID del data store degli eventi per il nome della tabella. CloudTrail gestisce le tabelle. Non è possibile eliminare o modificare le tabelle in AWS Glue. Per eliminare una tabella, è necessario [disabilitare la federazione](query-disable-federation.md) nel datastore di eventi. 

## Controllo dell'accesso alle risorse federate
<a name="query-federation-lake-formation-control"></a>

È possibile utilizzare uno dei due metodi di autorizzazione per controllare l'accesso al database e alle tabelle gestiti.
+ **Solo controllo degli accessi IAM**: con questa opzione, tutti gli utenti dell'account con le autorizzazioni IAM richieste hanno accesso a tutte le risorse del Catalogo dati. Per informazioni su come AWS Glue funziona con IAM, consulta [How AWS Glue works with IAM](https://docs.aws.amazon.com/glue/latest/dg/security_iam_service-with-iam.html). 

  Sulla console Lake Formation, questo metodo ha il nome **Usa solo il controllo degli accessi IAM**.
**Nota**  
Se desideri creare filtri di dati e utilizzare altre funzionalità di Lake Formation, devi utilizzare il controllo degli accessi di Lake Formation.
+ **Controllo degli accessi di Lake Formation**: questo metodo offre i seguenti vantaggi. 
  + Puoi implementare la sicurezza a livello di colonna, riga e cella tramite la creazione di [filtri di dati](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html). *Per ulteriori informazioni, consulta [Proteggere i data lake con il controllo degli accessi a livello di riga nella Guida](https://docs.aws.amazon.com/lake-formation/latest/dg/cbac-tutorial.html) per gli AWS Lake Formation sviluppatori.*
  + Il database e le tabelle sono visibili solo agli amministratori di Lake Formation e ai creatori del database e delle risorse di Lake Formation. Se un altro utente deve accedere a queste risorse, devi [concedere l'accesso utilizzando le autorizzazioni di Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-catalog-permissions.html) in modo esplicito.

Per ulteriori informazioni sul controllo granulare degli accessi, consulta [Metodi per il controllo granulare degli accessi](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-fine-grained.html).

## Determinazione del metodo di autorizzazione per una risorsa federata
<a name="query-federation-lake-formation-permissions-method"></a>

Quando abiliti la federazione per la prima volta, CloudTrail crea un database gestito e una tabella federata gestita utilizzando le impostazioni del data lake Lake Formation.

Dopo aver CloudTrail abilitato la federazione, puoi verificare quale metodo di autorizzazioni stai utilizzando per il database gestito e la tabella federata gestita controllando le autorizzazioni per tali risorse. Se per la risorsa è presente l'impostazione `ALL` (*Super*) per `IAM_ALLOWED_PRINCIPALS `, la risorsa viene gestita esclusivamente dalle autorizzazioni IAM. Se l'impostazione non è presente, la risorsa è gestita dalle autorizzazioni di Lake Formation. Per ulteriori informazioni sulle autorizzazioni di Lake Formation, consulta [Documentazione di riferimento sulle autorizzazioni Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html).

Il metodo di autorizzazione per il database e la tabella federata gestiti può essere diverso. Ad esempio, se controlli i valori del database e della tabella, potresti visualizzare i seguenti elementi:
+ Per il database, se il valore `ALL` (*Super*) assegnato a `IAM_ALLOWED_PRINCIPALS` è presente nelle autorizzazioni significa che stai utilizzando solo il controllo degli accessi IAM per il database.
+ Per la tabella, se il valore `ALL` (*Super*) assegnato a `IAM_ALLOWED_PRINCIPALS` non è presente, significa che il controllo degli accessi avviene tramite le autorizzazioni di Lake Formation.

Puoi passare da un metodo di accesso all'altro in qualsiasi momento aggiungendo o rimuovendo `ALL` (*Super*) all'autorizzazione di `IAM_ALLOWED_PRINCIPALS ` su qualsiasi risorsa federata in Lake Formation.

## Condivisione tra account tramite Lake Formation
<a name="query-federation-lake-formation-cross-account"></a>

In questa sezione viene descritto come condividere un database e una tabella federata gestiti tra account utilizzando Lake Formation.

Puoi condividere un database gestito tra più account seguendo questi passaggi:

1. Aggiorna la [versione per la condivisione dei dati tra account](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html) alla versione 4. 

1. Rimuovi `Super` dalle autorizzazioni `IAM_ALLOWED_PRINCIPALS` del database, se presenti, per passare al controllo degli accessi di Lake Formation.

1. Concedi autorizzazioni `Describe` all'account esterno sul database.

1. Se una risorsa del Data Catalog è condivisa con te Account AWS e il tuo account non fa parte della stessa AWS organizzazione dell'account di condivisione, accetta l'invito alla condivisione delle risorse da AWS Resource Access Manager (AWS RAM). Per ulteriori informazioni, consulta [Accettazione di un invito alla condivisione di risorse dalla AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).

Dopo aver completato questi passaggi, il database dovrebbe essere visibile all'account esterno. Per impostazione predefinita, la condivisione del database non consente l'accesso ad alcuna tabella presente al suo interno.

 Puoi condividere tutte le tabelle federate gestite o tabelle singole con un account esterno seguendo questi passaggi:

1. Aggiorna la [versione per la condivisione dei dati tra account](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html) alla versione 4. 

1. Rimuovi `Super` dalle autorizzazioni `IAM_ALLOWED_PRINCIPALS` della tabella, se presenti, per passare al controllo degli accessi di Lake Formation.

1. (Facoltativo) Specifica eventuali [filtri di dati](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html) per limitare colonne o righe.

1. Concedi autorizzazioni `Select` all'account esterno sulla tabella.

1. Se una risorsa del Data Catalog è condivisa con il tuo account Account AWS e il tuo account non fa parte della stessa AWS organizzazione dell'account di condivisione, accetta l'invito alla condivisione delle risorse da AWS Resource Access Manager (AWS RAM). Per un'organizzazione, puoi accettare automaticamente l'invito utilizzando le impostazioni RAM. Per ulteriori informazioni, consulta [Accettazione di un invito alla condivisione di risorse dalla AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).

1. La tabella dovrebbe ora essere visibile. Per abilitare le query di Amazon Athena su questa tabella, crea un [link alla risorsa in questo account](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-table.html) con la tabella condivisa.

[L'account proprietario può revocare la condivisione in qualsiasi momento rimuovendo le autorizzazioni per l'account esterno da Lake Formation o disabilitando la federazione in.](query-disable-federation.md) CloudTrail