Lake クエリフェデレーションを有効にする
CloudTrail コンソール、AWS CLI、または EnableFederation API オペレーションを使用して Lake クエリフェデレーションを有効にできます。Lake クエリフェデレーションを有効にすると、CloudTrail は aws:cloudtrail という名前のマネージドデータベース (データベースがまだ存在しない場合) とマネージドフェデレーションテーブルを AWS Glue Data Catalog に作成します。イベントデータストア ID はテーブル名に使用されます。CloudTrail は、フェデレーションロール ARN とイベントデータストアを、AWS Glue Data Catalog 内のフェデレーションリソースのきめ細かなアクセス制御を可能にするサービスである AWS Lake Formation に登録します。
このセクションでは、CloudTrail コンソールと AWS CLI を使用してフェデレーションを有効にする方法について説明します。
- CloudTrail console
-
以下の手順では、既存のイベントデータストアで Lake クエリフェデレーションを有効にする方法を示します。
-
AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudtrail/で CloudTrail コンソールを開きます。
-
ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。
-
更新するイベントデータストアを選択します。データストアの [詳細] ページが開きます。
-
[Lake クエリフェデレーション] で、[編集] を選択し、[有効化] を選択します。
-
新しい IAM ロールを作成するか、既存のロールを使用するか選択します。新しいロールを作成すると、必要なアクセス許可が付与されたロールが CloudTrail により自動的に作成されます。既存のロールを使用する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。
新しい IAM ロールを作成する場合は、ロールの名前を入力します。
-
既存の IAM ロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。
-
[Save changes] (変更の保存) をクリックします。[フェデレーションステータス] は Enabled に変わります。
- AWS CLI
-
フェデレーションを有効にするには、必須パラメータの --event-data-store と --role を指定して aws cloudtrail
enable-federation コマンドを実行します。--event-data-store には、イベントデータストア ARN (または ARN の ID サフィックス) を指定します。--role には、フェデレーションロールの ARN を指定します。ロールはアカウントに存在し、必要最小限のアクセス許可が付与されている必要があります。
aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name
この例は、管理アカウントのイベントデータストアの ARN と、委任された管理者アカウントのフェデレーションロールの ARN を指定することで、委任された管理者が組織のイベントデータストアのフェデレーションを有効にする方法を示しています。
aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
