Habilitar a federação de consultas do Lake - AWS CloudTrail

Habilitar a federação de consultas do Lake

Você pode habilitar a federação de consultas do Lake usando o console do CloudTrail, AWS CLI ou a operação da API EnableFederation. Quando você habilita a federação de consultas do Lake, o CloudTrail cria um banco de dados gerenciado chamado aws:cloudtrail (se o banco de dados ainda não existir) e uma tabela federada gerenciada no Catálogo de Dados do AWS Glue. O ID do armazenamento de dados de eventos é usado para o nome da tabela. O CloudTrail registra o ARN do perfil de federação e o armazenamento de dados de eventos no AWS Lake Formation, o serviço responsável por permitir o controle de acesso refinado dos recursos federados no Catálogo de Dados do AWS Glue.

Esta seção descreve como habilitar a federação usando o console do CloudTrail e a AWS CLI.

CloudTrail console

O procedimento a seguir mostra como habilitar a federação de consultas do Lake em um armazenamento de dados de eventos existente.

  1. Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, em Lake, escolha Armazenamentos de dados de eventos.

  3. Selecione o armazenamento de dados de eventos que você deseja atualizar. A página de detalhes do armazenamento de dados de eventos é aberta.

  4. Na federação de consultas do Lake, escolha Editar e, em seguida, escolha Habilitar.

  5. Escolha entre criar um novo perfil do IAM ou usar um perfil existente. Quando você cria um novo perfil, o CloudTrail cria automaticamente um perfil com as permissões necessárias. Se você escolher um perfil existente, a política da perfil deve fornecer as permissões mínimas necessárias.

  6. Se você estiver criando um perfil do IAM, insira um nome para ele.

  7. Se você estiver escolhendo um perfil do IAM existente, escolha o perfil que deseja usar. O perfil deve existir em sua conta.

  8. Escolha Salvar alterações. O status da Federação muda para Enabled.

AWS CLI

Para ativar a federação, execute o comando aws cloudtrail enable-federation, fornecendo os parâmetros obrigatórios --event-data-store e --role. Para --event-data-store, forneça o ARN do armazenamento de dados de eventos (ou o sufixo de ID do ARN). Para --role, forneça o ARN para seu perfil na federação. O perfil deve existir em sua conta e fornecer as permissões mínimas necessárias.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name

Este exemplo mostra como um administrador delegado pode habilitar a federação em um armazenamento de dados de eventos da organização especificando o ARN do armazenamento de dados de eventos na conta de gerenciamento e o ARN do perfil de federação na conta de administrador delegado.

aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name