Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengelola sumber daya federasi CloudTrail Danau dengan AWS Lake Formation
<a name="query-federation-lake-formation"></a>

**catatan**  
AWS CloudTrail Danau tidak akan lagi terbuka untuk pelanggan baru mulai 31 Mei 2026. Jika Anda ingin menggunakan CloudTrail Danau, daftar sebelum tanggal tersebut. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat [CloudTrail Perubahan ketersediaan danau](cloudtrail-lake-service-availability-change.md).

Saat Anda menggabungkan penyimpanan data acara, CloudTrail mendaftarkan peran federasi ARN dan penyimpanan data acara AWS Lake Formation, layanan yang bertanggung jawab untuk mengizinkan kontrol akses berbutir halus dari sumber daya federasi dalam Katalog Data. AWS Glue Bagian ini menjelaskan bagaimana Anda dapat menggunakan Lake Formation untuk mengelola sumber daya federasi CloudTrail Danau.

Saat Anda mengaktifkan federasi, CloudTrail buat sumber daya berikut di Katalog AWS Glue Data.
+ **Database terkelola** - CloudTrail membuat 1 database dengan nama `aws:cloudtrail` per akun. CloudTrail mengelola database. Anda tidak dapat menghapus atau memodifikasi database di AWS Glue. 
+ **Tabel federasi terkelola** - CloudTrail membuat 1 tabel untuk setiap penyimpanan data acara federasi dan menggunakan ID penyimpanan data peristiwa untuk nama tabel. CloudTrail mengelola tabel. Anda tidak dapat menghapus atau memodifikasi tabel di AWS Glue. Untuk menghapus tabel, Anda harus [menonaktifkan federasi](query-disable-federation.md) pada penyimpanan data acara. 

## Mengontrol akses ke sumber daya federasi
<a name="query-federation-lake-formation-control"></a>

Anda dapat menggunakan salah satu dari dua metode izin untuk mengontrol akses ke database dan tabel terkelola.
+ **Kontrol akses hanya IAM - Dengan kontrol** akses hanya IAM, semua pengguna di akun dengan izin IAM yang diperlukan diberikan akses ke semua sumber daya Katalog Data. Untuk informasi tentang cara AWS Glue bekerja dengan IAM, lihat [Cara AWS Glue bekerja dengan IAM](https://docs.aws.amazon.com/glue/latest/dg/security_iam_service-with-iam.html). 

  Pada konsol Lake Formation, metode ini muncul sebagai **Gunakan hanya kontrol akses IAM**.
**catatan**  
Jika Anda ingin membuat filter data dan menggunakan fitur Lake Formation lainnya, Anda harus menggunakan kontrol akses Lake Formation.
+ **Kontrol akses Lake Formation** — Metode ini memberikan keuntungan sebagai berikut. 
  + [Anda dapat menerapkan keamanan tingkat kolom, tingkat baris, dan tingkat sel dengan membuat filter data.](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html) *Untuk informasi selengkapnya, lihat [Mengamankan data lake dengan kontrol akses tingkat baris di Panduan](https://docs.aws.amazon.com/lake-formation/latest/dg/cbac-tutorial.html) Pengembang.AWS Lake Formation *
  + Database dan tabel hanya dapat dilihat oleh administrator Lake Formation dan pencipta database dan sumber daya. Jika pengguna lain memerlukan akses ke sumber daya ini, Anda harus secara eksplisit [memberikan akses dengan menggunakan izin Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-catalog-permissions.html).

Untuk informasi selengkapnya tentang kontrol akses, lihat [Metode untuk kontrol akses berbutir halus](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-fine-grained.html).

## Menentukan metode izin untuk sumber daya federasi
<a name="query-federation-lake-formation-permissions-method"></a>

Saat Anda mengaktifkan federasi untuk pertama kalinya, CloudTrail buat database terkelola dan tabel federasi terkelola menggunakan pengaturan danau data Lake Formation Anda.

Setelah CloudTrail mengaktifkan federasi, Anda dapat memverifikasi metode izin yang Anda gunakan untuk database terkelola dan tabel federasi terkelola dengan memeriksa izin untuk sumber daya tersebut. Jika `ALL` (*Super*) ke `IAM_ALLOWED_PRINCIPALS ` pengaturan hadir untuk sumber daya, sumber daya dikelola secara eksklusif oleh izin IAM. Jika pengaturan tidak ada, sumber daya dikelola oleh izin Lake Formation. Untuk informasi selengkapnya tentang izin Lake Formation, lihat referensi [izin Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html).

Metode izin untuk database terkelola dan tabel federasi terkelola dapat berbeda. Misalnya, jika Anda memeriksa nilai untuk database dan tabel, Anda bisa melihat yang berikut:
+ Untuk database, nilai yang menetapkan `ALL` (*Super*) `IAM_ALLOWED_PRINCIPALS` hadir dalam izin yang menunjukkan bahwa Anda menggunakan kontrol akses IAM hanya untuk database.
+ Untuk tabel, nilai yang menetapkan `ALL` (*Super*) untuk `IAM_ALLOWED_PRINCIPALS` tidak hadir, yang menunjukkan kontrol akses oleh izin Lake Formation.

Anda dapat beralih di antara metode akses kapan saja dengan menambahkan atau menghapus `ALL` (*Super*) ke `IAM_ALLOWED_PRINCIPALS ` izin pada sumber daya federasi apa pun di Lake Formation.

## Berbagi lintas akun menggunakan Lake Formation
<a name="query-federation-lake-formation-cross-account"></a>

Bagian ini menjelaskan cara membagikan database terkelola dan tabel federasi terkelola di seluruh akun dengan menggunakan Lake Formation.

Anda dapat membagikan database terkelola di seluruh akun dengan mengambil langkah-langkah berikut:

1. Perbarui [versi berbagi data lintas akun](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html) ke versi 4. 

1. Hapus `Super` ke `IAM_ALLOWED_PRINCIPALS` izin dari database jika ada untuk beralih ke kontrol akses Lake Formation.

1. Berikan `Describe` izin ke akun eksternal pada database.

1. Jika sumber daya Katalog Data dibagikan dengan Anda Akun AWS dan akun Anda tidak berada di AWS organisasi yang sama dengan akun berbagi, terima undangan berbagi sumber daya dari AWS Resource Access Manager (AWS RAM). Untuk informasi selengkapnya, lihat [Menerima undangan berbagi sumber daya dari AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).

Setelah menyelesaikan langkah-langkah ini, database harus terlihat oleh akun eksternal. Secara default, berbagi database tidak memberikan akses ke tabel apa pun dalam database.

 Anda dapat berbagi semua atau individu tabel federasi terkelola dengan akun eksternal dengan mengambil langkah-langkah berikut:

1. Perbarui [versi berbagi data lintas akun](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html) ke versi 4. 

1. Hapus `Super` ke `IAM_ALLOWED_PRINCIPALS` izin dari tabel jika ada untuk beralih ke kontrol akses Lake Formation.

1. (Opsional) Tentukan [filter data](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html) apa pun untuk membatasi kolom atau baris.

1. Berikan `Select` izin ke akun eksternal di atas meja.

1. Jika sumber daya Katalog Data dibagikan dengan Anda Akun AWS dan akun Anda tidak berada di AWS organisasi yang sama dengan akun berbagi, terima undangan berbagi sumber daya dari AWS Resource Access Manager (AWS RAM). Untuk organisasi, Anda dapat menerima secara otomatis menggunakan pengaturan RAM. Untuk informasi selengkapnya, lihat [Menerima undangan berbagi sumber daya dari AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).

1. Tabel sekarang harus terlihat. Untuk mengaktifkan kueri Amazon Athena pada tabel ini, buat [tautan sumber daya di akun ini](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-table.html) dengan tabel bersama.

[Akun pemilik dapat mencabut berbagi kapan saja dengan menghapus izin untuk akun eksternal dari Lake Formation, atau dengan menonaktifkan federasi di.](query-disable-federation.md) CloudTrail