Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengintegrasikan Pusat Identitas IAM
Dengan AWS IAM Identity Center, Anda dapat terhubung ke penyedia identitas (IdPs) dan mengelola akses secara terpusat untuk pengguna dan grup di seluruh layanan AWS analitik. Anda dapat mengintegrasikan penyedia identitas seperti Okta, Ping, dan Microsoft Entra ID (sebelumnya Azure Active Directory) dengan IAM Identity Center bagi pengguna di organisasi Anda untuk mengakses data menggunakan pengalaman masuk tunggal. IAM Identity Center juga mendukung menghubungkan penyedia identitas pihak ketiga tambahan.
Untuk informasi selengkapnya, lihat [Penyedia identitas yang didukung](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) di Panduan AWS IAM Identity Center Pengguna.
Anda dapat mengonfigurasi AWS Lake Formation sebagai aplikasi yang diaktifkan di Pusat Identitas IAM, dan administrator data lake dapat memberikan izin halus kepada pengguna dan grup yang berwenang pada sumber daya. AWS Glue Data Catalog
Pengguna dari organisasi Anda dapat masuk ke aplikasi apa pun yang diaktifkan Pusat Identitas menggunakan penyedia identitas organisasi Anda, dan kumpulan data kueri yang menerapkan izin Lake Formation. Dengan integrasi ini, Anda dapat mengelola akses ke AWS layanan, tanpa membuat beberapa peran IAM.
[Propagasi identitas tepercaya](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) adalah AWS IAM Identity Center fitur yang Layanan AWS dapat digunakan oleh administrator terhubung untuk memberikan dan mengaudit akses ke data layanan. Akses ke data ini didasarkan pada atribut pengguna seperti asosiasi grup. Menyiapkan propagasi identitas tepercaya memerlukan kolaborasi antara administrator yang terhubung Layanan AWS dan administrator Pusat Identitas IAM. Untuk informasi lebih lanjut, lihat [Prasyarat](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html) dan pertimbangan.
Untuk batasan, lihat [Keterbatasan integrasi Pusat Identitas IAM](identity-center-lf-notes.md).
**Topics**
+ [Prasyarat untuk integrasi IAM Identity Center dengan Lake Formation](prerequisites-identity-center.md)
+ [Menghubungkan Lake Formation dengan IAM Identity Center](connect-lf-identity-center.md)
+ [Memperbarui integrasi Pusat Identitas IAM](update-lf-identity-center-connection.md)
+ [Menghapus koneksi Lake Formation dengan IAM Identity Center](delete-lf-identity-center-connection.md)
+ [Memberikan izin kepada pengguna dan grup](grant-permissions-sso.md)
+ [Termasuk konteks pengguna Pusat Identitas IAM di log CloudTrail](identity-center-ct-logs.md)
# Prasyarat untuk integrasi IAM Identity Center dengan Lake Formation
Berikut ini adalah prasyarat untuk mengintegrasikan IAM Identity Center dengan Lake Formation.
1. Aktifkan Pusat Identitas IAM - Mengaktifkan IAM Identity Center adalah prasyarat untuk mendukung otentikasi dan propagasi identitas.
1. Pilih sumber identitas Anda — Setelah mengaktifkan Pusat Identitas IAM, Anda harus memiliki penyedia identifikasi untuk mengelola pengguna dan grup. Anda dapat menggunakan direktori Pusat Identitas bawaan sebagai sumber identitas atau menggunakan iDP eksternal, seperti Microsoft Entra ID atau Okta.
Untuk informasi selengkapnya, lihat [Mengelola sumber identitas Anda](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) dan [Connect ke penyedia identitas eksternal](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) di Panduan AWS IAM Identity Center Pengguna.
1. Buat peran IAM — Peran yang membuat koneksi IAM Identity Center memerlukan izin untuk membuat dan memodifikasi konfigurasi aplikasi di Lake Formation dan IAM Identity Center seperti dalam kebijakan inline berikut.
Anda perlu menambahkan izin per praktik terbaik IAM. Izin khusus dirinci dalam prosedur berikut. Untuk informasi selengkapnya, lihat [Memulai Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:CreateLakeFormationIdentityCenterConfiguration",
"sso:CreateApplication",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope"
],
"Resource": [
"*"
]
}
]
}
```
------
Jika Anda berbagi sumber daya Katalog Data dengan eksternal Akun AWS atau organisasi, Anda harus memiliki izin AWS Resource Access Manager (AWS RAM) untuk membuat pembagian sumber daya. Untuk informasi selengkapnya tentang izin yang diperlukan untuk berbagi sumber daya, lihat Prasyarat [berbagi data lintas akun](cross-account-prereqs.md).
Kebijakan inline berikut berisi izin khusus yang diperlukan untuk melihat, memperbarui, dan menghapus properti integrasi Lake Formation dengan IAM Identity Center.
+ Gunakan kebijakan inline berikut untuk mengizinkan peran IAM untuk melihat integrasi Lake Formation dengan IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
"sso:DescribeApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ Gunakan kebijakan inline berikut untuk mengizinkan peran IAM memperbarui integrasi Lake Formation dengan IAM Identity Center. Kebijakan ini juga mencakup izin opsional yang diperlukan untuk berbagi sumber daya dengan akun eksternal.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
"lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
"sso:DescribeApplication",
"sso:UpdateApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ Gunakan kebijakan inline berikut untuk mengizinkan peran IAM menghapus integrasi Lake Formation dengan IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
"sso:DeleteApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ Untuk izin IAM yang diperlukan untuk memberikan atau mencabut izin data lake bagi pengguna dan grup Pusat Identitas IAM, lihat. [Izin IAM diperlukan untuk memberikan atau mencabut izin Lake Formation](required-permissions-for-grant.md)
*Deskripsi izin*
+ `lakeformation:CreateLakeFormationIdentityCenterConfiguration`— Membuat konfigurasi iDC Lake Formation.
+ `lakeformation:DescribeLakeFormationIdentityCenterConfiguration`— Menjelaskan konfigurasi IDC yang ada.
+ `lakeformation:DeleteLakeFormationIdentityCenterConfiguration`— Memberikan kemampuan untuk menghapus konfigurasi Lake Formation IDC yang ada.
+ `lakeformation:UpdateLakeFormationIdentityCenterConfiguration`— Digunakan untuk mengubah konfigurasi Lake Formation yang ada.
+ `sso:CreateApplication`— Digunakan untuk membuat aplikasi IAM Identity Center.
+ `sso:DeleteApplication`— Digunakan untuk menghapus aplikasi IAM Identity Center.
+ `sso:UpdateApplication`— Digunakan untuk memperbarui aplikasi Pusat Identitas IAM.
+ `sso:PutApplicationGrant`— Digunakan untuk mengubah informasi penerbit token tepercaya.
+ `sso:PutApplicationAuthenticationMethod`— Memberikan akses otentikasi Lake Formation.
+ `sso:GetApplicationGrant`— Digunakan untuk mencantumkan informasi penerbit token tepercaya.
+ `sso:DeleteApplicationGrant`— Menghapus informasi penerbit token kepercayaan.
+ `sso:PutApplicationAccessScope`— Menambahkan atau memperbarui daftar target resmi untuk ruang lingkup akses Pusat Identitas IAM untuk aplikasi.
+ `sso:PutApplicationAssignmentConfiguration`— Digunakan untuk mengkonfigurasi bagaimana pengguna mendapatkan akses ke aplikasi.
# Menghubungkan Lake Formation dengan IAM Identity Center
Sebelum Anda dapat menggunakan Pusat Identitas IAM untuk mengelola identitas untuk memberikan akses ke sumber daya Katalog Data menggunakan Lake Formation, Anda harus menyelesaikan langkah-langkah berikut. Anda dapat membuat integrasi IAM Identity Center menggunakan konsol Lake Formation atau AWS CLI.
------
#### [ Konsol Manajemen AWS ]
**Untuk menghubungkan Lake Formation dengan IAM Identity Center**
1. Masuk ke Konsol Manajemen AWS, dan buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Di panel navigasi kiri, pilih integrasi **Pusat Identitas IAM**.
![\[Layar integrasi IAM Identity Center dengan Identity Center ARN.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/identity-center-integ.png)
1. (Opsional) Masukkan satu atau lebih unit organisasi Akun AWS IDs, organisasi IDs, and/or organisasi yang valid IDs untuk mengizinkan akun eksternal mengakses sumber daya Katalog Data. Ketika pengguna atau grup IAM Identity Center mencoba mengakses sumber daya Katalog Data yang dikelola Lake Formation, Lake Formation mengambil peran IAM untuk mengotorisasi akses metadata. Jika peran IAM milik akun eksternal yang tidak memiliki kebijakan AWS Glue sumber daya dan pembagian AWS RAM sumber daya, pengguna dan grup Pusat Identitas IAM tidak akan dapat mengakses sumber daya meskipun mereka memiliki izin Lake Formation.
Lake Formation menggunakan layanan AWS Resource Access Manager (AWS RAM) untuk berbagi sumber daya dengan akun dan organisasi eksternal. AWS RAM mengirimkan undangan ke akun penerima hibah untuk menerima atau menolak pembagian sumber daya.
Untuk informasi selengkapnya, lihat [Menerima undangan berbagi sumber daya dari AWS RAM](accepting-ram-invite.md).
**catatan**
Lake Formation mengizinkan peran IAM dari akun eksternal untuk bertindak sebagai peran operator atas nama pengguna dan grup Pusat Identitas IAM untuk mengakses sumber daya Katalog Data, tetapi izin hanya dapat diberikan pada sumber daya Katalog Data dalam akun yang dimiliki. Jika Anda mencoba memberikan izin kepada pengguna dan grup Pusat Identitas IAM pada sumber daya Katalog Data di akun eksternal, Lake Formation akan menampilkan kesalahan berikut - “Hibah lintas akun tidak didukung untuk prinsipal.”
1. (Opsional) Pada layar **integrasi Create Lake Formation**, tentukan aplikasi pihak ketiga yang dapat mengakses data di lokasi Amazon S3 yang terdaftar di Lake Formation. ARNs Lake Formation menjual kredensi sementara cakupan dalam bentuk token ke lokasi Amazon S3 AWS STS terdaftar berdasarkan izin efektif, sehingga aplikasi yang berwenang dapat mengakses data atas nama pengguna.
1. (Opsional) Pada layar **integrasi Create Lake Formation**, centang tandai kotak centang Amazon Redshift Connect di Propagasi Identitas Tepercaya untuk mengaktifkan penemuan Izin Federasi Amazon Redshift melalui IDC. Lake Formation menyebarkan identitas ke hilir berdasarkan izin yang efektif, sehingga aplikasi yang berwenang dapat mengakses data atas nama pengguna.
1. Pilih **Kirim**.
Setelah administrator Lake Formation menyelesaikan langkah-langkah dan membuat integrasi, properti IAM Identity Center muncul di konsol Lake Formation. Menyelesaikan tugas-tugas ini menjadikan Lake Formation sebagai aplikasi yang diaktifkan Pusat Identitas IAM. Properti di konsol termasuk status integrasi. Status integrasi mengatakan `Success` kapan selesai. Status ini menunjukkan apakah konfigurasi IAM Identity Center selesai.
------
#### [ AWS CLI ]
+ Contoh berikut menunjukkan cara membuat integrasi Lake Formation dengan IAM Identity Center. Anda juga dapat menentukan `Status` (`ENABLED`,`DISABLED`) aplikasi.
```
aws lakeformation create-lake-formation-identity-center-configuration \
--catalog-id <123456789012> \
--instance-arn \
--share-recipients '[{"DataLakePrincipalIdentifier": "<123456789012>"},
{"DataLakePrincipalIdentifier": "<555555555555>"}]' \
--external-filtering '{"AuthorizedTargets": ["", ""], "Status": "ENABLED"}'
```
+ Contoh berikut menunjukkan cara melihat integrasi Lake Formation dengan IAM Identity Center.
```
aws lakeformation describe-lake-formation-identity-center-configuration
--catalog-id <123456789012>
```
+ Contoh berikut menunjukkan cara mengaktifkan `Redshift:Connect` Otorisasi. Otorisasi dapat DIAKTIFKAN atau DINONAKTIFKAN.
```
aws lakeformation create-lake-formation-identity-center-configuration \
--instance-arn \
--service-integrations '[{
"Redshift": [{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}]
}]'
```
+ Gunakan `describe-lake-formation-identity-center-configuration` perintah untuk menggambarkan aplikasi pusat identitas pembentukan danau. `Redshift:Connect`integrasi layanan sangat penting untuk propagasi identitas IDC lintas layanan dan lintas cluster:
```
aws lakeformation describe-lake-formation-identity-center-configuration --catalog-id <123456789012>
```
Respons:
```
{
"CatalogId": "CATALOG ID",
"InstanceArn": "INSTANCE ARN",
"ApplicationArn": "APPLICATION ARN",
"ShareRecipients": [],
"ServiceIntegrations": [
{
"Redshift": [
{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}
]
}
]
}
```
------
## Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS
Lake Formation mendukung IAM Identity Center dalam beberapa Wilayah AWS. Anda dapat memperluas Pusat Identitas IAM dari Wilayah utama Anda Wilayah AWS ke Wilayah tambahan untuk meningkatkan kinerja melalui kedekatan dengan pengguna dan keandalan. Ketika Wilayah baru ditambahkan di Pusat Identitas IAM, Anda dapat membuat aplikasi Lake Formation Identity Center di Wilayah baru tanpa mereplikasi identitas dari Wilayah utama. Untuk detail selengkapnya untuk memulai Pusat Identitas IAM di beberapa Wilayah, lihat Pusat Identitas [IAM Multi-Wilayah di Panduan Pengguna Pusat](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) *Identitas IAM*.
# Memperbarui integrasi Pusat Identitas IAM
Setelah membuat koneksi, Anda dapat menambahkan aplikasi pihak ketiga untuk integrasi Pusat Identitas IAM untuk diintegrasikan dengan Lake Formation, dan mendapatkan akses ke data Amazon S3 atas nama pengguna. Anda juga dapat menghapus aplikasi yang ada dari integrasi IAM Identity Center. Anda dapat menambah atau menghapus aplikasi menggunakan konsol Lake Formation, AWS CLI, dan menggunakan [UpdateLakeFormationIdentityCenterConfiguration](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_UpdateLakeFormationIdentityCenterConfiguration.html)operasi.
**catatan**
Setelah membuat integrasi IAM Identity Center, Anda tidak dapat memperbarui instance`ARN`.
------
#### [ Konsol Manajemen AWS ]
**Untuk memperbarui koneksi Pusat Identitas IAM yang ada dengan Lake Formation**
1. Masuk ke Konsol Manajemen AWS, dan buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Di panel navigasi kiri, pilih integrasi **Pusat Identitas IAM**.
1. Pilih **Tambahkan** pada halaman **integrasi Pusat Identitas IAM**.
1. Masukkan satu atau beberapa unit organisasi Akun AWS IDs IDs, and/or organisasi yang valid IDs untuk mengizinkan akun eksternal mengakses sumber daya Katalog Data.
1. Pada layar **Tambahkan aplikasi**, masukkan aplikasi aplikasi IDs pihak ketiga yang ingin Anda integrasikan dengan Lake Formation.
1. Pilih **Tambahkan**.
1. (Optioanlly) Pada halaman **integrasi Pusat Identitas IAM**, Anda dapat mengaktifkan propagasi identitas tepercaya untuk Amazon Redshift menghubungkan atau menonaktifkannya. Lake Formation menyebarkan identitas ke hilir berdasarkan izin yang efektif, sehingga aplikasi yang berwenang dapat mengakses data atas nama pengguna.
------
#### [ AWS CLI ]
Anda dapat menambah atau menghapus aplikasi pihak ketiga untuk integrasi IAM Identity Center dengan menjalankan AWS CLI perintah berikut. Saat Anda menyetel status pemfilteran eksternal ke`ENABLED`, ini memungkinkan Pusat Identitas IAM untuk menyediakan manajemen identitas bagi aplikasi pihak ketiga untuk mengakses data yang dikelola oleh Lake Formation. Anda juga dapat mengaktifkan atau menonaktifkan integrasi IAM Identity Center dengan mengatur status aplikasi.
```
aws lakeformation update-lake-formation-identity-center-configuration \
--external-filtering '{"AuthorizedTargets": ["", ""], "Status": "ENABLED"}'\
--share-recipients '[{"DataLakePrincipalIdentifier": "<444455556666>"}
{"DataLakePrincipalIdentifier": "<777788889999>"}]' \
--application-status ENABLED
```
Jika Anda memiliki aplikasi LF IDC yang ada, tetapi ingin menambahkan `Redshift:Connect` otorisasi, Anda dapat menggunakan yang berikut ini untuk memperbarui Aplikasi IDC Lake Formation Anda. Otorisasi dapat DIAKTIFKAN atau DINONAKTIFKAN.
```
aws lakeformation update-lake-formation-identity-center-configuration \
--service-integrations '[{
"Redshift": [{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}]
}]'
```
------
# Menghapus koneksi Lake Formation dengan IAM Identity Center
Jika Anda ingin menghapus integrasi Pusat Identitas IAM yang ada, Anda dapat melakukannya menggunakan konsol Lake Formation, AWS CLI, atau [DeleteLakeFormationIdentityCenterConfiguration](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_DeleteLakeFormationIdentityCenterConfiguration.html)operasi.
------
#### [ Konsol Manajemen AWS ]
**Untuk menghapus koneksi Pusat Identitas IAM yang ada dengan Lake Formation**
1. Masuk ke Konsol Manajemen AWS, dan buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Di panel navigasi kiri, pilih integrasi **Pusat Identitas IAM**.
1. Pilih **Hapus** pada halaman **integrasi Pusat Identitas IAM**.
1. Pada layar **Konfirmasi integrasi**, konfirmasikan tindakan, dan pilih **Hapus**.
------
#### [ AWS CLI ]
Anda dapat menghapus integrasi IAM Identity Center dengan menjalankan AWS CLI perintah berikut.
```
aws lakeformation delete-lake-formation-identity-center-configuration \
--catalog-id <123456789012>
```
------
# Memberikan izin kepada pengguna dan grup
Administrator data lake Anda dapat memberikan izin kepada pengguna dan grup Pusat Identitas IAM pada sumber daya Katalog Data (database, tabel, dan tampilan) untuk memudahkan akses data. Untuk memberikan atau mencabut izin data lake, pemberi memerlukan izin untuk tindakan Pusat Identitas IAM berikut.
+ [DescribeUser](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html)
+ [DescribeGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeGroup.html)
+ [DescribeInstance](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_DescribeInstance.html)
Anda dapat memberikan izin menggunakan konsol Lake Formation, API, atau. AWS CLI
Untuk informasi selengkapnya tentang pemberian izin, lihat. [Memberikan izin pada sumber daya Katalog Data](granting-catalog-permissions.md)
**catatan**
Anda hanya dapat memberikan izin pada sumber daya di akun Anda. Untuk memberikan izin kepada pengguna dan grup pada sumber daya yang dibagikan dengan Anda, Anda harus menggunakan AWS RAM pembagian sumber daya.
------
#### [ Konsol Manajemen AWS ]
**Untuk memberikan izin kepada pengguna dan grup**
1. Masuk ke Konsol Manajemen AWS, dan buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Pilih **Izin data lake** di bawah **Izin** di konsol Lake Formation.
1. Pilih **Grant**.
1. Pada halaman **Izin data lake Grant**, pilih, pengguna dan grup **Pusat Identitas IAM**.
1. Pilih **Tambah** untuk memilih pengguna dan grup untuk memberikan izin.
![\[Berikan layar izin danau data dengan pengguna dan grup Pusat Identitas IAM yang dipilih.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/identity-center-grant-perm.png)
1. Pada layar **Tetapkan pengguna dan grup**, pilih and/or grup pengguna untuk memberikan izin.
Pilih **Tetapkan**.
![\[Berikan layar izin danau data dengan pengguna dan grup Pusat Identitas IAM yang dipilih.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/identity-center-assign-users-groups.png)
1. Selanjutnya, pilih metode untuk memberikan izin.
Untuk petunjuk tentang pemberian izin menggunakan metode sumber daya bernama, lihat. [Memberikan izin data menggunakan metode sumber daya bernama](granting-cat-perms-named-resource.md)
Untuk petunjuk tentang pemberian izin menggunakan LF-tag, lihat. [Memberikan izin data lake menggunakan metode LF-TBAC](granting-catalog-perms-TBAC.md)
1. Pilih sumber daya Katalog Data yang ingin Anda berikan izin.
1. Pilih izin Katalog Data yang akan diberikan.
1. Pilih **Grant**.
------
#### [ AWS CLI ]
Contoh berikut menunjukkan bagaimana untuk memberikan IAM Identity Center `SELECT` izin pengguna pada tabel.
```
aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/ \
--permissions "SELECT" \
--resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```
Untuk mengambil `UserId` dari Pusat Identitas IAM, lihat [GetUserId](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html)pengoperasian di Referensi API Pusat Identitas IAM.
------
# Termasuk konteks pengguna Pusat Identitas IAM di log CloudTrail
Lake Formation menggunakan fungsionalitas [penjual kredenal](using-cred-vending.md) untuk menyediakan akses sementara ke data Amazon S3. Secara default, ketika pengguna IAM Identity Center mengirimkan kueri ke layanan analitik terintegrasi, CloudTrail log hanya menyertakan peran IAM yang diasumsikan oleh layanan untuk menyediakan akses jangka pendek. Jika Anda menggunakan peran yang ditentukan pengguna untuk mendaftarkan lokasi data Amazon S3 dengan Lake Formation, Anda dapat memilih untuk menyertakan konteks pengguna Pusat Identitas IAM dalam CloudTrail peristiwa, lalu melacak pengguna yang mengakses sumber daya Anda.
**penting**
Untuk menyertakan permintaan API Amazon S3 tingkat objek di dalamnya, Anda harus CloudTrail mengaktifkan CloudTrail pencatatan peristiwa untuk bucket dan objek Amazon S3. Untuk inormasi selengkapnya, lihat [Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek Amazon S3 di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) Panduan Pengguna Amazon S3.
**Untuk mengaktifkan audit penjual kredenal pada lokasi data lake yang terdaftar dengan peran yang ditentukan pengguna**
1. Masuk ke konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Di navigasi sisi kiri, perluas **Administrasi**, dan pilih pengaturan **Katalog Data**.
1. Di bawah **Audit yang disempurnakan**, pilih **Menyebarkan konteks yang disediakan**.
1. Pilih **Simpan**.
Anda juga dapat mengaktifkan opsi audit yang disempurnakan dengan menyetel `Parameters` atribut dalam [PutDataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_PutDataLakeSettings.html)operasi. Secara default, nilai `SET_CONTEXT"` parameter diatur ke “true”.
```
{
"DataLakeSettings": {
"Parameters": {"SET_CONTEXT": "true"},
}
}
```
Berikut ini adalah kutipan dari CloudTrail acara dengan opsi audit yang ditingkatkan. Log ini mencakup konteks sesi pengguna IAM Identity Center dan peran IAM yang ditentukan pengguna yang diasumsikan oleh Lake Formation untuk mengakses lokasi data Amazon S3. Lihat `onBehalfOf` parameter dalam kutipan berikut.
```
{
"eventVersion":"1.09",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
"arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
"accountId":"123456789012",
"accessKeyId":"ASIAW7F7MOX4CQLD4JIZN",
"sessionContext":{
"sessionIssuer":{
"type":"Role",
"principalId":"AROAW7F7MOX4OYE6FLIFN",
"arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole",
"accountId":"123456789012",
"userName":"accessGrantsTestRole"
},
"attributes":{
"creationDate":"2023-08-09T17:24:02Z",
"mfaAuthenticated":"false"
}
},
"onBehalfOf":{
"userId": "",
"identityStoreArn": "arn:aws:identitystore::"
}
},
"eventTime":"2023-08-09T17:25:43Z",
"eventSource":"s3.amazonaws.com",
"eventName":"GetObject",
....
```