As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciando recursos da CloudTrail Lake Federation com AWS Lake Formation
**nota**
AWS CloudTrail O Lake não estará mais aberto a novos clientes a partir de 31 de maio de 2026. Se você gostaria de usar o CloudTrail Lake, inscreva-se antes dessa data. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte [CloudTrail Alteração na disponibilidade do lago](cloudtrail-lake-service-availability-change.md).
Quando você federa um armazenamento de dados de eventos, CloudTrail registra o ARN da função de federação e o armazenamento de dados de eventos em AWS Lake Formation, o serviço responsável por permitir o controle de acesso refinado dos recursos federados no Catálogo de Dados. AWS Glue Esta seção descreve como você pode usar o Lake Formation para gerenciar os recursos da federação CloudTrail Lake.
Quando você ativa a federação, CloudTrail cria os seguintes recursos no Catálogo AWS Glue de Dados.
+ **Banco de dados gerenciado** — CloudTrail cria 1 banco de dados com o nome `aws:cloudtrail` por conta. CloudTrail gerencia o banco de dados. Você não pode excluir ou modificar o banco de dados em AWS Glue.
+ **Tabela federada gerenciada** — CloudTrail cria 1 tabela para cada armazenamento de dados de eventos federados e usa a ID do armazenamento de dados de eventos para o nome da tabela. CloudTrail gerencia as tabelas. Você não pode excluir ou modificar as tabelas em AWS Glue. Para excluir uma tabela, você deve [desabilitar a federação](query-disable-federation.md) no armazenamento de dados de eventos.
## Controlar o acesso aos recursos federados
Você pode usar um dos dois métodos de permissões para controlar o acesso ao banco de dados gerenciado e às tabelas.
+ **Controle de acesso somente do IAM**: com o controle de acesso somente do IAM, todos os usuários na conta com as permissões necessárias do IAM têm acesso a todos os recursos do catálogo de dados. Para obter informações sobre como AWS Glue funciona com o IAM, consulte [Como AWS Glue funciona com o IAM](https://docs.aws.amazon.com/glue/latest/dg/security_iam_service-with-iam.html).
No console do Lake Formation, esse método aparece como **Use apenas controle de acesso do IAM**.
**nota**
Se quiser criar filtros de dados e usar outros atributos do Lake Formation, você deve usar o controle de acesso do Lake Formation.
+ **Controle de acesso do Lake Formation**: este método oferece as seguintes vantagens.
+ É possível implementar segurança por coluna, por linha e por célula ao criar [filtros de dados](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html). Para obter mais informações, consulte [Proteger data lakes com controle de acesso em nível de linha](https://docs.aws.amazon.com/lake-formation/latest/dg/cbac-tutorial.html) no *Guia do desenvolvedor do AWS Lake Formation *.
+ O banco de dados e as tabelas só são visíveis para os administradores e criadores do banco de dados e dos recursos do Lake Formation. Se outro usuário precisar acessar esses recursos, você deverá [conceder acesso explicitamente usando as permissões do Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-catalog-permissions.html).
Para obter mais informações sobre o controle de acesso, consulte [Métodos de controle de acesso granular](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-fine-grained.html).
## Determinar o método de permissões para um recurso federado
Quando você ativa a federação pela primeira vez, CloudTrail cria um banco de dados gerenciado e uma tabela federada gerenciada usando as configurações do data lake do Lake Formation.
Depois de CloudTrail habilitar a federação, você pode verificar qual método de permissões está usando para o banco de dados gerenciado e a tabela federada gerenciada verificando as permissões desses recursos. Se `ALL` (*Super*) da configuração `IAM_ALLOWED_PRINCIPALS ` estiver presente para o recurso, ele será gerenciado exclusivamente pelas permissões do IAM. Se a configuração estiver ausente, o recurso será gerenciado pelas permissões do Lake Formation. Para obter mais informações sobre as permissões do Lake Formation, consulte a [Referência de permissões do Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html).
O método de permissões para o banco de dados gerenciado e a tabela federada gerenciada pode ser diferente. Por exemplo, se você verificar os valores do banco de dados e da tabela, poderá ver o seguinte:
+ Para o banco de dados, o valor atribuído a `ALL` (*Super*) para `IAM_ALLOWED_PRINCIPALS` está presente nas permissões, indicando que você está usando apenas o controle de acesso do IAM para o banco de dados.
+ Para a tabela, o valor que atribui `ALL` (*Super*) a `IAM_ALLOWED_PRINCIPALS` não está presente, indicando o controle de acesso pelas permissões do Lake Formation.
Você pode alternar entre os métodos de acesso a qualquer momento, adicionando ou removendo `ALL` (*Super*) à permissão `IAM_ALLOWED_PRINCIPALS ` em qualquer recurso federado no Lake Formation.
## Compartilhamento entre contas no Lake Formation
Esta seção descreve como compartilhar um banco de dados gerenciado e uma tabela federada gerenciada entre contas usando o Lake Formation.
Você pode compartilhar um banco de dados gerenciado entre contas seguindo estas etapas:
1. Atualize a [versão de compartilhamento de dados entre contas](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html) para 4.
1. Remova `Super` das permissões `IAM_ALLOWED_PRINCIPALS` do banco de dados, se houver, para alternar para o controle de acesso do Lake Formation.
1. Conceda permissões `Describe` para a conta externa no banco de dados.
1. Se um recurso do Catálogo de Dados for compartilhado com você Conta da AWS e sua conta não estiver na mesma AWS organização da conta de compartilhamento, aceite o convite de compartilhamento de recursos AWS Resource Access Manager (AWS RAM). Para obter mais informações, consulte [Aceitar um convite de compartilhamento de recursos da AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).
Depois de concluir essas etapas, o banco de dados deverá estar visível para a conta externa. Por padrão, o compartilhamento do banco de dados não dá acesso a nenhuma tabela no banco de dados.
Você pode compartilhar todas as tabelas federadas gerenciadas ou individuais com uma conta externa seguindo estas etapas:
1. Atualize a [versão de compartilhamento de dados entre contas](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html) para 4.
1. Remova `Super` das permissões `IAM_ALLOWED_PRINCIPALS` da tabela, se houver, para alternar para o controle de acesso do Lake Formation.
1. (Opcional) Especifique [filtros de dados](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html) para restringir colunas ou linhas.
1. Conceda permissões `Select` para a conta externa na tabela.
1. Se um recurso do Catálogo de Dados for compartilhado com você Conta da AWS e sua conta não estiver na mesma AWS organização da conta de compartilhamento, aceite o convite de compartilhamento de recursos AWS Resource Access Manager (AWS RAM). Para uma organização, você pode aceitar automaticamente o uso das configurações de RAM. Para obter mais informações, consulte [Aceitar um convite de compartilhamento de recursos da AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).
1. A tabela agora deverá estar visível. Para habilitar consultas do Amazon Athena nessa tabela, crie um [link de recurso nesta conta](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-table.html) com a tabela compartilhada.
A conta proprietária pode revogar o compartilhamento a qualquer momento removendo as permissões da conta externa do Lake Formation ou [desativando](query-disable-federation.md) a federação em. CloudTrail