As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Integrar o Centro de Identidade do IAM
Com Centro de Identidade do AWS IAM, você pode se conectar a provedores de identidade (IdPs) e gerenciar centralmente o acesso de usuários e grupos em todos os serviços de AWS análise. É possível integrar provedores de identidade, como Okta, Ping e Microsoft Entra ID (antigo Azure Active Directory), ao Centro de Identidade do IAM para que os usuários da organização acessem dados usando uma experiência de login único. O Centro de Identidade do IAM também aceita a conexão de outros provedores de identidade terceiros.
Para obter mais informações, consulte [Provedores de identidade compatíveis](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) no Guia Centro de Identidade do AWS IAM do usuário.
Você pode configurar AWS Lake Formation como um aplicativo habilitado no IAM Identity Center, e os administradores do data lake podem conceder permissões refinadas a usuários e grupos autorizados sobre recursos. AWS Glue Data Catalog
Os usuários da organização podem entrar em qualquer aplicação habilitada para o Centro de Identidade usando o provedor de identidade da organização e consultar conjuntos de dados aplicando as permissões do Lake Formation. Com essa integração, você pode gerenciar o acesso aos AWS serviços sem criar várias funções do IAM.
A [propagação de identidade confiável](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) é um Centro de Identidade do AWS IAM recurso que os administradores do Connected Serviços da AWS podem usar para conceder e auditar o acesso aos dados do serviço. O acesso a esses dados é baseado em atributos do usuário, como associações de grupo. Configurar a propagação de identidade confiável requer colaboração entre os administradores do Connected Serviços da AWS e os administradores do IAM Identity Center. Para ter mais informações, consulte [Prerequisites and considerations](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html).
Para conhecer as limitações, consulte [Limitações da integração com o Centro de Identidade do IAM](identity-center-lf-notes.md).
**Topics**
+ [Pré-requisitos para integrar o Centro de Identidade do IAM ao Lake Formation](prerequisites-identity-center.md)
+ [Conectar o Lake Formation ao Centro de Identidade do IAM](connect-lf-identity-center.md)
+ [Atualizar integração com o Centro de Identidade do IAM Identity](update-lf-identity-center-connection.md)
+ [Excluir uma conexão do Lake Formation com o Centro de Identidade do IAM](delete-lf-identity-center-connection.md)
+ [Conceder permissões a usuários e grupos](grant-permissions-sso.md)
+ [Incluindo o contexto do usuário do IAM Identity Center nos CloudTrail registros](identity-center-ct-logs.md)
# Pré-requisitos para integrar o Centro de Identidade do IAM ao Lake Formation
Veja a seguir os pré-requisitos para integrar o Centro de Identidade do IAM ao Lake Formation.
1. Habilitar o Centro de Identidade do IAM: habilitar o Centro de Identidade do IAM é um pré-requisito para oferecer compatibilidade com a autenticação e a propagação de identidade.
1. Selecionar a fonte de identidade: depois de habilitar o Centro de Identidade do IAM, é necessário ter um provedor de identificação para gerenciar usuários e grupos. É possível usar o diretório incorporado do Centro de Identidade como fonte de identidade ou usar IdP externo, como Microsoft Entra ID ou Okta.
Para obter mais informações, consulte [Gerenciar sua fonte de identidade](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) e [Conectar-se a um provedor de identidade externo](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) no Guia Centro de Identidade do AWS IAM do usuário.
1. Crie um perfil do IAM: a função que cria a conexão do Centro de Identidade do IAM exige permissões para criar e modificar a configuração da aplicação no Lake Formation e no Centro de Identidade do IAM, conforme a política incorporada a seguir.
É necessário adicionar permissões de acordo com as práticas recomendadas do IAM. As permissões específicas são detalhadas nos procedimentos a seguir. Para obter mais informações, consulte [Getting Started with IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:CreateLakeFormationIdentityCenterConfiguration",
"sso:CreateApplication",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope"
],
"Resource": [
"*"
]
}
]
}
```
------
Se você estiver compartilhando recursos do Catálogo de Dados com organizações externas Contas da AWS ou externas, deverá ter as permissões AWS Resource Access Manager (AWS RAM) para criar compartilhamentos de recursos. Para ter mais informações sobre as permissões necessárias para compartilhar recursos, consulte [Cross-account data sharing prerequisites](cross-account-prereqs.md).
As políticas incorporadas a seguir contêm permissões específicas necessárias para visualizar, atualizar e excluir propriedades da integração do Lake Formation com o Centro de Identidade do IAM.
+ Use a política incorporada a seguir para que um perfil do IAM visualize uma integração do Lake Formation ao Centro de Identidade do IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
"sso:DescribeApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ Use a política incorporada a seguir para que um perfil do IAM atualize uma integração do Lake Formation ao Centro de Identidade do IAM. A política também inclui permissões opcionais necessárias para compartilhar recursos com contas externas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
"lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
"sso:DescribeApplication",
"sso:UpdateApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ Use a política incorporada a seguir para que um perfil do IAM exclua uma integração do Lake Formation ao Centro de Identidade do IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
"sso:DeleteApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ Com relação às permissões do IAM necessárias para conceder ou revogar permissões de data lake para usuários e grupos do Centro de Identidade do IAM, consulte [Permissões do IAM necessárias para conceder ou revogar as permissões do Lake Formation](required-permissions-for-grant.md).
*Descrição das permissões*
+ `lakeformation:CreateLakeFormationIdentityCenterConfiguration`: cria a configuração do Lake Formation IdC.
+ `lakeformation:DescribeLakeFormationIdentityCenterConfiguration`: descreve uma configuração existente do IdC.
+ `lakeformation:DeleteLakeFormationIdentityCenterConfiguration`: permite excluir uma configuração existente do Lake Formation IdC.
+ `lakeformation:UpdateLakeFormationIdentityCenterConfiguration`: usado para alterar uma configuração existente do Lake Formation.
+ `sso:CreateApplication`: usado para criar uma aplicação IAM Identity Center.
+ `sso:DeleteApplication`: usado para excluir uma aplicação IAM Identity Center.
+ `sso:UpdateApplication`: usado para atualizar uma aplicação IAM Identity Center.
+ `sso:PutApplicationGrant`: usado para alterar as informações do emissor de tokens confiáveis.
+ `sso:PutApplicationAuthenticationMethod`: concede acesso para autenticação no Lake Formation.
+ `sso:GetApplicationGrant`: usado para listar as informações do emissor de tokens confiáveis.
+ `sso:DeleteApplicationGrant`: exclui as informações do emissor de tokens confiáveis.
+ `sso:PutApplicationAccessScope`: adiciona ou atualiza a lista de alvos autorizados para um escopo de acesso ao Centro de Identidade do IAM para uma aplicação.
+ `sso:PutApplicationAssignmentConfiguration`: usado para configurar como os usuários obtêm acesso a uma aplicação.
# Conectar o Lake Formation ao Centro de Identidade do IAM
Antes de usar o Centro de Identidade do IAM para gerenciar identidades e conceder acesso aos recursos do catálogo de dados usando o Lake Formation, siga as etapas abaixo. É possível criar a integração do Centro de Identidade do IAM usando o console do Lake Formation ou a AWS CLI.
------
#### [ Console de gerenciamento da AWS ]
**Como conectar o Lake Formation ao Centro de Identidade do IAM**
1. Faça login no Console de gerenciamento da AWS, e abra o console do Lake Formation em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. No painel de navegação esquerdo, selecione **Integração com o Centro de Identidade do IAM**.
![\[Tela de integração do Centro de Identidade do IAM com o ARN do Centro de Identidade.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/identity-center-integ.png)
1. (Opcional) Insira uma ou mais unidades and/or organizacionais válidas Conta da AWS IDs IDs para permitir que contas externas acessem os recursos do Catálogo de Dados. IDs Quando usuários ou grupos do Centro de Identidade do IAM tentam acessar os recursos do Catálogo de Dados gerenciado do Lake Formation, o Lake Formation assume um perfil do IAM para autorizar o acesso aos metadados. Se a função do IAM pertencer a uma conta externa que não tem uma política de AWS Glue recursos e um compartilhamento de AWS RAM recursos, os usuários e grupos do IAM Identity Center não poderão acessar o recurso, mesmo que tenham permissões do Lake Formation.
Lake Formation usa o serviço AWS Resource Access Manager (AWS RAM) para compartilhar o recurso com contas e organizações externas. AWS RAM envia um convite para a conta do beneficiário para aceitar ou rejeitar o compartilhamento de recursos.
Para obter mais informações, consulte [Aceitando um convite de compartilhamento de recursos do AWS RAM](accepting-ram-invite.md).
**nota**
O Lake Formation permite que os perfis do IAM de contas externas atuem como perfis operadores em nome dos usuários e grupos do Centro de Identidade do IAM para acessar os recursos do Catálogo de Dados, mas as permissões só podem ser concedidas em recursos do Catálogo de Dados dentro da conta proprietária. Se você tentar conceder permissões a usuários e grupos do Centro de Identidade do IAM em recursos do Catálogo de Dados em uma conta externa, o Lake Formation vai gerar o seguinte erro: “Cross-account grants are not supported for the principal”.
1. (Opcional) Na tela de **integração do Create Lake Formation**, especifique os aplicativos ARNs de terceiros que podem acessar dados em locais do Amazon S3 registrados no Lake Formation. A Lake Formation vende credenciais temporárias com escopo reduzido na forma de tokens para locais AWS STS registrados do Amazon S3 com base nas permissões efetivas, para que aplicativos autorizados possam acessar dados em nome dos usuários.
1. (Opcional) Na tela de **integração Create Lake Formation**, marque a caixa de seleção Amazon Redshift Connect no Trusted Identity Propagation para permitir a descoberta de permissões federadas do Amazon Redshift via IDC. O Lake Formation propaga a identidade para sistemas downstream com base nas permissões efetivas, de modo que aplicações autorizadas possam acessar os dados em nome dos usuários.
1. Selecione **Submit (Enviar)**.
Depois que o administrador do Lake Formation concluir as etapas e criar a integração, as propriedades do Centro de Identidade do IAM aparecerão no console do Lake Formation. A conclusão dessas tarefas torna o Lake Formation uma aplicação habilitada para o Centro de Identidade do IAM. As propriedades no console incluem o status da integração. O status de integração indica `Success` quando está concluída. Esse status indica se a configuração do Centro de Identidade do IAM foi concluída.
------
#### [ AWS CLI ]
+ O exemplo a seguir mostra como criar a integração do Lake Formation ao Centro de Identidade do IAM. Também é possível especificar o `Status` (`ENABLED`, `DISABLED`) das aplicações.
```
aws lakeformation create-lake-formation-identity-center-configuration \
--catalog-id <123456789012> \
--instance-arn \
--share-recipients '[{"DataLakePrincipalIdentifier": "<123456789012>"},
{"DataLakePrincipalIdentifier": "<555555555555>"}]' \
--external-filtering '{"AuthorizedTargets": ["", ""], "Status": "ENABLED"}'
```
+ O exemplo a seguir mostra como visualizar a integração do Lake Formation ao Centro de Identidade do IAM.
```
aws lakeformation describe-lake-formation-identity-center-configuration
--catalog-id <123456789012>
```
+ O exemplo a seguir mostra como habilitar a `Redshift:Connect` Autorização. A autorização pode ser ATIVADA ou DESATIVADA.
```
aws lakeformation create-lake-formation-identity-center-configuration \
--instance-arn \
--service-integrations '[{
"Redshift": [{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}]
}]'
```
+ Use o `describe-lake-formation-identity-center-configuration` comando para descrever o aplicativo do centro de identidade de formação de lagos. `Redshift:Connect`a integração de serviços é essencial para a propagação de identidade de IDC entre serviços e clusters:
```
aws lakeformation describe-lake-formation-identity-center-configuration --catalog-id <123456789012>
```
Resposta:
```
{
"CatalogId": "CATALOG ID",
"InstanceArn": "INSTANCE ARN",
"ApplicationArn": "APPLICATION ARN",
"ShareRecipients": [],
"ServiceIntegrations": [
{
"Redshift": [
{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}
]
}
]
}
```
------
## Usando o IAM Identity Center em vários Regiões da AWS
O Lake Formation oferece suporte ao IAM Identity Center em vários Regiões da AWS. Você pode estender o IAM Identity Center de suas regiões principais Região da AWS para regiões adicionais para melhorar o desempenho por meio da proximidade com os usuários e da confiabilidade. Quando uma nova região é adicionada ao IAM Identity Center, você pode criar aplicativos do Lake Formation Identity Center na nova região sem replicar identidades da região primária. Para obter mais detalhes sobre como começar a usar o IAM Identity Center em várias regiões, consulte o [Multi-Region IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) no *Guia do usuário do IAM Identity Center*.
# Atualizar integração com o Centro de Identidade do IAM Identity
Depois de criar a conexão, é possível adicionar aplicações de terceiros para a integração com o Centro de Identidade do IAM a fim de integrá-las ao Lake Formation e obter acesso aos dados do Amazon S3 em nome dos usuários. Também é possível remover aplicações existentes da integração com o Centro de Identidade do IAM. Você pode adicionar ou remover aplicativos usando o console Lake Formation e usando [UpdateLakeFormationIdentityCenterConfiguration](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_UpdateLakeFormationIdentityCenterConfiguration.html)a operação. AWS CLI
**nota**
Depois de criar a integração com o Centro de Identidade do IAM, não é possível atualizar o `ARN` da instância.
------
#### [ Console de gerenciamento da AWS ]
**Como atualizar uma conexão existente do Centro de Identidade do IAM com o Lake Formation**
1. Faça login no Console de gerenciamento da AWS, e abra o console do Lake Formation em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. No painel de navegação esquerdo, selecione **Integração com o Centro de Identidade do IAM**.
1. Selecione **Adicionar** na página **Integração com o Centro de Identidade do IAM**.
1. Insira uma ou mais unidades and/or organizacionais válidas Conta da AWS IDs IDs para permitir que contas externas acessem os recursos do Catálogo de Dados. IDs
1. Na tela **Adicionar aplicativos**, insira o aplicativo IDs dos aplicativos de terceiros que você deseja integrar ao Lake Formation.
1. Selecione **Adicionar**.
1. (Opcionalmente) Na página de **integração do IAM Identity Center, você pode ativar a propagação de identidade** confiável para o Amazon Redshift Connect ou desativá-la. O Lake Formation propaga a identidade para sistemas downstream com base nas permissões efetivas, de modo que aplicações autorizadas possam acessar os dados em nome dos usuários.
------
#### [ AWS CLI ]
Você pode adicionar ou remover aplicativos de terceiros para a integração do IAM Identity Center executando o AWS CLI comando a seguir. Ao definir o status de filtragem externa como `ENABLED`, ele permite que o Centro de Identidade do IAM forneça gerenciamento de identidade para aplicações de terceiros acessarem dados gerenciados pelo Lake Formation. Também é possível habilitar ou desabilitar a integração com o Centro de Identidade do IAM definindo o status da aplicação.
```
aws lakeformation update-lake-formation-identity-center-configuration \
--external-filtering '{"AuthorizedTargets": ["", ""], "Status": "ENABLED"}'\
--share-recipients '[{"DataLakePrincipalIdentifier": "<444455556666>"}
{"DataLakePrincipalIdentifier": "<777788889999>"}]' \
--application-status ENABLED
```
Se você tem um aplicativo LF IDC existente, mas deseja adicionar a `Redshift:Connect` autorização, você pode usar o seguinte para atualizar seu aplicativo Lake Formation IDC. A autorização pode ser ATIVADA ou DESATIVADA.
```
aws lakeformation update-lake-formation-identity-center-configuration \
--service-integrations '[{
"Redshift": [{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}]
}]'
```
------
# Excluir uma conexão do Lake Formation com o Centro de Identidade do IAM
Se quiser excluir uma integração existente do IAM Identity Center, você pode fazer isso usando o console ou a [DeleteLakeFormationIdentityCenterConfiguration](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_DeleteLakeFormationIdentityCenterConfiguration.html)operação do Lake Formation. AWS CLI
------
#### [ Console de gerenciamento da AWS ]
**Como excluir uma conexão existente do Centro de Identidade do IAM com o Lake Formation**
1. Faça login no Console de gerenciamento da AWS, e abra o console do Lake Formation em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. No painel de navegação esquerdo, selecione **Integração com o Centro de Identidade do IAM**.
1. Selecione **Excluir** na página **Integração com o Centro de Identidade do IAM**.
1. Na tela **Confirmar integração**, confirme a ação e selecione **Excluir**.
------
#### [ AWS CLI ]
Você pode excluir a integração do IAM Identity Center executando o AWS CLI comando a seguir.
```
aws lakeformation delete-lake-formation-identity-center-configuration \
--catalog-id <123456789012>
```
------
# Conceder permissões a usuários e grupos
O administrador do data lake pode conceder permissões a usuários e grupos do Centro de Identidade do IAM nos recursos do catálogo de dados (bancos de dados, tabelas e visualizações) para facilitar o acesso aos dados. Para conceder ou revogar as permissões do data lake, o concessor exige permissões para as ações a seguir do Centro de Identidade do IAM.
+ [DescribeUser](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html)
+ [DescribeGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeGroup.html)
+ [DescribeInstance](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_DescribeInstance.html)
É possível conceder permissões usando o console do Lake Formation, a API ou a AWS CLI.
Para obter mais informações sobre a concessão de permissões, consulte [Conceder permissões nos recursos do Catálogo de Dados](granting-catalog-permissions.md)
**nota**
Só é possível conceder permissões em recursos em sua conta. Para distribuir permissões em cascata para usuários e grupos em recursos compartilhados com você, você deve usar compartilhamentos de AWS RAM recursos.
------
#### [ Console de gerenciamento da AWS ]
**Como conceder permissões a usuários e grupos**
1. Faça login no Console de gerenciamento da AWS, e abra o console do Lake Formation em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Selecione **Permissões do data lake** em **Permissões** no console do Lake Formation.
1. Selecione **Conceder**.
1. Na página **Conceder permissões de data lake**, selecione usuários e grupos do **Centro de Identidade do IAM**.
1. Selecione **Adicionar** para escolher os usuários e os grupos aos quais conceder permissões.
![\[Tela Conceder permissões de data lake com usuários e grupos do Centro de Identidade do IAM selecionados.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/identity-center-grant-perm.png)
1. Na tela **Atribuir usuários e grupos**, escolha os and/or grupos de usuários para conceder permissões.
Selecione **Atribuir**.
![\[Tela Conceder permissões de data lake com usuários e grupos do Centro de Identidade do IAM selecionados.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/identity-center-assign-users-groups.png)
1. Depois, escolha o método para conceder permissões.
Para obter instruções sobre como conceder permissões usando o método de recursos nomeados, consulte [Conceder permissões de dados usando o método de recurso nomeado](granting-cat-perms-named-resource.md).
Para obter instruções sobre como conceder permissão usando tags do LF, consulte [Conceder permissões de data lake usando o método LF-TBAC](granting-catalog-perms-TBAC.md).
1. Selecione os recursos do catálogo de dados nos quais deseja conceder as permissões.
1. Selecione as permissões do catálogo de dados a serem concedidas.
1. Selecione **Conceder**.
------
#### [ AWS CLI ]
O exemplo a seguir mostra como conceder a permissão `SELECT` ao usuário do Centro de Identidade do IAM em uma tabela.
```
aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/ \
--permissions "SELECT" \
--resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```
Para recuperar `UserId` do IAM Identity Center, consulte a [GetUserId](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html)operação na Referência da API do IAM Identity Center.
------
# Incluindo o contexto do usuário do IAM Identity Center nos CloudTrail registros
O Lake Formation usa a funcionalidade de [fornecimento de credenciais](using-cred-vending.md) para conceder acesso temporário aos dados do Amazon S3. Por padrão, quando um usuário do IAM Identity Center envia uma consulta a um serviço de análise integrado, os CloudTrail registros incluem apenas a função do IAM assumida pelo serviço para fornecer acesso de curto prazo. Se você usar uma função definida pelo usuário para registrar a localização dos dados do Amazon S3 no Lake Formation, poderá optar por incluir o contexto do usuário do IAM Identity Center nos eventos e, em CloudTrail seguida, rastrear os usuários que acessam seus recursos.
**Importante**
Para incluir solicitações de API do Amazon S3 em nível de objeto no, você precisa CloudTrail habilitar CloudTrail o registro de eventos para bucket e objetos do Amazon S3. Para obter mais informações, consulte [Habilitando o registro de CloudTrail eventos para buckets e objetos do Amazon S3 no Guia do usuário](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) do Amazon S3.
**Como habilitar a auditoria do fornecimento de credenciais em localizações de data lake registradas com perfis definidos pelo usuário**
1. Faça login no console do Lake Formation em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. No painel de navegação à esquerda, expanda **Administração** e selecione **Configurações do Catálogo de Dados**.
1. Em **Auditoria aprimorada**, escolha **Propagar contexto fornecido**.
1. Escolha **Salvar**.
Você também pode ativar a opção de auditoria aprimorada definindo o `Parameters` atributo na [PutDataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_PutDataLakeSettings.html)operação. Por padrão, o parâmetro `SET_CONTEXT"` é definido como verdadeiro.
```
{
"DataLakeSettings": {
"Parameters": {"SET_CONTEXT": "true"},
}
}
```
A seguir está um trecho de um CloudTrail evento com a opção de auditoria aprimorada. Esse log inclui o contexto de sessão do usuário do Centro de Identidade do IAM Identity e o perfil do IAM definido pelo usuário assumido pelo Lake Formation para acessar a localização de dados do Amazon S3. Veja o parâmetro `onBehalfOf` no trecho a seguir.
```
{
"eventVersion":"1.09",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
"arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
"accountId":"123456789012",
"accessKeyId":"ASIAW7F7MOX4CQLD4JIZN",
"sessionContext":{
"sessionIssuer":{
"type":"Role",
"principalId":"AROAW7F7MOX4OYE6FLIFN",
"arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole",
"accountId":"123456789012",
"userName":"accessGrantsTestRole"
},
"attributes":{
"creationDate":"2023-08-09T17:24:02Z",
"mfaAuthenticated":"false"
}
},
"onBehalfOf":{
"userId": "",
"identityStoreArn": "arn:aws:identitystore::"
}
},
"eventTime":"2023-08-09T17:25:43Z",
"eventSource":"s3.amazonaws.com",
"eventName":"GetObject",
....
```