Ihre Verbindung als Glue-Datenkatalog registrieren - Amazon Athena
VoraussetzungenIhre Verbindung über die Konsole registrieren

Ihre Verbindung als Glue-Datenkatalog registrieren

Nachdem Sie Ihre Datenquelle erstellt haben, können Sie die Athena-Konsole verwenden, um Ihre Verbindung als Glue-Datenkatalog zu registrieren. Nach der Registrierung können Sie Ihren Verbunddatenkatalog verwalten und mithilfe von Lake Formation eine detaillierte Zugriffskontrolle aktivieren. Weitere Informationen finden Sie unter Einen Verbundkatalog erstellen.

Sie können die folgenden Konnektors registrieren, um sie mit AWS Glue für eine differenzierte Zugriffskontrolle zu integrieren.

  • Redshift

  • BigQuery

  • DynamoDB (Vorschau)

  • Snowflake (Vorschau)

  • MySQL

  • PostgreSQL

  • AWS CMDB

  • Timestream

  • Azure Data Lake Storage

  • Azure Synapse

  • IBM Db2

  • IBM Db2 AS/400 (Db2 iSeries)

  • DocumentDB

  • Google Cloud Storage

  • HBase

  • OpenSearch

  • Oracle

  • SAP HANA

  • SQL Server

  • TPC-DS

  • Cloudera Hive

  • CloudWatch

  • Cloudwatch-Metriken

  • Teradata

  • Vertica

Voraussetzungen

Bevor Sie beginnen, müssen Sie die folgenden Voraussetzungen erfüllen.

  • Stellen Sie sicher, dass Sie über die erforderlichen Rollen und Berechtigungen verfügen, um Standorte zu registrieren. Weitere Informationen finden Sie unter Anforderungen an Rollen im AWS Lake Formation-Entwicklerhandbuch.

  • Stellen Sie sicher, dass Sie über die erforderlichen Rollen bei Lake Formation verfügen. Weitere Informationen finden Sie in Voraussetzungen für die Verbindung des Datenkatalogs mit externen Datenquellen im AWS Lake Formation-Entwicklerhandbuch.

  • Die Rolle, die Sie in Glue registrieren, muss über die im folgenden Beispiel aufgeführten Berechtigungen verfügen.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket/spill-prefix/*",
    "arn:aws:s3:::amzn-s3-demo-bucket/spill-prefix"
            ]
        },
        {
            "Sid": "lambdainvoke",
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:us-east-1:111122223333:function:lambda_function_name"
        },
        {
            "Sid": "gluepolicy",
            "Effect": "Allow",
            "Action": "glue:*",
            "Resource": [
            "arn:aws:glue:us-east-1:111122223333:connection/<connection_name>",
    "arn:aws:glue:us-east-1:111122223333:catalog"
            ]
        }
    ]
}

  • Sie sind dafür verantwortlich, den entsprechenden Datenzugriff festzulegen und zu verwalten. Bei differenzierten Zugriffskontrollen für Verbundabfragen wird empfohlen, die verwaltete AmazonAthenaFullAccess-Richtlinie zu verwenden. Wenn Sie Ihre eigene Richtlinie verwenden möchten, müssen Sie sicherstellen, dass die Benutzer, die Verbundabfragen ausführen, keinen Zugriff auf die folgenden Ressourcen haben.

    • lambda:InvokeFunction auf dem Lambda-Connector, der in Glue-Connection angegeben ist

    • Zugriff auf den Standort des Spill-Buckets in IAM

    • Zugriff auf die mit Ihrem Verbundkatalog verknüpfte Glue-Connection

    • Lake-Formation-Rolle in IAM

Ihre Verbindung über die Konsole registrieren

Um Ihre Verbindung als Glue-Datenkatalog zu registrieren

  1. Öffnen Sie die Athena-Konsole unter https://console.aws.amazon.com/athena/.

  2. Wählen Sie im Navigationsbereich Datenquellen und Kataloge aus.

  3. Wählen Sie aus der Liste Datenquellen die Datenquelle aus, die Sie erstellt haben, um die Seite mit den Datenquellendetails zu öffnen.

  4. Wählen Sie Get started with AWS Lake Formation (Erste Schritte mit SES) aus.

    Anmerkung

    Nachdem Sie diese Option ausgewählen, müssen Sie Ihre Lambda-Funktion selbst verwalten. Athena-Funktion wird Ihre Lambda-Funktion nicht löschen.

  5. Geben Sie unter Name des Datenkatalogs einen eindeutigen Namen für Ihren Katalog ein.

  6. Wählen Sie die IAM-Rolle Lake Formation aus, die Lake Formation die Berechtigung erteilt, die Lambda-Funktion aufzurufen. Stellen Sie sicher, dass die Rolle über die im Beispiel gezeigten Berechtigungen verfügt.

  7. Geben Sie in das Textfeld bestätigen ein, um die Athena-Datenquelle zu löschen und durch eine Glue-Datenkatalogregistrierung zu ersetzen.

    Anmerkung

    Diese Aktion löscht Ihre Athena-Datenquelle und erstellt an ihrer Stelle einen neuen Glue-Datenkatalog. Nachdem dieser Vorgang abgeschlossen ist, müssen Sie möglicherweise Abfragen aktualisieren, die auf die Datenquelle zugreifen, sodass sie stattdessen auf den neu erstellten Glue-Datenkatalog verweisen.

  8. Wählen Sie Katalog erstellen und zu Lake Formation gehen. Dadurch wird die Lake-Formation-Konsole geöffnet, in der Sie den Katalog verwalten und Benutzern Berechtigungen für Kataloge, Datenbanken und Tabellen gewähren können.