DataZone Amazon-Integration mit dem AWS Lake Formation Formation-Hybridmodus - Amazon DataZone
Umgang mit verschlüsselten Amazon S3 S3-Standorten bei der Aktivierung der AWS Lake Formation Formation-Hybridmodus-Integration in Amazon DataZone

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

DataZone Amazon-Integration mit dem AWS Lake Formation Formation-Hybridmodus

Amazon DataZone ist in den AWS Lake Formation Formation-Hybridmodus integriert. Diese Integration ermöglicht es Ihnen, Ihre AWS Glue-Tabellen einfach über Amazon zu veröffentlichen und zu teilen, DataZone ohne sie zuerst in AWS Lake Formation registrieren zu müssen. Im Hybridmodus können Sie mit der Verwaltung von Berechtigungen für Ihre AWS Glue-Tabellen über AWS Lake Formation beginnen und gleichzeitig alle vorhandenen IAM-Berechtigungen für diese Tabellen beibehalten.

Zu Beginn können Sie die Einstellung für die Registrierung des Datenstandorts unter dem DefaultDataLakeBlueprint in der DataZone Amazon-Managementkonsole aktivieren.

Aktivieren Sie die Integration mit dem AWS Lake Formation Formation-Hybridmodus

  1. Navigieren Sie zur DataZone Amazon-Konsole unter https://console.aws.amazon.com/datazone und melden Sie sich mit Ihren Kontoanmeldeinformationen an.

  2. Wählen Sie Domänen anzeigen und wählen Sie die Domain aus, in der Sie die Integration mit dem AWS Lake Formation Formation-Hybridmodus aktivieren möchten.

  3. Navigieren Sie auf der Seite mit den Domänendetails zur Registerkarte Blueprints.

  4. Wählen Sie in der Blueprint-Liste den DefaultDataLakeBlueprint aus.

  5. Stellen Sie sicher, dass der DefaultDataLake Blueprint aktiviert ist. Wenn es nicht aktiviert ist, folgen Sie den Schritten unter, Aktivieren Sie integrierte Blueprints in dem AWS Konto, dem die DataZone Amazon-Domain gehört um es in Ihrem AWS Konto zu aktivieren.

  6. Öffnen Sie auf der DefaultDataLake Detailseite den Tab Provisioning und wählen Sie in der oberen rechten Ecke der Seite die Schaltfläche Bearbeiten aus.

  7. Aktivieren Sie unter Registrierung des Datenstandorts das Kontrollkästchen, um die Registrierung des Datenstandorts zu aktivieren.

  8. Für die Datenstandortverwaltungsrolle können Sie eine neue IAM-Rolle erstellen oder eine vorhandene IAM-Rolle auswählen. Amazon DataZone verwendet diese Rolle, um den Lese-/Schreibzugriff auf die ausgewählten Amazon S3 S3-Buckets für Data Lake im AWS Lake Formation Formation-Hybridzugriffsmodus zu verwalten. Weitere Informationen finden Sie unter AmazonDataZone<region>S3 Manage- - <domainId>.

  9. Optional können Sie bestimmte Amazon S3 S3-Standorte ausschließen, wenn Sie nicht möchten, dass Amazon DataZone sie automatisch im Hybridmodus registriert. Führen Sie dazu die folgenden Schritte aus:

    • Wählen Sie die Umschaltfläche, um bestimmte Amazon S3 S3-Standorte auszuschließen.

    • Geben Sie die URI des Amazon S3 S3-Buckets an, den Sie ausschließen möchten.

    • Um weitere Buckets hinzuzufügen, wählen Sie S3-Standort hinzufügen.

      Anmerkung

      Amazon erlaubt DataZone nur den Ausschluss eines Root-S3-Standorts. Alle S3-Standorte innerhalb des Pfads eines S3-Stammstandorts werden automatisch von der Registrierung ausgeschlossen.

    • Wählen Sie Änderungen speichern aus.

Sobald Sie die Einstellung für die Registrierung des Datenstandorts in Ihrem AWS Konto aktiviert haben und ein Datenverbraucher eine über IAM-Berechtigungen verwaltete AWS Glue-Tabelle abonniert, registriert Amazon zunächst die Amazon S3 S3-Standorte dieser Tabelle im Hybridmodus und gewährt dann dem Datenverbraucher Zugriff, indem die Berechtigungen für die Tabelle über AWS Lake Formation verwaltet DataZone werden. Dadurch wird sichergestellt, dass die IAM-Berechtigungen für die Tabelle auch mit den neu erteilten AWS Lake Formation Formation-Berechtigungen bestehen bleiben, ohne bestehende Workflows zu stören.

Umgang mit verschlüsselten Amazon S3 S3-Standorten bei der Aktivierung der AWS Lake Formation Formation-Hybridmodus-Integration in Amazon DataZone

Wenn Sie einen Amazon S3 S3-Standort verwenden, der mit einem vom Kunden verwalteten oder AWS verwalteten KMS-Schlüssel verschlüsselt ist, muss die AmazonDataZoneS3Manage-Rolle über die Berechtigung verfügen, Daten mit dem KMS-Schlüssel zu verschlüsseln und zu entschlüsseln, oder die KMS-Schlüsselrichtlinie muss Berechtigungen für den Schlüssel der Rolle gewähren.

Wenn Ihr Amazon S3 S3-Standort mit einem AWS verwalteten Schlüssel verschlüsselt ist, fügen Sie der AmazonDataZoneDataLocationManagementRolle die folgende Inline-Richtlinie hinzu:


   {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "<AWS managed key ARN>"
    }
  ]

Wenn Ihr Amazon S3 S3-Standort mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, gehen Sie wie folgt vor:

  1. Öffnen Sie die AWS KMS-Konsole unter https://console.aws.amazon.com/kms und melden Sie sich als Administrator für AWS Identity and Access Management (IAM) an oder als Benutzer, der die Schlüsselrichtlinie des KMS-Schlüssels ändern kann, der zur Verschlüsselung des Standorts verwendet wird.

  2. Wählen Sie im Navigationsbereich die Option Vom Kunden verwaltete Schlüssel und dann den Namen des gewünschten KMS-Schlüssels aus.

  3. Wählen Sie auf der Seite mit den KMS-Schlüsseldetails die Registerkarte Schlüsselrichtlinie aus, und führen Sie dann einen der folgenden Schritte aus, um Ihre benutzerdefinierte Rolle oder die mit dem Lake Formation Service verknüpfte Rolle als KMS-Schlüsselbenutzer hinzuzufügen:

    • Wenn die Standardansicht angezeigt wird (mit den Abschnitten Schlüsseladministratoren, Schlüssellöschung, Schlüsselbenutzer und Andere AWS Konten), fügen Sie im Abschnitt Schlüsselbenutzer die AmazonDataZoneDataLocationManagementRolle hinzu.

    • Wenn die Schlüsselrichtlinie (JSON) angezeigt wird, bearbeiten Sie die Richtlinie, um dem Objekt „Verwendung des Schlüssels zulassen“ AmazonDataZoneDataLocationManagementeine Rolle hinzuzufügen, wie im folgenden Beispiel gezeigt

      
...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...
Anmerkung

Wenn sich der KMS-Schlüssel oder der Amazon S3 S3-Standort nicht in demselben AWS Konto wie der Datenkatalog befinden, folgen Sie den Anweisungen unter AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts.