Nutzung vorhandener IAM-Rollen zur Erfüllung von Amazon-Abonnements DataZone - Amazon DataZone

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Nutzung vorhandener IAM-Rollen zur Erfüllung von Amazon-Abonnements DataZone

In der aktuellen Version DataZone unterstützt Amazon Sie dabei, Ihre vorhandenen IAM-Rollen zu verwenden, um Zugriff auf die Daten zu erhalten. Um dies zu erreichen, können Sie in der DataZone Amazon-Umgebung, die Sie für die Erfüllung Ihres Abonnements verwenden, ein Abonnementziel erstellen. Um ein Abonnementziel für eine Umgebung in einem der zugehörigen AWS Konten zu erstellen, können Sie die folgenden Schritte ausführen:

Schritt 1: Stellen Sie sicher, dass Ihre DataZone Amazon-Domain Version 2 oder höher der RAM-Richtlinie verwendet

  1. Navigieren Sie in der AWS RAM-Konsole zur Seite Shared by me: Resource Shares.

  2. Da AWS RAM-Ressourcenfreigaben in bestimmten AWS Regionen existieren, wählen Sie die entsprechende AWS Region aus der Dropdownliste in der oberen rechten Ecke der Konsole aus.

  3. Wählen Sie den Resource Share aus, der Ihrer DataZone Amazon-Domain entspricht, und klicken Sie dann auf Ändern. Sie können die RAM-Freigabe für die DataZone Amazon-Domain anhand des Namens oder der ID der Domain identifizieren, da die RAM-Freigabe mit dem Namen erstellt wird:DataZone-<domain-name>-<domain-id>.

  4. Wählen Sie Weiter, um mit dem nächsten Schritt fortzufahren, in dem Sie die Version der RAM-Richtlinie überprüfen und ändern können.

  5. Stellen Sie sicher, dass die Version der RAM-Richtlinie Version 2 oder höher ist. Wenn nicht, verwenden Sie das Drop-down-Menü, um Version 2 oder höher auszuwählen.

  6. Wählen Sie Weiter zu Schritt 4: Überprüfen und aktualisieren.

  7. Wählen Sie „Ressourcenfreigabe aktualisieren“.

Schritt 2: Erstellen Sie ein Abonnementziel aus einem verknüpften Konto

  • In der aktuellen Version DataZone unterstützt Amazon das Erstellen von Abonnementzielen APIs nur mithilfe von. Im Folgenden finden Sie einige Beispiele für die Payload, die Sie verwenden können, um ein Abonnementziel für die Erfüllung von Abonnements für Ihre AWS Glue-Tabellen und Amazon Redshift Redshift-Tabellen oder -Ansichten zu erstellen. Weitere Informationen finden Sie unter CreateSubscriptionTarget.

    Beispiel für ein Abonnementziel für AWS Glue

    
{
        "domainIdentifier": "<DOMAIN_ID>",
        "environmentIdentifier": "<ENVIRONMENT_ID>",
        "name": "<SUBSCRIPTION_TARGET_NAME>",
        "type": "GlueSubscriptionTargetType",
        "authorizedPrincipals" : ["IAM_ROLE_ARN"],
        "subscriptionTargetConfig" : [{"content": "{\"databaseName\": \"<DATABASE_NAME>\"}", "formName": "GlueSubscriptionTargetConfigForm"}],
        "manageAccessRole": "<GLUE_DATA_ACCESS_ROLE_IN_ASSOCIATED_ACCOUNT_ARN>",
        "applicableAssetTypes" : ["GlueTableAssetType"],
        "provider": "Amazon DataZone"
}

    Beispiel für ein Abonnementziel für Amazon Redshift:

    
{
        "domainIdentifier": "<DOMAIN_ID>",
        "environmentIdentifier": "<ENVIRONMENT_ID>",
        "name": "<SUBSCRIPTION_TARGET_NAME>",
        "type": "RedshiftSubscriptionTargetType",
        "authorizedPrincipals" : ["REDSHIFT_DATABASE_ROLE_NAME"],
        "subscriptionTargetConfig" : [{"content": "{\"databaseName\": \"<DATABASE_NAME>\", \"secretManagerArn\": \"<SECRET_MANAGER_ARN>\",\"clusterIdentifier\": \"<CLUSTER_IDENTIFIER>\"}", "formName": "RedshiftSubscriptionTargetConfigForm"}],
        "manageAccessRole": "<REDSHIFT_DATA_ACCESS_ROLE_IN_ASSOCIATED_ACCOUNT_ARN>",
        "applicableAssetTypes" : ["RedshiftViewAssetType", "RedshiftTableAssetType"],
        "provider": "Amazon DataZone"
}
    Wichtig

    • Der EnvironmentIdentifier, den Sie im obigen API-Aufruf verwenden, sollte in demselben verknüpften Konto vorhanden sein, von dem aus Sie den API-Aufruf tätigen. Andernfalls ist der API-Aufruf nicht erfolgreich.

    • Die IAM-Rolle ARN, die Sie in den „AuthorizedPrincipals“ verwenden, ist die Rolle, auf die Amazon DataZone Zugriff gewährt, nachdem ein abonniertes Asset zum Abonnementziel hinzugefügt wurde. Diese autorisierten Principals müssen demselben Konto angehören wie die Umgebung, in der das Abonnementziel erstellt wird.

    • Der Wert für das Anbieterfeld muss „Amazon DataZone“ lauten DataZone , damit Amazon die Abonnementabwicklung abschließen kann.

    • Der in angegebene Datenbankname subscriptionTargetConfig sollte in dem Konto, in dem das Ziel erstellt wird, bereits vorhanden sein. Amazon DataZone wird diese Datenbank nicht erstellen. Stellen Sie außerdem sicher, dass die Rolle „Zugriff verwalten“ über die CREATE TABLE-Berechtigung für diese Datenbank verfügt.

    • Stellen Sie außerdem sicher, dass die Rollen (IAM-Rolle für AWS Glue und Datenbankrolle für Amazon Redshift) bereitgestellt werden, da die autorisierten Prinzipale bereits im Umgebungskonto vorhanden sind. Für Amazon Redshift Redshift-Abonnementziele sind zusätzliche Updates für die Rolle erforderlich, die beim Herstellen der Verbindung mit dem Cluster übernommen wird. Dieser Rolle muss ein RedshiftDbRoles Tag zugewiesen sein. Der Wert des Tags kann eine durch Kommas getrennte Liste sein. Der Wert sollte die Datenbankrolle sein, die bei der Erstellung des Abonnementziels als autorisierter Prinzipal angegeben wurde.

Schritt 3: Abonnieren Sie eine neue Tabelle und schließen Sie das Abonnement für das neue Ziel ab

  • Sobald Sie das Abonnementziel erstellt haben, können Sie eine neue Tabelle abonnieren und Amazon erfüllt DataZone es bis zum oben genannten Ziel.