Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Autorisieren von Verbindungen über AWS Lake Formation
| Gilt für: Enterprise Edition |
| Zielgruppe: Systemadministratoren |
Wenn Sie Daten mit abfragen, können Sie AWS Lake Formation damit vereinfachen Amazon Athena, wie Sie Ihre Daten von Amazon Quick Sight sichern und eine Verbindung zu ihnen herstellen. Lake Formation erweitert das AWS Identity and Access Management (IAM) -Berechtigungsmodell durch die Bereitstellung eines eigenen Berechtigungsmodells, das auf AWS Analyse- und Machine-Learning-Dienste angewendet wird. Dieses zentral definierte Berechtigungsmodell steuert den Datenzugriff auf granularer Ebene durch einen einfachen Mechanismus für die Erteilung und den Widerruf von Berechtigungen. Sie können Lake Formation anstelle von oder zusätzlich zu Richtlinien mit eingeschränktem Geltungsbereich mit IAM verwenden.
Wenn Sie Lake Formation einrichten, registrieren Sie Ihre Datenquellen, damit das Programm die Daten in einen neuen Data Lake in Amazon S3 verschieben kann. Lake Formation und Athena arbeiten beide nahtlos mit AWS Glue Data Catalog zusammen, so dass sie leicht zusammen verwendet werden können. Athena-Datenbanken und -Tabellen sind Metadaten-Container. Diese Container beschreiben das zugrundeliegende Schema der Daten, die DDL-Anweisungen (Data Definition Language) und den Speicherort der Daten in Amazon S3.
Das folgende Diagramm zeigt die Beziehungen der beteiligten AWS Dienste.
Nach der Konfiguration von Lake Formation können Sie Amazon Quick Suite verwenden, um anhand des Namens oder über SQL-Abfragen auf Datenbanken und Tabellen zuzugreifen. Amazon Quick Suite bietet einen Editor mit vollem Funktionsumfang, in dem Sie SQL-Abfragen schreiben können. Oder Sie können die Athena-Konsole AWS CLI, den oder Ihren bevorzugten Abfrage-Editor verwenden. Weitere Informationen finden Sie unter Zugriff auf Athena im Benutzerhandbuch zu Amazon Athena.
Verwenden Sie die folgenden Themen, um eine Lake Formation-Verbindung über Lake Formation oder Amazon Quick Suite zu konfigurieren.
Aktivieren der Verbindung von Lake Formation
Bevor Sie diese Lösung mit Quick Suite verwenden, stellen Sie sicher, dass Sie mit Athena mit Lake Formation auf Ihre Daten zugreifen können. Nachdem Sie sich vergewissert haben, dass die Verbindung über Athena funktioniert, müssen Sie nur noch überprüfen, ob Amazon Quick Suite eine Verbindung zu Athena herstellen kann. Auf diese Weise müssen Sie die Verbindungsprobleme nicht bei allen drei Produkten gleichzeitig beheben. Eine einfache Möglichkeit, die Verbindung zu testen, ist die Verwendung der Athena-AbfragekonsoleSELECT 1 FROM table.
Um Lake Formation einzurichten, muss die Person oder das Team, das daran arbeitet, Zugang zur Erstellung einer neuen IAM-Rolle und zu Lake Formation haben. Sie benötigen auch die in der folgenden Liste aufgeführten Informationen. Weitere Informationen finden Sie unter Einrichten von Lake Formation im AWS Lake Formation -Entwicklerhandbuch.
-
Erfassen Sie die Amazon-Ressourcennamen (ARNs) der Quick Suite-Benutzer und -Gruppen, die auf die Daten in Lake Formation zugreifen müssen. Diese Benutzer sollten Autoren oder Administratoren von Amazon Quick Suite sein.
So finden Sie Benutzer und Gruppen von Amazon Quick Suite ARNs
-
Verwenden Sie die AWS CLI , um Benutzer ARNs für Amazon Quick Suite-Autoren und -Administratoren zu finden. Führen Sie dazu den folgenden
list-users-Befehl in Ihrem Terminal (Linux oder Mac) oder in der Befehlszeile (Windows) aus.aws quicksight list-users --aws-account-id111122223333--namespace default --regionus-east-1Die Antwort gibt Informationen für jeden Benutzer zurück. Im folgenden Beispiel zeigen wir den Amazon-Ressourcenname (ARN) fett gedruckt.
RequestId:a27a4cef-4716-48c8-8d34-7d3196e76468Status: 200 UserList: - Active:trueArn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkarEmail:SaanviSarkar@example.comPrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TARole:ADMINUserName:SaanviSarkarUm die Verwendung von zu vermeiden AWS CLI, können Sie das ARNs für jeden Benutzer manuell erstellen.
-
(Optional) Verwenden Sie die AWS CLI , um nach Amazon Quick Suite-Gruppen zu ARNs suchen, indem Sie den folgenden
list-groupBefehl in Ihrem Terminal (Linux oder Mac) oder in Ihrer Befehlszeile (Windows) ausführen.aws quicksight list-groups --aws-account-id111122223333--namespace default --region us-east-1Die Antwort gibt Informationen für jede Gruppe zurück. Der ARN wird im folgenden Beispiel fett gedruckt.
GroupList: - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-ScorecardDescription:Data Lake for CXO Balanced ScorecardGroupName:DataLake-ScorecardPrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7dbRequestId:c1000198-18fa-4277-a1e2-02163288caf6Status: 200Wenn Sie keine Amazon Quick Suite-Gruppen haben, fügen Sie eine Gruppe AWS CLI hinzu, indem Sie den
create-groupBefehl ausführen. Derzeit gibt es keine Option, dies von der Amazon Quick Suite-Konsole aus zu tun. Weitere Informationen finden Sie unter Gruppen in Amazon Quick Suite erstellen und verwalten.Um die Verwendung von zu vermeiden AWS CLI, können Sie die ARNs für jede Gruppe manuell erstellen.
-
Verbindung über Amazon Quick Suite aktivieren
Um mit Lake Formation und Athena zu arbeiten, stellen Sie sicher, dass Sie AWS Ressourcenberechtigungen in Amazon Quick Suite konfiguriert haben:
-
Aktivieren Sie den Zugriff auf Amazon Athena.
-
Aktivieren Sie den Zugriff auf die richtigen Buckets in Amazon S3. Normalerweise wird S3-Zugriff bei Aktivierung von Athena aktiviert. Da Sie S3-Berechtigungen jedoch außerhalb dieses Prozesses ändern können, ist es eine gute Idee, sie separat zu überprüfen.
Informationen zum Überprüfen oder Ändern von AWS Ressourcenberechtigungen in Quick Suite finden Sie unter Automatische Erkennung von AWS Ressourcen zulassen und Zugreifen auf Datenquellen.
