Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Aktivieren Sie die Lake Formation mit Feature-Gruppen
Wenn Sie AWS Lake Formation für eine Feature-Gruppe im Amazon SageMaker Feature Store aktivieren, können Sie die Sicherheit auf Spalten-, Zeilen- und Zellenebene für die Feature-Daten in Ihrem Offline-Shop durchsetzen. Anstatt den Zugriff über individuelle IAM-Richtlinien auf Amazon S3 und AWS Glue Ressourcen zu verwalten, verwenden Sie das Lake Formation Grant and Revoe-Berechtigungsmodell, um zu kontrollieren, welche Benutzer und Rollen auf bestimmte Funktionen und Datensätze zugreifen können. Weitere Informationen zu Lake Formation finden Sie im [AWS Lake Formation Developer Guide](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html).
**Wichtig**
Die Zugriffskontrolle von Lake Formation gilt nur für den Offline-Store. Der Offline-Store wird von Amazon S3 unterstützt und ist in der registriert AWS Glue Data Catalog, für die Lake Formation zuständig ist. Der Zugriff auf den Online-Shop wird weiterhin durch IAM-Richtlinien gesteuert. Um Lake Formation einzurichten, verwenden Sie die `LakeFormationConfig` Klassen `FeatureGroupManager` und aus dem SageMaker AI Python SDK (`sagemaker.mlops.feature_store`). Lake Formation unterstützt [den hybriden Zugriffsmodus](https://docs.aws.amazon.com/lake-formation/latest/dg/hybrid-access-mode.html), der es ermöglicht, dass sowohl IAM-Richtlinien als auch Lake Formation Formation-Berechtigungen während einer schrittweisen Migration nebeneinander existieren können.
## Voraussetzungen
Bevor Sie Lake Formation aktivieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
+ Eine SageMaker AI-Funktionsgruppe mit einem konfigurierten Offline-Store, oder Sie können im Rahmen des Setups eine neue mit einem Offline-Store erstellen. Lake Formation benötigt einen Offline-Speicher, da er den Zugriff über die AWS Glue Datenkatalogtabelle regelt, die der Offline-Speicher erstellt.
+ Eine IAM-Ausführungsrolle mit entsprechenden Berechtigungen. Das folgende Beispiel zeigt die mindestens erforderliche IAM-Richtlinie. Ersetzen Sie die Platzhalterwerte durch Ihre eigenen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "LakeFormation",
"Effect": "Allow",
"Action": [
"lakeformation:RegisterResource",
"lakeformation:GrantPermissions",
"lakeformation:RevokePermissions",
"lakeformation:ListPermissions"
],
"Resource": "*"
},
{
"Sid": "GlueCatalogReadAccess",
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
},
{
"Sid": "GlueCatalogTableCreate",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
},
{
"Sid": "PassOfflineStoreRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam:::role/"
},
{
"Sid": "S3FeatureStoreStorage",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::"
},
{
"Sid": "LakeFormationRegistrationRole",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:GetRolePolicy"
],
"Resource": "arn:aws:iam:::role/"
}
]
}
```
**Anmerkung**
Die `LakeFormationRegistrationRole` Erklärung gewährt Berechtigungen zum Lesen der Rolle, die zur Registrierung des Amazon S3 S3-Standorts bei Lake Formation verwendet wurde. Wenn Sie die dienstverknüpfte Rolle (`use_service_linked_role=True`) von Lake Formation verwenden, legen Sie die Ressource auf `arn:aws:iam:::role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess` fest. Wenn Sie Ihre eigene Registrierungsrolle angeben, legen Sie sie auf den ARN dieser Rolle fest.
**Anmerkung**
Wenn der Hybridzugriffsmodus für die `sagemaker_featurestore` Datenbank deaktiviert ist, muss der Aufrufer auch über die Lake Formation `CREATE_TABLE` Formation-Berechtigung für die Datenbank verfügen. Der Lake Formation-Administrator kann diese Berechtigung über die Lake Formation Formation-Konsole oder API erteilen.
+ Ein Lake Formation-Administrator, der in Ihrem Konto konfiguriert ist. Sie müssen mindestens einen IAM-Benutzer oder eine IAM-Rolle als Lake Formation-Administrator festlegen. Anweisungen zur Einrichtung finden Sie unter [Erste Schritte mit Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html) in der Dokumentation zu Lake Formation.
+ Das SageMaker AI Python SDK Version 3.8.0 oder höher. Installieren oder aktualisieren Sie das `sagemaker` Paket: `pip install --upgrade sagemaker>=3.8.0`
+ Cross-account Konfiguration (falls zutreffend). Wenn sich der Amazon S3 S3-Bucket im Offline-Store der Feature-Gruppe in einem anderen Store befindet AWS-Konto, ist eine zusätzliche Konfiguration für die kontoübergreifende Nutzung von Lake Formation erforderlich, einschließlich AWS Glue Ressourcenrichtlinien, Annahme von AWS RAM-Shares, Ressourcenlinks und Einrichtung der Verbraucherdatenbank. Weitere Informationen finden Sie unter [Kontenübergreifendes Teilen von Daten](https://docs.aws.amazon.com/lake-formation/latest/dg/sharing-catalog-resources.html) in der Dokumentation zu Lake Formation.
## Die wichtigsten Konzepte
Die folgenden Konzepte sind wichtig, um zu verstehen, wie Lake Formation mit Feature Store funktioniert.
### Genehmigungsmodell für Lake Formation im Vergleich zum IAM-only Modell
Standardmäßig wird der Zugriff auf AWS Glue Data Catalog Tabellen, einschließlich der vom Feature Store erstellten, ausschließlich über IAM-Richtlinien gesteuert. Wenn Sie Lake Formation aktivieren, sind für den Zugriff sowohl IAM-Berechtigungen als auch Lake Formation Formation-Berechtigungen erforderlich. Lake Formation verwendet ein Grant-and-Revoe-Modell, bei dem Sie IAM-Prinzipalen explizit Berechtigungen wie `SELECT` oder `DESCRIBE` für bestimmte Datenbanken, Tabellen oder Spalten gewähren.
### Hybrider Zugriffsmodus
Wenn Sie Lake Formation aktivieren, wählen Sie, ob Sie den Hybrid-Zugriffsmodus oder den Formation-only Lake-Modus verwenden möchten:
+ **Hybrider Zugriffsmodus** (`hybrid_access_mode_enabled=True`): Sowohl IAM-Richtlinien als auch Lake Formation Formation-Berechtigungen werden bewertet. Principals, die über bestehende IAM-Richtlinien Zugriff haben, haben weiterhin Zugriff, und Sie können zusätzlich über Lake Formation einen detaillierten Zugriff gewähren. Dies ist nützlich für eine schrittweise Migration.
+ ** Formation-only Lake-Modus** (`hybrid_access_mode_enabled=False`): Nur Lake Formation Formation-Berechtigungen werden ausgewertet. Der bestehende IAM-based Zugriff auf die AWS Glue Tabelle wurde gesperrt. Dies bietet die stärkste Zugriffskontrolle, kann aber bestehende Workloads unterbrechen.
**Warnung**
Wenn Sie diese Einstellung `hybrid_access_mode_enabled=False` vornehmen, widerruft das SDK den `IAMAllowedPrincipal` Zuschuss in der AWS Glue Tabelle. Alle vorhandenen Jobs, Notizbücher oder Pipelines, die allein über IAM-Berechtigungen auf diese Tabelle zugreifen, verlieren sofort den Zugriff. Stellen Sie sicher, dass Sie allen Prinzipalen, die Zugriff benötigen, die erforderlichen Lake Formation Formation-Berechtigungen erteilt haben, bevor Sie den Hybridzugriffsmodus deaktivieren.
**Anmerkung**
Sie müssen den Hybridzugriffsmodus für den kontoübergreifenden Zugriff deaktivieren, wenn das Tabellenformat Iceberg ist.
### S3-Richtlinie zum Ablehnen
Selbst nachdem Sie Lake Formation für die AWS Glue Data Catalog Tabelle aktiviert haben, können Benutzer mit direktem Amazon S3 S3-Zugriff (über IAM-Richtlinien) Lake Formation umgehen, indem sie die zugrunde liegenden Amazon S3 S3-Objekte direkt lesen. Um diese Lücke zu schließen, wenden Sie eine Amazon S3 S3-Bucket-Richtlinie an, die allen Principals mit Ausnahme der Lake Formation-Servicerolle und der Feature Store-Ausführungsrolle den direkten Zugriff auf das Offline-Store-Präfix verweigert.
**Wichtig**
Das SDK wendet die Amazon S3 S3-Ablehnungsrichtlinie nicht automatisch an. Nachdem Sie Lake Formation aktiviert haben, protokolliert das SDK eine empfohlene Bucket-Richtlinie als Warnmeldung. Lesen Sie diese Richtlinie und wenden Sie sie auf Ihren Amazon S3 S3-Bucket an, um die Zugriffskontrolle durchgängig durchzusetzen.
## Konfigurationsreferenz
Verwenden Sie die `LakeFormationConfig` Klasse, um Lake Formation zu konfigurieren. Sie geben diese Konfiguration an, `FeatureGroupManager.create()` wenn Sie eine neue Feature-Gruppe erstellen, oder verwenden Sie die einzelnen Parameter direkt `enable_lake_formation()` für bestehende Feature-Gruppen.
| Parameter | Typ | Standard | Erforderlich | Description |
| --- | --- | --- | --- | --- |
| enabled | bool | Falsch | Nein | Auf einstellen, True um Lake Formation im Offline-Store der Feature-Gruppe zu aktivieren. |
| use\_service\_linked\_role | bool | Wahr | Nein | Ob die dienstverknüpfte Rolle Lake Formation für die Registrierung des S3-Standorts verwendet werden soll. Stellen Sie diese False Option ein, wenn Sie eine benutzerdefinierte Registrierungsrolle verwenden. Sie können eine dienstverknüpfte Rolle nicht für den kontoübergreifenden Zugriff oder bei der Verwendung von Abfrage-Engines von Drittanbietern (wie Apache Spark) verwenden. Für Engines von Drittanbietern müssen Sie Ihre eigene Registrierungsrolle angeben. registration\_role\_arn |
| registration\_role\_arn | str | Keine | Bedingt | Der ARN einer benutzerdefinierten IAM-Rolle für die Registrierung des S3-Standorts des Offline-Speichers bei Lake Formation. Erforderlich, wann use\_service\_linked\_role istFalse. |
| hybrid\_access\_mode\_enabled | bool | — | Ja | Ob IAMAllowedPrincipal aus der AWS Glue Tabelle gelöscht werden soll. False = Formation-only Seeberechtigungen. True= Hybridmodus (sowohl IAM als auch Lake Formation). Sie müssen ausdrücklich wählen. |
| acknowledge\_risk | bool | — | Ja | Muss sein, True um fortzufahren. Das ist eine Sicherheitsbestätigung. Die Einstellung auf False löst a aus, RuntimeError bevor irgendwelche Operationen ausgeführt werden. |
### Acknowledge\_risk verstehen
Der `acknowledge_risk` Parameter ist eine Schutztür. Indem Sie ihn auf einstellen`True`, bestätigen Sie Folgendes:
+ Falls`hybrid_access_mode_enabled=False`: Bestehende IAM-based Jobs, Notizbücher und Pipelines, die diese AWS Glue Tabelle abfragen, verlieren sofort den Zugriff. Sie müssen diesen Prinzipalen vor oder kurz nach der Aktivierung Lake Formation Formation-Berechtigungen erteilen.
+ Wenn die Lake Formation Formation-Berechtigungen nicht korrekt konfiguriert sind: Die Daten in der Featuregruppe sind möglicherweise für alle Benutzer unzugänglich, bis die Berechtigungen korrigiert wurden.
+ Durch den Vorgang AWS Glue werden die Datenkatalogberechtigungen geändert: Diese Änderungen betreffen alle Benutzer der AWS Glue Tabelle, nicht nur Feature Store-Benutzer. Alle Athena-Abfragen, Spark-Jobs oder andere Dienste, die aus dieser Tabelle lesen, sind betroffen.
## Funktionsweise
Wenn Sie Lake Formation aktivieren, führt das SDK eine dreiphasige Einrichtung durch:
1. **Registrieren Sie den S3-Standort.** Das SDK registriert den S3-Pfad des Offline-Speichers bei Lake Formation, indem es entweder die mit dem Lake Formation Service verknüpfte Rolle oder eine von Ihnen angegebene benutzerdefinierte Registrierungsrolle verwendet. Wenn Sie Abfrage-Engines von Drittanbietern (wie Apache Spark) verwenden, müssen Sie Ihre eigene Registrierungsrolle angeben, da die dienstverknüpfte Rolle den Zugriff auf Engines von Drittanbietern nicht unterstützt.
1. **Erteilen Sie Genehmigungen für die Lake Formation.** Das SDK gewährt `SELECT` der Ausführungsrolle der Feature-Gruppe `DELETE``DESCRIBE`,,, und `ALTER` Berechtigungen für die AWS Glue Datenkatalogtabelle. `INSERT`
1. **Optional widerrufen IAMAllowedPrincipal.** Wenn Sie dies festlegen`hybrid_access_mode_enabled=False`, widerruft das SDK den `IAMAllowedPrincipal` Zuschuss in der AWS Glue Tabelle.
Nach Abschluss aller Phasen protokolliert das SDK eine empfohlene S3-Bucket-Ablehnungsrichtlinie. Überprüfen Sie diese Richtlinie und wenden Sie sie an, um direkten Zugriff auf Amazon S3 zu verhindern, der die Zugriffskontrolle von Lake Formation umgeht.
**Anmerkung**
Wenn das Setup zwischendurch fehlschlägt (z. B. nach der Registrierung des S3-Standorts, aber vor der Erteilung von Berechtigungen), können Sie die Methode problemlos erneut ausführen. `enable_lake_formation()` Das SDK ist idempotent und überspringt Schritte, die bereits erfolgreich abgeschlossen wurden.
## Verwendungsbeispiele
### Erstellen Sie eine neue Feature-Gruppe mit Lake Formation Formation-Zugriffskontrolle
Im folgenden Beispiel wird eine neue Feature-Gruppe mit einem Offline-Speicher erstellt und die Lake Formation Formation-Zugriffskontrolle in einem einzigen Vorgang aktiviert.
```
from sagemaker.core.helper.session_helper import Session
from sagemaker.core.shapes import (
FeatureDefinition,
OfflineStoreConfig,
OnlineStoreConfig,
S3StorageConfig,
)
from sagemaker.mlops.feature_store import FeatureGroupManager, LakeFormationConfig
session = Session()
region = session.boto_region_name
role_arn = "arn:aws:iam:::role/"
registration_role_arn = "arn:aws:iam:::role/"
fg_name = "my-feature-group"
bucket = session.default_bucket()
offline_s3_uri = f"s3://{bucket}/feature-store/{fg_name}"
feature_definitions = [
FeatureDefinition(feature_name="customer_id", feature_type="String"),
FeatureDefinition(feature_name="event_time", feature_type="String"),
FeatureDefinition(feature_name="age", feature_type="Integral"),
FeatureDefinition(feature_name="total_purchases", feature_type="Integral"),
FeatureDefinition(feature_name="avg_order_value", feature_type="Fractional"),
]
fg = FeatureGroupManager.create(
feature_group_name=fg_name,
record_identifier_feature_name="customer_id",
event_time_feature_name="event_time",
feature_definitions=feature_definitions,
online_store_config=OnlineStoreConfig(enable_online_store=False),
offline_store_config=OfflineStoreConfig(
s3_storage_config=S3StorageConfig(s3_uri=offline_s3_uri),
table_format="Iceberg",
),
role_arn=role_arn,
description="A feature group with Lake Formation-managed offline store",
# Example configuration — adjust parameters for your use case.
lake_formation_config=LakeFormationConfig(
enabled=True,
use_service_linked_role=False,
registration_role_arn=registration_role_arn,
# Set to True to keep existing IAM-based access (hybrid mode).
hybrid_access_mode_enabled=False,
acknowledge_risk=True,
),
region=region,
)
```
### Lake Formation für eine bestehende Feature-Gruppe aktivieren
Im folgenden Beispiel wird Lake Formation für eine Feature-Gruppe aktiviert, die bereits existiert.
```
from sagemaker.mlops.feature_store import FeatureGroupManager
fg = FeatureGroupManager.get(feature_group_name="my-existing-feature-group")
result = fg.enable_lake_formation(
use_service_linked_role=False,
registration_role_arn="arn:aws:iam:::role/",
hybrid_access_mode_enabled=False,
acknowledge_risk=True,
)
```
## Verwenden Sie Formation-enabled Lake-Featuregruppen mit SageMaker KI-Jobs
Sie können von SageMaker KI-Schulungs- und Verarbeitungsjobs aus auf Formation-enabled Lake-Funktionsgruppen zugreifen. Um Formation-enabled Lake-Feature-Daten zu lesen, können Sie die Daten entweder über Athena abfragen oder die Lake Formation [GetTemporaryGlueTableCredentials](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_GetTemporaryGlueTableCredentials.html)Formation-API verwenden, um temporäre Amazon S3-Anmeldeinformationen für die Tabelle zu verkaufen. AWS Glue Weitere Informationen zur Konfiguration von Lake Formation Formation-Berechtigungen für Rechenrollen finden Sie in der [Lake Formation Formation-Berechtigungsreferenz](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html) in der Lake Formation Formation-Dokumentation.
## Cross-account Zugriff
Lake Formation unterstützt die gemeinsame Nutzung von Feature-Gruppendaten AWS-Konten. Wenn das Produzentenkonto Lake Formation für eine Featuregruppe aktiviert, kann es Benutzerkonten kontenübergreifenden Zugriff gewähren, indem entweder die benannte Ressourcenmethode oder die auf Lake Formation tagbasierte Zugriffskontrolle () LF-TBAC verwendet wird.
Cross-account Für die gemeinsame Nutzung ist das folgende Setup erforderlich:
1. Das Produzentenkonto gewährt dem Verbraucherkonto, der AWS Organisation oder der Organisationseinheit kontenübergreifende Berechtigungen für die AWS Glue Datenkatalogtabelle.
1. Wenn sich die Konten nicht in derselben AWS Organisation befinden, akzeptiert das Verbraucherkonto die Einladung zur gemeinsamen Nutzung der AWS RAM-Ressource. Weitere Informationen finden Sie unter [Einladung zur gemeinsamen Nutzung einer Ressource annehmen](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).
1. Das Verbraucherkonto erstellt eine Ressourcenverknüpfung zu der gemeinsam genutzten Tabelle in einer lokalen Datenbank. Für Dienste wie Athena und Amazon Redshift Spectrum sind Ressourcenlinks erforderlich, um gemeinsam genutzte Ressourcen abzufragen. Weitere Informationen finden Sie unter [Über Ressourcenlinks](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html).
1. Der Lake Formation-Administrator im Verbraucherkonto erteilt den IAM-Prinzipalen, die Zugriff benötigen, Berechtigungen für den Ressourcenlink und die zugrunde liegende gemeinsame Tabelle.
**Wichtig**
Wenn Sie Query-Engines von Drittanbietern (wie Apache Spark) verwenden, müssen Sie den vollständigen Tabellenzugriff für die gemeinsam genutzte Tabelle aktivieren. Third-party Engines erfordern den Verkauf vollständiger Tabellenanmeldedaten, da sie die Filterung von Lake Formation auf Spalten- oder Zellenebene durch Sitzungs-Tags nicht unterstützen. Außerdem müssen Sie den Amazon S3 S3-Standort mit einer benutzerdefinierten Registrierungsrolle statt mit der serviceverknüpften Rolle registrieren. Weitere Informationen finden Sie unter [Vollständiger Tabellenzugriff für Engines von Drittanbietern](https://docs.aws.amazon.com/lake-formation/latest/dg/full-table-credential-vending.html).
Voraussetzungen, schrittweise Anleitungen und bewährte Methoden für die kontenübergreifende gemeinsame Nutzung finden Sie in den folgenden Themen im AWS Lake Formation Developer Guide:
+ [Cross-account Zugriff](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html) — Überblick über Methoden zur kontenübergreifenden gemeinsamen Nutzung und AWS RAM-Integration.
+ [Cross-account Voraussetzungen](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-prereqs.html) — Erforderliche Konfiguration sowohl für Produzenten- als auch für Verbraucherkonten.
+ [Gemeinsame Nutzung von Datenkatalogtabellen und Datenbanken](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-data-share-steps.html) — Step-by-step Anweisungen sowohl für die benannte Ressourcenmethode als auch für die LF-TBAC Methode.
+ [Tag-based Zugriffskontrolle](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html) — Wird für die Verwaltung von Berechtigungen in großem Umfang für mehrere Konten empfohlen.
## Gewähren Sie nach der Einrichtung einen detaillierten Zugriff
Nachdem Sie Lake Formation aktiviert haben, kann der Lake Formation-Administrator anderen IAM-Prinzipalen mithilfe der Lake Formation Formation-Konsole, API oder CLI detaillierte Berechtigungen gewähren. Lake Formation unterstützt die Zugriffskontrolle auf Spalten-, Zeilen- und Zellenebene.
Anweisungen zur Erteilung und Verwaltung von Lake Formation-Berechtigungen finden Sie in den folgenden Themen im AWS Lake Formation Developer Guide:
+ [Erteilen und Widerrufen von Datenkatalogberechtigungen](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-catalog-permissions.html)
+ [Datenfilter in Lake Formation für die](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html) Filterung auf Zeilen- und Zellenebene
+ [Referenz zu den Genehmigungen von Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html)