Integración de Amazon DataZone con el modo híbrido de AWS Lake Formation
Amazon DataZone se ha integrado con el modo híbrido de AWS Lake Formation. Esta integración le permite publicar y compartir fácilmente sus tablas de AWS Glue a través de Amazon DataZone, sin necesidad de registrarlas primero en AWS Lake Formation. El modo híbrido le permite empezar a administrar permisos de las tablas de AWS Glue a través de AWS Lake Formation, sin dejar de mantener los permisos de IAM existentes en estas tablas.
Para empezar, puede habilitar la configuración Registro de ubicación de datos en el esquema de DefaultDataLake de la consola de administración de Amazon DataZone.
Habilitación de la integración con el modo híbrido de AWS Lake Formation
-
Vaya a la consola de Amazon DataZone en https://console.aws.amazon.com/datazone
e inicie sesión con las credenciales de su cuenta. -
Elija Ver dominios y elija el dominio en el que desee habilitar la integración con el modo híbrido de AWS Lake Formation.
-
En la página de detalles del dominio, vaya a la pestaña Esquemas.
-
En la lista de Esquemas, elija el esquema DefaultDataLake.
-
Asegúrese de que el esquema DefaultDataLake esté habilitado. Si no está activado, sigue los pasos que se indican Habilitación de los esquemas integrados en la cuenta de AWS propietaria del dominio Amazon DataZone para activarlo en tu cuenta de AWS.
-
En la página de detalles de DefaultDataLake, abra la pestaña Aprovisionamiento y elija el botón Editar situado en la esquina superior derecha de la página.
-
En Registro de ubicaciones de datos, active la casilla para habilitar el registro de ubicación de datos.
-
Para el rol de administración de la ubicación de datos, puede crear un nuevo rol de IAM o seleccionar un rol de IAM existente. Amazon DataZone utiliza este rol para administrar el acceso de lectura y escritura a los buckets de Amazon S3 elegidos para el lago de datos que usa el modo de acceso híbrido de AWS Lake Formation. Para obtener más información, consulte AmazonDataZoneS3Manage-<region>-<domainId>.
-
Si lo desea, puede optar por excluir determinadas ubicaciones de Amazon S3 si no desea que Amazon DataZone las registre automáticamente en modo híbrido. Para ello, siga los siguientes pasos:
-
Elija el botón de alternancia para excluir las ubicaciones de Amazon S3 especificadas.
-
Proporcione el URI del bucket de Amazon S3 que desea excluir.
-
Para agregar buckets adicionales, elija Agregar ubicación de S3.
nota
Amazon DataZone solo permite excluir una ubicación raíz de S3. Cualquier ubicación de S3 que se encuentre dentro de la ruta de una ubicación raíz de S3 se excluirá automáticamente del registro.
-
Seleccione Save changes (Guardar cambios).
-
Una vez haya habilitado el registro de ubicación de datos en su cuenta de AWS, cuando un consumidor de datos se suscriba a una tabla de AWS Glue administrada a través de permisos de IAM, Amazon DataZone registrará primero las ubicaciones de Amazon S3 de esta tabla en modo híbrido y luego concederá acceso al consumidor de datos administrando permisos en la tabla a través de AWS Lake Formation. Esto garantiza que los permisos de IAM en la tabla sigan existiendo con permisos de AWS Lake Formation recientemente otorgados, sin interrumpir ninguno de los flujos de trabajo existentes.
Cómo gestionar las ubicaciones cifradas de Amazon S3 al habilitar la integración del modo híbrido de AWS Lake Formation en Amazon DataZone
Si utiliza una ubicación de Amazon S3 cifrada con una clave de KMS administrada por el cliente o administrada por AWS, el rol AmazonDataZoneS3Manage debe tener permiso para cifrar y descifrar datos con la clave de KMS, o la política de claves de KMS debe conceder permisos sobre la clave para ese rol.
Si su ubicación de Amazon S3 está cifrada con una clave administrada de AWS, añada la siguiente política insertada al rol AmazonDataZoneDataLocationManagement:
Si su ubicación de Amazon S3 está cifrada con una clave administrada por el cliente, siga los pasos que se describen a continuación:
-
Abra la consola de AWS KMS en https://console.aws.amazon.com/kms
e inicie sesión como usuario administrativo de AWS Identity and Access Management (IAM) o como usuario que pueda modificar la política de claves de la clave KMS utilizada para cifrar la ubicación. -
En el panel de navegación, elija Claves administradas por el cliente y, a continuación, el nombre de la clave de KMS deseada.
-
En la página de detalles de la clave KMS, elija la pestaña Política de claves y, a continuación, siga una de las instrucciones siguientes para añadir su rol personalizado o el rol vinculado al servicio de Lake Formation como usuario de la clave KMS:
-
Si aparece la vista predeterminada (con las secciones Administradores de claves, Eliminación de claves, Usuarios clave y Otras cuentas de AWS), en la sección Usuarios clave, añada el rol AmazonDataZoneDataLocationManagement.
-
Si aparece la política de claves (JSON): edite la política para agregar el rol AmazonDataZoneDataLocationManagement al objeto "Permitir el uso de la clave", como se muestra en el siguiente ejemplo.
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
nota
Si la clave KMS o la ubicación de Amazon S3 no se encuentran en la misma cuenta de AWS que el catálogo de datos, siga las instrucciones que se indican en Registro de una ubicación cifrada de Amazon S3 entre cuentas de AWS.
