Uso de las funciones de IAM existentes para gestionar las suscripciones de Amazon DataZone - Amazon DataZone

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de las funciones de IAM existentes para gestionar las suscripciones de Amazon DataZone

En la versión actual, Amazon le DataZone ayuda a utilizar sus funciones de IAM actuales para acceder a los datos. Para lograrlo, puedes crear un objetivo de suscripción en el DataZone entorno de Amazon que utilices para gestionar tu suscripción. Para crear un objetivo de suscripción para un entorno en una de las AWS cuentas asociadas, puedes seguir los siguientes pasos:

Paso 1: Asegúrese de que su DataZone dominio de Amazon utilice la versión 2 o superior de la política de RAM

  1. Ve a la página Compartido por mí: Recursos compartidos en la consola AWS RAM.

  2. Dado que los recursos de AWS RAM se comparten en AWS regiones específicas, selecciona la AWS región correspondiente en la lista desplegable situada en la esquina superior derecha de la consola.

  3. Selecciona el recurso compartido correspondiente a tu DataZone dominio de Amazon y, a continuación, selecciona Modificar. Puede identificar el recurso compartido de RAM del DataZone dominio de Amazon mediante el nombre o el ID del dominio, ya que el recurso compartido de RAM se crea con el nombre:DataZone-<domain-name>-<domain-id>.

  4. Seleccione Siguiente para continuar con el siguiente paso, en el que podrá comprobar la versión de la política de RAM y modificarla.

  5. Asegúrese de que la versión de la política de RAM sea la versión 2 o superior. De lo contrario, use el menú desplegable para seleccionar la versión 2 o superior.

  6. Elija Vaya al paso 4: Revisar y actualizar.

  7. Elija Actualizar recurso compartido.

Paso 2: crear un destino de suscripción a partir de una cuenta asociada

  • En la versión actual, Amazon DataZone admite la creación de objetivos de suscripción APIs únicamente mediante el uso. A continuación, se muestran algunos ejemplos de la carga útil que puede utilizar para crear un objetivo de suscripción para gestionar las suscripciones a sus tablas o vistas de AWS Glue y Amazon Redshift. Para obtener más información, consulte CreateSubscriptionTarget.

    Ejemplo de objetivo de suscripción para AWS Glue

    
{
        "domainIdentifier": "<DOMAIN_ID>",
        "environmentIdentifier": "<ENVIRONMENT_ID>",
        "name": "<SUBSCRIPTION_TARGET_NAME>",
        "type": "GlueSubscriptionTargetType",
        "authorizedPrincipals" : ["IAM_ROLE_ARN"],
        "subscriptionTargetConfig" : [{"content": "{\"databaseName\": \"<DATABASE_NAME>\"}", "formName": "GlueSubscriptionTargetConfigForm"}],
        "manageAccessRole": "<GLUE_DATA_ACCESS_ROLE_IN_ASSOCIATED_ACCOUNT_ARN>",
        "applicableAssetTypes" : ["GlueTableAssetType"],
        "provider": "Amazon DataZone"
}

    Ejemplo de objetivo de suscripción para Amazon Redshift:

    
{
        "domainIdentifier": "<DOMAIN_ID>",
        "environmentIdentifier": "<ENVIRONMENT_ID>",
        "name": "<SUBSCRIPTION_TARGET_NAME>",
        "type": "RedshiftSubscriptionTargetType",
        "authorizedPrincipals" : ["REDSHIFT_DATABASE_ROLE_NAME"],
        "subscriptionTargetConfig" : [{"content": "{\"databaseName\": \"<DATABASE_NAME>\", \"secretManagerArn\": \"<SECRET_MANAGER_ARN>\",\"clusterIdentifier\": \"<CLUSTER_IDENTIFIER>\"}", "formName": "RedshiftSubscriptionTargetConfigForm"}],
        "manageAccessRole": "<REDSHIFT_DATA_ACCESS_ROLE_IN_ASSOCIATED_ACCOUNT_ARN>",
        "applicableAssetTypes" : ["RedshiftViewAssetType", "RedshiftTableAssetType"],
        "provider": "Amazon DataZone"
}
    importante

    • El environmentIdentifier que utilice en la llamada a la API anterior debe estar en la misma cuenta asociada desde la que realiza la llamada a la API. De lo contrario, la llamada a la API no se realizará correctamente.

    • La función de IAM (ARN) que utilizas en «AuthorizedPrincipals» es la función a la que DataZone Amazon concederá acceso después de añadir un activo suscrito al objetivo de la suscripción. Estas entidades principales autorizadas deben pertenecer a la misma cuenta que el entorno en el que se está creando el objetivo de la suscripción.

    • El valor del campo del proveedor debe ser «Amazon DataZone» para DataZone que Amazon pueda completar la gestión logística de la suscripción.

    • El nombre de la base de datos proporcionado ya subscriptionTargetConfig debería existir en la cuenta en la que se está creando el destino. Amazon no DataZone creará esta base de datos. Asegúrese también de que el rol de administración de acceso tenga el permiso CREATE TABLE en esta base de datos.

    • Asegúrese también de que las funciones (la función de IAM para AWS Glue y la función de base de datos para Amazon Redshift) que se proporcionan como entidades principales autorizadas ya existan en la cuenta del entorno. En el caso de los objetivos de suscripción a Amazon Redshift, se requieren actualizaciones adicionales para que el rol se asuma al conectarse al clúster. Este rol debe tener una RedshiftDbRoles etiqueta adjunta al rol. El valor de la etiqueta puede ser una lista separada por comas. El valor debe ser el rol de la base de datos que se proporcionó como entidad principal autorizada al crear el objetivo de la suscripción.

Paso 3: suscríbase a una tabla nueva y complete la suscripción al nuevo objetivo

  • Una vez que hayas creado el objetivo de suscripción, puedes suscribirte a una nueva tabla y Amazon lo DataZone cumplirá con el objetivo anterior.