Utilización de los roles de IAM existentes para completar las suscripciones a Amazon DataZone - Amazon DataZone

Utilización de los roles de IAM existentes para completar las suscripciones a Amazon DataZone

En la versión actual, Amazon DataZone le permite utilizar sus roles de IAM existentes para acceder a los datos. Para lograrlo, puede crear un objetivo de suscripción en el entorno de Amazon DataZone que utilice para completar su suscripción. Para crear un objetivo de suscripción para un entorno en una de las cuentas AWS asociadas, puede seguir los siguientes pasos:

Paso 1: asegúrese de que su dominio de Amazon DataZone utilice la versión 2 o superior de la política de RAM

  1. Vaya a la página Compartidos por mí: recursos compartidos de la consola de RAM AWS.

  2. Puesto que los recursos compartidos RAM de AWS son específicos de las diferentes Regiones AWS, elija la Región de AWS que corresponda en la lista desplegable de la esquina superior derecha de la consola.

  3. Seleccione el recurso compartido correspondiente a su dominio de Amazon DataZone y, a continuación, elija Modificar. Puede identificar el recurso compartido de RAM del dominio Amazon DataZone mediante el nombre o el ID del dominio, ya que el recurso compartido de RAM se crea con el nombre: DataZone-<domain-name>-<domain-id>.

  4. Seleccione Siguiente para continuar con el siguiente paso, en el que podrá comprobar la versión de la política de RAM y modificarla.

  5. Asegúrese de que la versión de la política de RAM sea la versión 2 o superior. De lo contrario, use el menú desplegable para seleccionar la versión 2 o superior.

  6. Elija Vaya al paso 4: Revisar y actualizar.

  7. Elija Actualizar recurso compartido.

Paso 2: crear un destino de suscripción a partir de una cuenta asociada

  • En la versión actual, Amazon DataZone admite la creación de objetivos de suscripción únicamente mediante API. A continuación, se muestran algunos ejemplos de la carga útil que puede utilizar para crear un objetivo de suscripción para gestionar las suscripciones a sus tablas de AWS Glue y a sus tablas o vistas de Amazon Redshift. Para obtener más información, consulte CreateSubscriptionTarget.

    Ejemplo de objetivo de suscripción para AWS Glue

    
{
        "domainIdentifier": "<DOMAIN_ID>",
        "environmentIdentifier": "<ENVIRONMENT_ID>",
        "name": "<SUBSCRIPTION_TARGET_NAME>",
        "type": "GlueSubscriptionTargetType",
        "authorizedPrincipals" : ["IAM_ROLE_ARN"],
        "subscriptionTargetConfig" : [{"content": "{\"databaseName\": \"<DATABASE_NAME>\"}", "formName": "GlueSubscriptionTargetConfigForm"}],
        "manageAccessRole": "<GLUE_DATA_ACCESS_ROLE_IN_ASSOCIATED_ACCOUNT_ARN>",
        "applicableAssetTypes" : ["GlueTableAssetType"],
        "provider": "Amazon DataZone"
}

    Ejemplo de objetivo de suscripción para Amazon Redshift:

    
{
        "domainIdentifier": "<DOMAIN_ID>",
        "environmentIdentifier": "<ENVIRONMENT_ID>",
        "name": "<SUBSCRIPTION_TARGET_NAME>",
        "type": "RedshiftSubscriptionTargetType",
        "authorizedPrincipals" : ["REDSHIFT_DATABASE_ROLE_NAME"],
        "subscriptionTargetConfig" : [{"content": "{\"databaseName\": \"<DATABASE_NAME>\", \"secretManagerArn\": \"<SECRET_MANAGER_ARN>\",\"clusterIdentifier\": \"<CLUSTER_IDENTIFIER>\"}", "formName": "RedshiftSubscriptionTargetConfigForm"}],
        "manageAccessRole": "<REDSHIFT_DATA_ACCESS_ROLE_IN_ASSOCIATED_ACCOUNT_ARN>",
        "applicableAssetTypes" : ["RedshiftViewAssetType", "RedshiftTableAssetType"],
        "provider": "Amazon DataZone"
}
    importante

    • El environmentIdentifier que utilice en la llamada a la API anterior debe estar en la misma cuenta asociada desde la que realiza la llamada a la API. De lo contrario, la llamada a la API no se realizará correctamente.

    • El rol de IAM ARN que utilice en los AuthorizedPrincipals es el rol al que Amazon DataZone concederá acceso después de agregar un activo suscrito al objetivo de la suscripción. Estas entidades principales autorizadas deben pertenecer a la misma cuenta que el entorno en el que se está creando el objetivo de la suscripción.

    • El valor del campo del proveedor debe ser “Amazon DataZone” para que Amazon DataZone pueda completar el procesamiento de la suscripción.

    • El nombre de la base de datos proporcionado en SubscriptionTargetConfig ya debería existir en la cuenta en la que se está creando el objetivo. Amazon DataZone no creará esta base de datos. Asegúrese también de que el rol de administración de acceso tenga el permiso CREATE TABLE en esta base de datos.

    • Asegúrese también de que los roles (el rol de IAM para AWS Glue y el rol de base de datos para Amazon Redshift) que se proporcionan como entidades principales autorizadas ya existan en la cuenta del entorno. En el caso de los objetivos de suscripción a Amazon Redshift, se requieren actualizaciones adicionales para que el rol se asuma al conectarse al clúster. Este rol debe tener la etiqueta RedshiftDbRoles asociada al rol. El valor de la etiqueta puede ser una lista separada por comas. El valor debe ser el rol de la base de datos que se proporcionó como entidad principal autorizada al crear el objetivo de la suscripción.

Paso 3: suscríbase a una tabla nueva y complete la suscripción al nuevo objetivo

  • Una vez que haya creado el objetivo de la suscripción, podrá suscribirse a una nueva tabla y Amazon DataZone lo gestionará con el objetivo anterior.