Crear un catálogo federado mediante una conexión AWS Glue - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear un catálogo federado mediante una conexión AWS Glue

Para conectarse AWS Glue Data Catalog a fuentes de datos externas, debe usar AWS Glue conexiones que permitan la comunicación con las fuentes de datos externas. Puede crear AWS Glue conexiones mediante la AWS Glue consola, la API Create connection y la consola Amazon SageMaker Lakehouse.

Para obtener instrucciones paso a paso para crear una AWS Glue conexión, consulte Conexión a datos en la Guía para AWS Glue desarrolladores o Creación de conexiones en Amazon SageMaker Lakehouse.

Cuando un usuario ejecuta una consulta en tablas federadas, Lake Formation vende credenciales que invocan una AWS Lambda función especificada en la AWS Glue conexión para recuperar objetos de metadatos de la fuente de datos.

Consola de administración de AWS
Cómo crear un catálogo federado desde un origen de datos externo y configurar los permisos (consola)

  1. Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/.

  2. En el panel de navegación, elija Catálogos en Catálogo de datos.

  3. Seleccione la opción Crear catálogo.

  4. En la página de detalles Establecer catálogo, facilite la siguiente información:

    Página de creación de catálogo con opciones

    • Nombre: un nombre exclusivo para el catálogo federado. El nombre no se puede cambiar y debe ir en minúsculas. El nombre puede tener un máximo de 255 caracteres.

    • Tipo: elija catálogo federado como tipo de catálogo.

    • Origen: elija un origen de datos en la lista desplegable. Se muestran los orígenes de datos para los que ha creado conexiones. Para obtener más información sobre cómo crear una AWS Glue conexión a una fuente de datos externa, consulte Creación de conexiones para conectores en la Guía para AWS Glue desarrolladores o Creación de conexiones en Amazon SageMaker Lakehouse.

    • Conexión: elija una AWS Glue conexión existente a la fuente de datos.

    • Descripción: escriba una descripción para el catálogo creado desde el origen de datos.

  5. Elija un rol de IAM para que Lake Formation asuma la venta de credenciales para que el motor de consultas acceda a los datos del origen de datos. Esta función debe tener los permisos necesarios para acceder a la AWS Glue conexión e invocar la función Lambda para acceder a los datos de la fuente de datos externa.

    También puede crear un rol nuevo en la consola de IAM.

    Consulte los permisos necesarios en la sección Requisitos previos para conectar el Catálogo de datos a orígenes de datos externos.

  6. Seleccione la opción Activar el conector para conectarse al origen de datos para permitir que Athena ejecute consultas federadas.

    Para ver la lista de conectores compatibles, consulte Registro de la conexión en la Guía del usuario de Amazon Athena.

  7. Opciones de cifrado: elija la opción Personalizar la configuración de cifrado si desea utilizar una clave personalizada para cifrar el catálogo. Para usar una clave personalizada, debe agregar una política de claves administradas personalizadas adicionales a la clave de KMS.

  8. Seleccione Siguiente para conceder permisos a otras entidades principales.

  9. En la página Concesión de permisos, elija Agregar permisos.

  10. En la pantalla Agregar permisos, elija las entidades principales y los tipos de permisos que desea conceder.

    La página de permisos de catálogo con el tipo de entidad principal y las opciones de concesión.

    • En la sección Entidades principales, elija uno de los tipos y, a continuación, especifique las que van a recibir los permisos concedidos.

      • Usuarios y roles de IAM: elija uno o varios usuarios o roles de la lista de usuarios y roles de IAM.

      • Usuarios y grupos de SAML: para SAML y Amazon Quick Suite usuarios y grupos, introduzca uno o más nombres de recursos de Amazon (ARNs) para los usuarios o grupos federados a través de SAML, o para los usuarios o grupos de ARNs Amazon Quick Suite. Pulse Intro después de cada ARN.

    • En la sección Permisos, seleccione los permisos y los permisos concedibles.

      En Permisos de catálogo, seleccione uno o más permisos para conceder.

      Elija Superusuario para adjudicar permisos administrativos sin restricciones en todos los recursos del catálogo.

      En Permisos concedibles, seleccione los permisos que el destinatario de la subvención puede conceder a otros directores de su cuenta. AWS Esta opción no es compatible cuando se conceden permisos a una entidad principal de IAM desde una cuenta externa.

  11. Elija Siguiente para revisar la información y crear el catálogo. La lista Catálogos muestra el nuevo catálogo federado.

    La lista Ubicaciones de datos muestra la conexión federada recién registrada.

    La lista de ubicaciones de datos con las conexiones federadas.
AWS CLI
Cómo crear un catálogo federado desde un origen de datos externo y configurar los permisos

  1. En el siguiente ejemplo, se muestra cómo crear una conexión. AWS Glue 

    aws glue create-connection 
  --connection-input \
      '{
         "Name": "DynamoDB connection",
         "ConnectionType": "DYNAMODB",
         "Description": "A connection created for DynamoDB",
         "ConnectionProperties": {},
         "AthenaProperties": "spill_prefix": "your_spill_prefix",
         "lambda_function_arn": "Lambda_function_arn",
         "spill_bucket": "Your_Bucket_name",
         "AuthenticationConfiguration": {}
      }'

  2. El siguiente ejemplo muestra cómo registrar una AWS Glue conexión con Lake Formation. 

    aws lakeformation register-resource 
  --cli-input-json \
    {"ResourceArn":"arn:aws:glue:us-east-1:123456789012:connection/dynamo","RoleArn":"arn:aws:iam::123456789012:role/AdminTelemetry","WithFederation":true}

  3. En el siguiente ejemplo, se muestra cómo crear un catálogo federado. 

    aws glue create-catalog 
 --cli-input-json \
      '{
       "Name":"ddbcatalog",
       "CatalogInput":{"CatalogProperties":{"DataLakeAccessProperties":{"DataTransferRole":"arn:aws:iam::123456789012:role/role name"}},
       "CreateDatabaseDefaultPermissions":[],
       "CreateTableDefaultPermissions":[],
       "FederatedCatalog":{"ConnectionName":"dynamo","Identifier":"dynamo"}
         }
       }'