Convertir un AWS Glue recurso en un recurso híbrido - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Convertir un AWS Glue recurso en un recurso híbrido

Siga estos pasos para registrar una ubicación de Amazon S3 en modo de acceso híbrido e incorporar nuevos usuarios de Lake Formation sin interrumpir el acceso a los datos de los usuarios actuales del Catálogo de datos.

Descripción del escenario: la ubicación de los datos no está registrada en Lake Formation y el acceso de los usuarios a la base de datos y las tablas del Catálogo de datos se determina mediante las políticas de permisos de IAM para acciones de AWS Glue y Amazon S3.
 De forma predeterminada, el grupo IAMAllowedPrincipals tiene permisos de Super en todas las tablas de la base de datos.

Para habilitar el modo de acceso híbrido para una ubicación de datos no registrada en Lake Formation
  1. Registre una ubicación de Amazon S3 que habilite el modo de acceso híbrido.
    Console

    1. Inicie sesión en la consola de Lake Formation como administrador del lago de datos.

    2. En Administración del panel de navegación, seleccione las Ubicaciones de los lagos de datos.

    3. Seleccione Registrar ubicación.

      Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.

    4. En la ventana Registrar ubicación, elija la ruta de Amazon S3 que desee registrar en Lake Formation.

    5. Para el rol de IAM, elija el rol vinculado al servicio AWSServiceRoleForLakeFormationDataAccess (valor predeterminado) o un rol de IAM personalizado que cumpla los requisitos de Requisitos de los roles utilizados para registrar ubicaciones.

    6. Elija el modo de acceso híbrido para aplicar políticas específicas de control de acceso de Lake Formation a las entidades principales y a las bases de datos y tablas del Catálogo de datos que apuntan a la ubicación registrada.


      Seleccione Lake Formation para permitir que Lake Formation autorice las solicitudes de acceso a la ubicación registrada.


    7. Seleccione Registrar ubicación.

    AWS CLI

    El siguiente es un ejemplo para registrar una ubicación de datos con Lake Formation HybridAccessEnabled con:true/false. El valor predeterminado para el parámetro HybridAccessEnabled es false. Sustituya la ruta, el nombre del rol y el identificador de AWS cuenta de Amazon S3 por valores válidos.

    aws lakeformation register-resource --cli-input-json file:file path
json:
    {
        "ResourceArn": "arn:aws:s3:::s3-path",
        "UseServiceLinkedRole": false,
        "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
        "HybridAccessEnabled": true
    }
  2. Conceda permisos y seleccione entidades principales para utilizar los permisos de Lake Formation para los recursos en modo de acceso híbrido.

    Antes de inscribir entidades principales y recursos en el modo de acceso híbrido, verifique que la concesión de los permisos Super o All al grupo IAMAllowedPrincipals existe en las bases de datos y tablas que tienen la ubicación registrada con Lake Formation en el modo de acceso híbrido.

    nota

    No puede conceder al grupo IAMAllowedPrincipals permiso sobre All tables dentro de una base de datos. Debe seleccionar cada tabla por separado en el menú desplegable y conceder los permisos. Además, al crear nuevas tablas en la base de datos, puede optar por usar Use only IAM access control for new tables in new databases en la configuración del Catálogo de datos. Esta opción concede el permiso de Super al grupo IAMAllowedPrincipals automáticamente al crear nuevas tablas en la base de datos.

    Console

    1. En la consola de Lake Formation, en Catálogo de datos, elija Catálogos, Bases de datos o Tablas.

    2. Seleccione un catálogo, base de datos o tabla de la lista y elija Conceder en el menú Acciones.

    3. Elija entidades principales a las que conceder permisos sobre la base de datos, las tablas y las columnas utilizando el método de recursos con nombre o las etiquetas LF.

      Como alternativa, elija Permisos de datos, seleccione las entidades principales a las que conceder permisos de la lista y elija Conceder.

      Para obtener más información sobre la concesión de permisos de datos, consulte Concesión de permisos sobre los recursos del Catálogo de datos.

      nota

      Si concede a una entidad principal el permiso para crear una tablas, también deberá concederle permisos de ubicación de datos (DATA_LOCATION_ACCESS). Este permiso no es necesario para actualizar las tablas.

      Para obtener más información, consulte Conceder permisos de ubicación de datos.

    4. Si utiliza el método de recurso con nombre para conceder permisos, la opción de incluir entidades principales y recursos está disponible en la sección inferior de la página de concesión de permisos de datos.

      Seleccione Hacer efectivos inmediatamente los permisos de Lake Formation para habilitar los permisos de Lake Formation para las entidades principales y los recursos.

      Opción para elegir un modo de acceso híbrido para el recurso del Catálogo de datos

    5. Elija Conceder.

      Al optar por la entidad principal A en la tabla A que apunta a una ubicación de datos, permite que la entidad principal A tenga acceso a la ubicación de esta tabla utilizando los permisos de Lake Formation si la ubicación de datos está registrada en modo híbrido.

    AWS CLI

    A continuación se muestra un ejemplo para optar por una entidad principal y una tabla en modo de acceso híbrido. Sustituya el nombre del rol, el id de la cuenta de AWS , el nombre de la base de datos y el nombre de la tabla por valores aceptables.

    aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
json:
  {
        "Principal": {
            "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
        },
        "Resource": {
            "Table": {
                "CatalogId": "<123456789012>",
                "DatabaseName": "<hybrid_test>",
                "Name": "<hybrid_test_table>"
            }
        }
    }

    1. Si elige las etiquetas LF para la concesión de permisos, puede optar por que las entidades principales utilicen los permisos de Lake Formation en un paso aparte. Para ello, elija el modo de acceso Híbrido en Permisos de la barra de navegación izquierda.

    2. En la sección inferior de la página Modo de acceso híbrido, seleccione Añadir para añadir recursos y entidades principales al modo de acceso híbrido.

    3. En la página Agregar recursos y entidades principales, elija los catálogos, bases de datos y tablas registrados en el modo de acceso híbrido.

      Puede elegir All tables bajo una base de datos a la que conceder acceso.

      Interfaz para agregar catálogos, bases de datos y tablas en modo de acceso híbrido

    4. Elija la inscripción de entidades principales para utilizar los permisos de Lake Formation en el modo de acceso híbrido.

      • Entidades principales: puede elegir los usuarios y roles de IAM en la misma cuenta o en otra cuenta. También puede elegir usuarios y grupos de SAML.

      • Atributos: seleccione los atributos para conceder permisos en función de los atributos.

        Interfaz para agregar entidades principales y recursos con una expresión de atributo

      • Especifique el par clave-valor para crear una concesión basada en atributos. Revise la expresión de política de Cedar resultante en la consola. Para obtener más información acerca de Cedar, consulte ¿Qué es Cedar? | Referencia del lenguaje de políticas de Cedar GuideLink.

      • Elija Agregar.

        Se concede acceso a todos los IAM roles/users con atributos coincidentes.

    5. Elija Agregar.