Requisitos previos para integrar el catálogo de Tablas de Amazon S3 con el Catálogo de datos y Lake Formation - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para integrar el catálogo de Tablas de Amazon S3 con el Catálogo de datos y Lake Formation

Los siguientes son los requisitos previos para habilitar la integración de tablas de Amazon S3 con AWS Glue Data Catalog y AWS Lake Formation.

  1. Se ha actualizado el proceso de integración de los servicios de AWS análisis. Si ha configurado la integración con la versión preliminar, podrá seguir utilizando la integración actual. Sin embargo, el proceso de integración actualizado proporciona mejoras en el rendimiento. Para actualizar la integración:

    1. En primer lugar, elimine su catálogo de tablas de S3 existente en Lake Formation. Para eliminar el catálogo, seleccione el catálogo de S3tablescatalog en la lista de catálogos y elija Eliminar en Acciones.

    2. A continuación, anule el registro de la ubicación de datos de S3tablescatalog.

      1. En la consola de Lake Formation, en la sección Administraciones, seleccione Ubicaciones de datos.

      2. Seleccione una ubicación y, en el menú Acciones, seleccione Quitar.

      3. Cuando se le indique que confirme, elija Quitar.

        Para obtener instrucciones detalladas sobre cómo anular el registro de una ubicación de datos, consulte la sección Dar de baja el registro de una ubicación de Amazon S3.

      4. A continuación, siga los pasos de integración actualizados de la sección Habilitación de la integración de Tablas de Amazon S3 .

  2. Al habilitar la integración de Tablas de Amazon S3, Lake Formation registra automáticamente la ubicación de las tablas de S3. Para registrar la ubicación del cubo de la mesa en Lake Formation, necesita un IAM role/user con lakeformation:RegisterResourcelakeformation:RegisterResourceWithPrivilegedAccess, y lakeformation:CreateCatalog permisos. Cuando un usuario no administrador con estos permisos registra una ubicación en el catálogo, Lake Formation le concede automáticamente el permiso DATA_LOCATION_ACCESS para esa ubicación, lo que permite a la entidad principal que realiza la llamada llevar a cabo todas las operaciones de Lake Formation compatibles en la ubicación de datos registrada.

  3. Al habilitar la integración de tablas de S3, debe elegir un rol de IAM para que Lake Formation provea credenciales que permitan el acceso a los datos. Cree un rol de IAM para el acceso de los datos de Lake Formation a los buckets de tablas de S3. El rol de IAM utilizado para registrar el bucket de tablas con Lake Formation requiere los permisos siguientes:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "LakeFormationPermissionsForS3ListTableBucket",
            "Effect": "Allow",
            "Action": [
                "s3tables:ListTableBuckets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3TableBucket",
            "Effect": "Allow",
            "Action": [
                "s3tables:CreateTableBucket",
                "s3tables:GetTableBucket",
                "s3tables:CreateNamespace",
                "s3tables:GetNamespace",
                "s3tables:ListNamespaces",
                "s3tables:DeleteNamespace",
                "s3tables:DeleteTableBucket",
                "s3tables:CreateTable",
                "s3tables:DeleteTable",
                "s3tables:GetTable",
                "s3tables:ListTables",
                "s3tables:RenameTable",
                "s3tables:UpdateTableMetadataLocation",
                "s3tables:GetTableMetadataLocation",
                "s3tables:GetTableData",
                "s3tables:PutTableData"
            ],
            "Resource": [
                "arn:aws:s3tables:us-east-1:123456789012:bucket/*"
            ]
        }
    ]
}

    Para obtener más información, consulte Requisitos de los roles utilizados para registrar ubicaciones.

  4. Agregue la siguiente política de confianza al rol de IAM para permitir que el servicio de Lake Formation asuma el rol y dispense credenciales temporales a los motores de análisis integrados. 

    {
  "Effect": "Allow",
  "Principal": {
    "Service": "lakeformation.amazonaws.com"
  },
  "Action": [
    "sts:AssumeRole",
    "sts:SetSourceIdentity",
    "sts:SetContext"  # add action to trust relationship when using IAM Identity center principals with Lake Formation
  ]
}