Conversion d'une AWS Glue ressource en ressource hybride - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conversion d'une AWS Glue ressource en ressource hybride

Suivez ces étapes pour enregistrer un site Amazon S3 en mode d'accès hybride et intégrer de nouveaux utilisateurs de Lake Formation sans interrompre l'accès aux données des utilisateurs existants du catalogue de données.

Description du scénario - L'emplacement des données n'est pas enregistré auprès de Lake Formation, et l'accès des utilisateurs à la base de données et aux tables du catalogue de données est déterminé par les politiques d'autorisation IAM pour Amazon S3 et AWS Glue les actions.
 Le IAMAllowedPrincipals groupe dispose par défaut d'Superautorisations sur toutes les tables de la base de données.

Pour activer le mode d'accès hybride pour un emplacement de données non enregistré auprès de Lake Formation
  1. Enregistrez un emplacement Amazon S3 permettant le mode d'accès hybride.
    Console

    1. Connectez-vous à la console Lake Formation en tant qu'administrateur du lac de données.

    2. Dans le volet de navigation, sélectionnez Emplacements des lacs de données sous Administration.

    3. Choisissez Enregistrer l'emplacement.

      Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.

    4. Dans la fenêtre Enregistrer l'emplacement, choisissez le chemin Amazon S3 que vous souhaitez enregistrer auprès de Lake Formation.

    5. Pour le rôle IAM, choisissez le rôle AWSServiceRoleForLakeFormationDataAccess lié au service (par défaut) ou un rôle IAM personnalisé rôle qui répond aux exigences deExigences relatives aux rôles utilisés pour enregistrer des sites.

    6. Choisissez le mode d'accès hybride pour appliquer des politiques précises de contrôle d'accès à Lake Formation aux principes d'adhésion ainsi qu'aux bases de données et aux tables du catalogue de données pointant vers l'emplacement enregistré.


      Choisissez Lake Formation pour permettre à Lake Formation d'autoriser les demandes d'accès à l'emplacement enregistré.


    7. Choisissez Enregistrer l'emplacement.

    AWS CLI

    Voici un exemple d'enregistrement d'un emplacement de données auprès de Lake Formation HybridAccessEnabled avec:true/false. La valeur par défaut du HybridAccessEnabled paramètre est false. Remplacez le chemin, le nom du rôle et l'identifiant du AWS compte Amazon S3 par des valeurs valides.

    aws lakeformation register-resource --cli-input-json file:file path
json:
    {
        "ResourceArn": "arn:aws:s3:::s3-path",
        "UseServiceLinkedRole": false,
        "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
        "HybridAccessEnabled": true
    }
  2. Accordez des autorisations et autorisez les principaux à utiliser les autorisations de Lake Formation pour les ressources en mode d'accès hybride

    Avant d'activer les principes et les ressources en mode d'accès hybride, vérifiez que les bases de données et les tables dont l'emplacement est enregistré auprès de Lake Formation en mode d'accès hybride existent Super ou que les All autorisations de IAMAllowedPrincipals regroupement existent.

    Note

    Vous ne pouvez pas accorder d'autorisation au IAMAllowedPrincipals groupe All tables dans une base de données. Vous devez sélectionner chaque table séparément dans le menu déroulant et accorder des autorisations. En outre, lorsque vous créez de nouvelles tables dans la base de données, vous pouvez choisir de les utiliser Use only IAM access control for new tables in new databases dans les paramètres du catalogue de données. Cette option accorde automatiquement Super l'autorisation au IAMAllowedPrincipals groupe lorsque vous créez de nouvelles tables dans la base de données.

    Console

    1. Sur la console Lake Formation, sous Data Catalog, sélectionnez Catalogues, Databases ou Tables.

    2. Sélectionnez un catalogue, une base de données ou une table dans la liste, puis choisissez Grant dans le menu Actions.

    3. Choisissez des principes pour accorder des autorisations sur la base de données, les tables et les colonnes à l'aide d'une méthode de ressource nommée ou de balises LF.

      Vous pouvez également choisir Autorisations relatives aux données, sélectionner les principaux auxquels accorder les autorisations dans la liste, puis sélectionner Accorder.

      Pour plus de détails sur l'octroi d'autorisations de données, consultezOctroi d'autorisations sur les ressources du catalogue de données.

      Note

      Si vous accordez à un principal l'autorisation de créer une table, vous devez également accorder des autorisations de localisation des données (DATA_LOCATION_ACCESS) au principal. Cette autorisation n'est pas nécessaire pour mettre à jour les tables.

      Pour de plus amples informations, veuillez consulter Octroi d'autorisations de localisation des données.

    4. Lorsque vous utilisez la méthode des ressources nommées pour accorder des autorisations, l'option permettant d'activer les principes et les ressources est disponible dans la section inférieure de la page d'autorisation des données d'octroi.

      Choisissez Rendre les autorisations Lake Formation effectives immédiatement pour activer les autorisations Lake Formation pour les principaux et les ressources.

      L'option permettant de choisir le mode d'accès hybride pour la ressource du catalogue de données.

    5. Choisissez Accorder.

      Lorsque vous activez le principal A sur la table A qui pointe vers un emplacement de données, cela permet au principal A d'accéder à l'emplacement de cette table en utilisant les autorisations de Lake Formation si l'emplacement des données est enregistré en mode hybride.

    AWS CLI

    Voici un exemple d'activation d'un principal et d'une table en mode d'accès hybride. Remplacez le nom du rôle, l'identifiant du AWS compte, le nom de la base de données et le nom de la table par des valeurs valides.

    aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
json:
  {
        "Principal": {
            "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
        },
        "Resource": {
            "Table": {
                "CatalogId": "<123456789012>",
                "DatabaseName": "<hybrid_test>",
                "Name": "<hybrid_test_table>"
            }
        }
    }

    1. Si vous choisissez les balises LF pour octroyer des autorisations, vous pouvez activer les principes pour utiliser les autorisations de Lake Formation lors d'une étape séparée. Vous pouvez le faire en choisissant le mode d'accès hybride sous Autorisations dans la barre de navigation de gauche.

    2. Dans la section inférieure de la page du mode d'accès hybride, choisissez Ajouter pour ajouter des ressources et des principes au mode d'accès hybride.

    3. Sur la page Ajouter des ressources et des principes, choisissez les catalogues, les bases de données et les tables enregistrés en mode d'accès hybride.

      Vous pouvez choisir d'autoriser l'accès All tables dans une base de données.

      Interface permettant d'ajouter des catalogues, des bases de données et des tables en mode d'accès hybride.

    4. Choisissez les principaux et acceptez d'utiliser les autorisations de Lake Formation en mode d'accès hybride.

      • Principaux — Vous pouvez choisir les utilisateurs et les rôles IAM dans le même compte ou dans un autre compte. Vous pouvez également choisir des utilisateurs et des groupes SAML.

      • Attributs : sélectionnez les attributs pour accorder des autorisations en fonction des attributs.

        Interface permettant d'ajouter des principes et des ressources avec une expression d'attribut.

      • Entrez la paire clé-valeur pour créer une subvention basée sur les attributs. Passez en revue l'expression de politique Cedar sur la console. Pour plus d'informations sur le cèdre, voir Qu'est-ce que le cèdre ? | Référence linguistique des politiques de Cedar GuideLink.

      • Choisissez Ajouter.

        L'accès est accordé à tous roles/users les IAM dont les attributs correspondent.

    5. Choisissez Ajouter.