Conversione di una AWS Glue risorsa in una risorsa ibrida - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Conversione di una AWS Glue risorsa in una risorsa ibrida

Segui questi passaggi per registrare una sede Amazon S3 in modalità di accesso ibrido e inserire nuovi utenti Lake Formation senza interrompere l'accesso ai dati degli utenti esistenti del Data Catalog.

Descrizione dello scenario: la posizione dei dati non è registrata con Lake Formation e l'accesso degli utenti al database e alle tabelle di Data Catalog è determinato dalle politiche di autorizzazione IAM per Amazon AWS Glue S3 e dalle azioni.
 Per impostazione predefinita, il IAMAllowedPrincipals gruppo dispone di Super autorizzazioni su tutte le tabelle del database.

Per abilitare la modalità di accesso ibrido per una posizione dati non registrata con Lake Formation
  1. Registra una posizione Amazon S3 abilitando la modalità di accesso ibrida.
    Console

    1. Accedi alla console Lake Formation come amministratore del data lake.

    2. Nel riquadro di navigazione, scegli Posizioni dei data lake in Amministrazione.

    3. Scegli Registra posizione.

      Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.

    4. Nella finestra Registra posizione, scegli il percorso Amazon S3 che desideri registrare con Lake Formation.

    5. Per il ruolo IAM, scegli il ruolo AWSServiceRoleForLakeFormationDataAccess collegato al servizio (predefinito) o un ruolo IAM personalizzato ruolo che soddisfa i requisiti di. Requisiti per i ruoli utilizzati per registrare le sedi

    6. Scegli la modalità di accesso ibrida per applicare politiche di controllo degli accessi granulari di Lake Formation ai principali opt-in e ai database e alle tabelle di Data Catalog che puntano alla posizione registrata.


      Scegli Lake Formation per consentire a Lake Formation di autorizzare le richieste di accesso alla posizione registrata.


    7. Scegli Registra posizione.

    AWS CLI

    Di seguito è riportato un esempio di registrazione di una posizione dati con Lake Formation HybridAccessEnabled con:true/false. Il valore predefinito per il parametro è false. HybridAccessEnabled Sostituisci il percorso, il nome del ruolo e l'ID AWS account di Amazon S3 con valori validi.

    aws lakeformation register-resource --cli-input-json file:file path
json:
    {
        "ResourceArn": "arn:aws:s3:::s3-path",
        "UseServiceLinkedRole": false,
        "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
        "HybridAccessEnabled": true
    }
  2. Concedi le autorizzazioni e attiva i principali per utilizzare le autorizzazioni di Lake Formation per le risorse in modalità di accesso ibrido

    Prima di attivare i principali e le risorse in modalità di accesso ibrido, verifica che Super i All permessi di IAMAllowedPrincipals raggruppamento esistano sui database e sulle tabelle la cui posizione è registrata con Lake Formation in modalità di accesso ibrida.

    Nota

    Non puoi concedere l'autorizzazione al IAMAllowedPrincipals gruppo All tables all'interno di un database. È necessario selezionare ogni tabella separatamente dal menu a discesa e concedere le autorizzazioni. Inoltre, quando crei nuove tabelle nel database, puoi scegliere di utilizzarle Use only IAM access control for new tables in new databases nelle Impostazioni del catalogo dati. Questa opzione concede automaticamente l'Superautorizzazione al IAMAllowedPrincipals gruppo quando si creano nuove tabelle all'interno del database.

    Console

    1. Nella console Lake Formation, in Data Catalog, scegli Cataloghi, Database o Tabelle.

    2. Seleziona un catalogo, un database o una tabella dall'elenco e scegli Concedi dal menu Azioni.

    3. Scegliete i principali per concedere le autorizzazioni sul database, sulle tabelle e sulle colonne utilizzando il metodo della risorsa denominata o i tag LF.

      In alternativa, scegli Autorizzazioni dati, seleziona i principali a cui concedere le autorizzazioni dall'elenco e scegli Concedi.

      Per maggiori dettagli sulla concessione delle autorizzazioni per i dati, consulta. Concessione delle autorizzazioni per le risorse di Data Catalog

      Nota

      Se concedi l'autorizzazione Create table a un principale, devi anche concedere le autorizzazioni per la localizzazione dei dati (DATA_LOCATION_ACCESS) al principale. Questa autorizzazione non è necessaria per aggiornare le tabelle.

      Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la localizzazione dei dati.

    4. Quando si utilizza il metodo Named resource per concedere le autorizzazioni, l'opzione per attivare i principali e le risorse è disponibile nella sezione inferiore della pagina Concedi l'autorizzazione ai dati.

      Scegli Rendi immediatamente effettive le autorizzazioni di Lake Formation per abilitare le autorizzazioni di Lake Formation per i committenti e le risorse.

      L'opzione per scegliere la modalità di accesso ibrida per la risorsa Data Catalog.

    5. Scegli Concessione.

      Quando si attiva il principale A sulla tabella A che punta a una posizione dei dati, consente al principale A di accedere alla posizione di questa tabella utilizzando le autorizzazioni di Lake Formation se la posizione dei dati è registrata in modalità ibrida.

    AWS CLI

    Di seguito è riportato un esempio di attivazione di un principale e di una tabella in modalità di accesso ibrida. Sostituisci il nome del ruolo, l'id AWS dell'account, il nome del database e il nome della tabella con valori validi.

    aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
json:
  {
        "Principal": {
            "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
        },
        "Resource": {
            "Table": {
                "CatalogId": "<123456789012>",
                "DatabaseName": "<hybrid_test>",
                "Name": "<hybrid_test_table>"
            }
        }
    }

    1. Se scegli LF-Tags per concedere le autorizzazioni, puoi attivare i principali per utilizzare i permessi di Lake Formation in un passaggio separato. Puoi farlo scegliendo la modalità di accesso ibrido in Autorizzazioni nella barra di navigazione a sinistra.

    2. Nella sezione inferiore della pagina della modalità di accesso ibrida, scegli Aggiungi per aggiungere risorse e principali alla modalità di accesso ibrida.

    3. Nella pagina Aggiungi risorse e principali, scegli i cataloghi, i database e le tabelle registrati in modalità di accesso ibrido.

      Puoi scegliere All tables all'interno di un database per concedere l'accesso.

      L'interfaccia per aggiungere cataloghi, database e tabelle in modalità di accesso ibrido.

    4. Scegli i titolari e accetta di utilizzare le autorizzazioni di Lake Formation in modalità di accesso ibrida.

      • Responsabili: puoi scegliere utenti e ruoli IAM nello stesso account o in un altro account. Puoi anche scegliere utenti e gruppi SAML.

      • Attributi: seleziona gli attributi per concedere le autorizzazioni in base agli attributi.

        L'interfaccia per aggiungere principi e risorse con un'espressione di attributo.

      • Inserisci la coppia chiave-valore per creare una concessione basata sugli attributi. Controlla l'espressione della policy Cedar sulla console. Per ulteriori informazioni su Cedar, vedi Cos'è Cedar? | Cedar Policy Language Reference. GuideLink

      • Scegli Aggiungi.

        A tutti gli IAM roles/users con attributi corrispondenti viene concesso l'accesso.

    5. Scegli Aggiungi.