Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Aggiungere una posizione Amazon S3 al tuo data lake Per aggiungere una posizione dati come spazio di archiviazione nel tuo data lake, *registri* la posizione (**Data lake location**) con AWS Lake Formation. Puoi quindi utilizzare le autorizzazioni di Lake Formation per un controllo granulare degli accessi agli AWS Glue Data Catalog oggetti che puntano a questa posizione e ai dati sottostanti nella posizione. Lake Formation consente inoltre di registrare una posizione dei dati in modalità di accesso ibrida e offre la flessibilità necessaria per abilitare selettivamente le autorizzazioni di Lake Formation per database e tabelle nel Data Catalog. Con la modalità di accesso Hybrid, hai a disposizione un percorso incrementale che ti consente di impostare le autorizzazioni di Lake Formation per un set specifico di utenti senza interrompere le politiche di autorizzazione di altri utenti o carichi di lavoro esistenti. Per ulteriori informazioni sulla configurazione della modalità di accesso ibrida, vedere [Modalità di accesso ibrida](hybrid-access-mode.md) Quando registri una posizione, vengono registrati quel percorso Amazon S3 e tutte le cartelle in quel percorso. Ad esempio, supponiamo di avere un'organizzazione dei percorsi Amazon S3 come la seguente: `/mybucket/accounting/sales/` Se ti registri`S3://mybucket/accounting`, anche la `sales` cartella è registrata e sotto la gestione di Lake Formation. Per ulteriori informazioni sulla registrazione delle sedi, vedere[Underlying data access control](access-control-underlying-data.md#underlying-data-access-control). **Nota** Le autorizzazioni Lake Formation sono consigliate per i dati strutturati (disposti in tabelle con righe e colonne). Se i tuoi dati contengono dati non strutturati basati su oggetti, prendi in considerazione l'utilizzo delle concessioni di accesso di Amazon S3 per gestire l'accesso ai dati. **Topics** + [ # Requisiti per i ruoli utilizzati per registrare le sedi ](registration-role.md) + [ # Registrazione di una sede Amazon S3 ](register-location.md) + [ # Registrazione di una posizione Amazon S3 crittografata ](register-encrypted.md) + [ # Registrazione di una sede Amazon S3 in un altro account AWS ](register-cross-account.md) + [ # Registrazione di una posizione Amazon S3 crittografata tra più account AWS ](register-cross-encrypted.md) + [ # Annullamento della registrazione di una sede Amazon S3 ](unregister-location.md) # Requisiti per i ruoli utilizzati per registrare le sedi È necessario specificare un ruolo AWS Identity and Access Management (IAM) quando si registra una sede Amazon Simple Storage Service (Amazon S3). AWS Lake Formation assume quel ruolo quando accede ai dati in quella posizione. È possibile utilizzare uno dei seguenti tipi di ruolo per registrare una posizione: + Il ruolo legato ai servizi di Lake Formation. Questo ruolo concede le autorizzazioni necessarie sulla sede. L'utilizzo di questo ruolo è il modo più semplice per registrare la posizione. Per ulteriori informazioni, consultare [Utilizzo di ruoli collegati ai servizi per Lake Formation](service-linked-roles.md) e [Limitazioni dei ruoli legati ai servizi](service-linked-role-limitations.md). + Un ruolo definito dall'utente. Utilizza un ruolo definito dall'utente quando devi concedere più autorizzazioni rispetto a quelle fornite dal ruolo collegato al servizio. È necessario utilizzare un ruolo definito dall'utente nelle seguenti circostanze: + Quando si registra una sede in un altro account. Per ulteriori informazioni, consultare [Registrazione di una sede Amazon S3 in un altro account AWS](register-cross-account.md) e [Registrazione di una posizione Amazon S3 crittografata tra più account AWS](register-cross-encrypted.md). + Se hai utilizzato una CMK (`aws/s3`) AWS gestita per crittografare la posizione Amazon S3. Per ulteriori informazioni, consulta [Registrazione di una posizione Amazon S3 crittografata](register-encrypted.md). + Se prevedi di accedere alla posizione utilizzando Amazon EMR. Se hai già registrato una sede con il ruolo collegato al servizio e desideri iniziare ad accedervi con Amazon EMR, devi annullare la registrazione della sede e registrarla nuovamente con un ruolo definito dall'utente. Per ulteriori informazioni, consulta [Annullamento della registrazione di una sede Amazon S3](unregister-location.md). # Utilizzo di ruoli collegati ai servizi per Lake Formation Uso di ruoli collegati ai servizi AWS Lake Formation *utilizza un ruolo collegato al AWS Identity and Access Management servizio (IAM).* Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Lake Formation. Il ruolo collegato al servizio è predefinito da Lake Formation e include tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto. Un ruolo collegato al servizio semplifica la configurazione di Lake Formation perché non è necessario creare un ruolo e aggiungere manualmente le autorizzazioni necessarie. Lake Formation definisce le autorizzazioni del suo ruolo collegato ai servizi e, se non diversamente definito, solo Lake Formation può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM. Questo ruolo collegato al servizio si affida ai seguenti servizi per l'assunzione del ruolo: + `lakeformation.amazonaws.com` Quando utilizzi un ruolo collegato al servizio nell'account A per registrare una sede Amazon S3 di proprietà dell'account B, la policy del bucket Amazon S3 (una politica basata sulle risorse) nell'account B deve concedere le autorizzazioni di accesso al ruolo collegato al servizio nell'account A. Per informazioni sull'utilizzo del ruolo collegato al servizio per registrare una posizione di dati, consulta. [Limitazioni dei ruoli legati ai servizi](service-linked-role-limitations.md) **Nota** Le politiche di controllo del servizio (SCPs) non influiscono sui ruoli collegati ai servizi. Per ulteriori informazioni, consulta [Service control policies (SCPs) nella guida](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) per l'*AWS Organizations utente*. ## Autorizzazioni di ruolo collegate al servizio per Lake Formation Lake Formation utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForLakeFormationDataAccess` Questo ruolo fornisce una serie di autorizzazioni Amazon Simple Storage Service (Amazon S3) che consentono al servizio integrato Lake Formation (ad esempio) di accedere alle sedi Amazon Athena registrate. Quando registri una posizione di data lake, devi fornire un ruolo con le read/write autorizzazioni Amazon S3 richieste in quella posizione. Invece di creare un ruolo con le autorizzazioni richieste di Amazon S3, puoi utilizzare questo ruolo collegato al servizio. La prima volta che nomini il ruolo collegato al servizio come ruolo con cui registrare un percorso, il ruolo collegato al servizio e una nuova policy IAM vengono creati per tuo conto. Lake Formation aggiunge il percorso alla politica in linea e la associa al ruolo collegato ai servizi. Quando registri percorsi successivi con il ruolo collegato al servizio, Lake Formation aggiunge il percorso alla policy esistente. Dopo aver effettuato l'accesso come amministratore del data lake, registra una posizione di data lake. Quindi, nella console IAM, cerca il ruolo `AWSServiceRoleForLakeFormationDataAccess` e visualizza le policy allegate. Ad esempio, dopo aver registrato la località`s3://my-kinesis-test/logs`, Lake Formation crea la seguente politica in linea e la allega a. `AWSServiceRoleForLakeFormationDataAccess` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccessPermissionsForS3", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::my-kinesis-test/logs/*" ] }, { "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::my-kinesis-test" ] } ] } ``` ------ ## Creazione di un ruolo legato ai servizi per Lake Formation Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando registri una sede Amazon S3 con Lake Formation nell' AWS API Console di gestione AWS, Lake Formation crea automaticamente il ruolo collegato al servizio. AWS CLI **Importante** Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando registri una sede Amazon S3 con Lake Formation, Lake Formation crea nuovamente il ruolo collegato al servizio per te. Puoi anche utilizzare la console IAM per creare un ruolo collegato ai servizi con lo use case **Lake Formation**. Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `lakeformation.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente. ## Modifica di un ruolo collegato ai servizi per Lake Formation Lake Formation non consente di modificare il ruolo `AWSServiceRoleForLakeFormationDataAccess` collegato al servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*. ## Eliminazione di un ruolo collegato al servizio per Lake Formation Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente. **Nota** Se il servizio Lake Formation utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione. **Per eliminare le risorse di Lake Formation utilizzate da Lake Formation** + Se hai utilizzato il ruolo collegato al servizio per registrare le sedi Amazon S3 con Lake Formation, prima di eliminare il ruolo collegato al servizio, devi annullare la registrazione della posizione e registrarla nuovamente utilizzando un ruolo personalizzato. **Per eliminare manualmente il ruolo collegato ai servizi mediante IAM** Usa la console IAM, o l'API per eliminare il ruolo collegato al servizio. AWS CLI AWS `AWSServiceRoleForLakeFormationDataAccess` Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente di IAM*. Di seguito sono riportati i requisiti per un ruolo definito dall'utente: + Quando crei il nuovo ruolo, **nella pagina Crea ruolo** della console IAM, scegli **AWS service**, quindi in **Choose a use case** scegli **Lake Formation**. Se crei il ruolo utilizzando un percorso diverso, assicurati che il ruolo abbia una relazione di fiducia con`lakeformation.amazonaws.com`. Per ulteriori informazioni, vedere [Modifica di una politica di attendibilità dei ruoli (Console).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) + Il ruolo deve avere una politica in linea che conceda le autorizzazioni di Amazon read/write S3 sulla posizione. Di seguito è riportata una politica tipica. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::awsexamplebucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::awsexamplebucket" ] } ] } ``` ------ + Aggiungi la seguente policy di fiducia al ruolo IAM per consentire al servizio Lake Formation di assumere il ruolo e fornire credenziali temporanee ai motori analitici integrati. Per includere il contesto utente di IAM Identity Center nei CloudTrail log, la policy di fiducia deve disporre dell'autorizzazione per l'azione. `sts:SetContext` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DataCatalogViewDefinerAssumeRole1", "Effect": "Allow", "Principal": { "Service": [ "lakeformation.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` ------ + L'amministratore del data lake che registra la posizione deve disporre dell'`iam:PassRole`autorizzazione per il ruolo. Di seguito è riportata una politica in linea che concede questa autorizzazione. Sostituiscilo ** con un numero di AWS account valido e ** sostituiscilo con il nome del ruolo. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::111122223333:role/" ] } ] } ``` ------ + Per consentire a Lake Formation di aggiungere log in CloudWatch Logs e pubblicare metriche, aggiungi la seguente politica in linea. **Nota** La scrittura su CloudWatch Logs comporta un costo. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Sid1", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*", "arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*:log-stream:*" ] } ] } ``` ------ # Registrazione di una sede Amazon S3 È necessario specificare un ruolo AWS Identity and Access Management (IAM) quando si registra una sede Amazon Simple Storage Service (Amazon S3). Lake Formation assume questo ruolo quando concede credenziali temporanee ai AWS servizi integrati che accedono ai dati in quella posizione. **Importante** Evita di registrare un bucket Amazon S3 con Requester pay **abilitato**. Per i bucket registrati con Lake Formation, il ruolo utilizzato per registrare il bucket viene sempre visualizzato come richiedente. Se al bucket si accede da un altro AWS account, al proprietario del bucket viene addebitato l'accesso ai dati se il ruolo appartiene allo stesso account del proprietario del bucket. Puoi utilizzare la AWS Lake Formation console, l'API Lake Formation o AWS Command Line Interface (AWS CLI) per registrare una sede Amazon S3. **Prima di iniziare** Rivedi i [requisiti per il ruolo utilizzato per registrare la sede](registration-role.md). **Per registrare una posizione (console)** **Importante** Le seguenti procedure presuppongono che la posizione Amazon S3 si trovi nello stesso AWS account del Data Catalog e che i dati in essa contenuti non siano crittografati. Altre sezioni di questo capitolo riguardano la registrazione tra account e la registrazione di posizioni crittografate. 1. Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Accedi come amministratore del data lake o come utente con l'autorizzazione `lakeformation:RegisterResource` IAM. 1. Nel riquadro di navigazione, in **Amministrazione**, seleziona **Data lake locations**. 1. Scegli **Registra posizione**, quindi scegli **Sfoglia** per selezionare un percorso Amazon Simple Storage Service (Amazon S3). 1. (Facoltativo, ma fortemente consigliato) Seleziona **Rivedi le autorizzazioni della posizione** per visualizzare un elenco di tutte le risorse esistenti nella posizione Amazon S3 selezionata e le relative autorizzazioni. La registrazione della località selezionata potrebbe consentire agli utenti di Lake Formation di accedere ai dati già presenti in quella posizione. La visualizzazione di questo elenco ti aiuta a garantire che i dati esistenti rimangano sicuri. 1. Per il **ruolo IAM**, scegli il ruolo `AWSServiceRoleForLakeFormationDataAccess` collegato al servizio (predefinito) o un ruolo IAM personalizzato che soddisfi i requisiti di. [Requisiti per i ruoli utilizzati per registrare le sedi](registration-role.md) Puoi aggiornare una posizione registrata o altri dettagli solo quando la registri utilizzando un ruolo IAM personalizzato. Per modificare una sede registrata utilizzando un ruolo collegato al servizio, è necessario annullare la registrazione della posizione e registrarla nuovamente. 1. Scegli l'opzione **Enable Data Catalog Federation** per consentire a Lake Formation di assumere un ruolo e vendere credenziali temporanee ai AWS servizi integrati per accedere alle tabelle nei database federati. Se una posizione è registrata con Lake Formation e desideri utilizzare la stessa posizione per una tabella in un database federato, devi registrare la stessa posizione con l'opzione **Enable Data Catalog Federation**. 1. Scegli la **modalità di accesso ibrida** per non abilitare le autorizzazioni di Lake Formation per impostazione predefinita. Quando registri una posizione Amazon S3 in modalità di accesso ibrido, puoi abilitare le autorizzazioni Lake Formation optando per i principali database e tabelle in quella posizione.
 Per ulteriori informazioni sulla configurazione della modalità di accesso ibrida, consulta. [Modalità di accesso ibrida](hybrid-access-mode.md) 1. Seleziona **Registra posizione**. **Per registrare una sede (AWS CLI)** 1. **Registra una nuova sede con Lake Formation** Questo esempio utilizza un ruolo collegato al servizio per registrare la posizione. È possibile utilizzare l'`--role-arn`argomento invece per fornire il proprio ruolo. Sostituiscilo ** con un percorso Amazon S3 valido, un numero di account con un AWS account valido e ** con un ruolo IAM che dispone delle autorizzazioni per registrare una posizione dati. **Nota** Non puoi modificare le proprietà di una posizione registrata se è registrata utilizzando un ruolo collegato al servizio. ``` aws lakeformation register-resource \ --resource-arn arn:aws:s3::: \ --use-service-linked-role ``` L'esempio seguente utilizza un ruolo personalizzato per registrare la posizione. ``` aws lakeformation register-resource \ --resource-arn arn:aws:s3::: \ --role-arn arn:aws:iam::<123456789012>:role/ ``` 1. **Per aggiornare una località registrata con Lake Formation** Puoi modificare una sede registrata solo se è registrata utilizzando un ruolo IAM personalizzato. Per una sede registrata con un ruolo collegato al servizio, è necessario annullare la registrazione della posizione e registrarla nuovamente. Per ulteriori informazioni, consulta [Annullamento della registrazione di una sede Amazon S3](unregister-location.md). ``` aws lakeformation update-resource \ --role-arn arn:aws:iam::<123456789012>:role/\ --resource-arn arn:aws:s3::: ``` ``` aws lakeformation update-resource \ --resource-arn arn:aws:s3::: \ --use-service-linked-role ``` 1. **Registra una posizione dati in modalità di accesso ibrida con federazione** ``` aws lakeformation register-resource \ --resource-arn arn:aws:s3::: \ --role-arn arn:aws:iam::<123456789012>:role/ \ --hybrid-access-enabled ``` ``` aws lakeformation register-resource \ --resource-arn arn:aws:s3::: \ --role-arn arn:aws:iam::<123456789012>:role/ \ --with-federation ``` ``` aws lakeformation update-resource \ --resource-arn arn:aws:s3::: \ --role-arn arn:aws:iam::<123456789012>:role/ \ --hybrid-access-enabled ``` Per ulteriori informazioni, consulta Funzionamento [RegisterResource](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_RegisterResource.html)delle API. **Nota** Dopo aver registrato una posizione Amazon S3, qualsiasi AWS Glue tabella che punta alla posizione (o a una delle sue sedi secondarie) restituirà il valore del `IsRegisteredWithLakeFormation` parametro come `true` nella chiamata. `GetTable` È noto che le operazioni dell'API Data Catalog, come `GetTables` e `SearchTables` non, aggiornano il valore del `IsRegisteredWithLakeFormation` parametro e restituiscono il valore predefinito, che è falso. Si consiglia di utilizzare l'`GetTable`API per visualizzare il valore corretto del `IsRegisteredWithLakeFormation` parametro. # Registrazione di una posizione Amazon S3 crittografata Lake Formation si integra con [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) per consentirti di configurare più facilmente altri servizi integrati per crittografare e decrittografare i dati nelle sedi Amazon Simple Storage Service (Amazon S3). Entrambi sono gestiti dal cliente e sono supportati. AWS KMS keys Chiavi gestite da AWS Attualmente, il lato client encryption/decryption è supportato solo con Athena. È necessario specificare un ruolo AWS Identity and Access Management (IAM) quando si registra una sede Amazon S3. Per le sedi Amazon S3 crittografate, il ruolo deve disporre dell'autorizzazione per crittografare e decrittografare i dati con o la politica della AWS KMS key chiave KMS deve concedere le autorizzazioni sulla chiave del ruolo. **Importante** Evita di registrare un bucket Amazon S3 con Requester pay **abilitato**. Per i bucket registrati con Lake Formation, il ruolo utilizzato per registrare il bucket viene sempre visualizzato come richiedente. Se al bucket si accede da un altro AWS account, al proprietario del bucket viene addebitato l'accesso ai dati se il ruolo appartiene allo stesso account del proprietario del bucket. Lake Formation utilizza un ruolo collegato al servizio per registrare le posizioni dei dati. [Tuttavia, questo ruolo presenta diverse limitazioni.](service-linked-role-limitations.md) A causa di questi vincoli, consigliamo invece di creare e utilizzare un ruolo IAM personalizzato per maggiore flessibilità e controllo. Il ruolo personalizzato creato per registrare la sede deve soddisfare i requisiti specificati in. [Requisiti per i ruoli utilizzati per registrare le sedi](registration-role.md) **Importante** Se hai utilizzato un Chiave gestita da AWS per crittografare la posizione Amazon S3, non puoi utilizzare il ruolo collegato al servizio Lake Formation. È necessario utilizzare un ruolo personalizzato e aggiungere le autorizzazioni IAM sulla chiave del ruolo. I dettagli sono forniti più avanti in questa sezione. Le seguenti procedure spiegano come registrare una posizione Amazon S3 crittografata con una chiave gestita dal cliente o un. Chiave gestita da AWS + [Registrazione di una posizione crittografata con una chiave gestita dal cliente](#proc-register-cust-cmk) + [Registrazione di una posizione crittografata con un Chiave gestita da AWS](#proc-register-aws-cmk) **Prima di iniziare** Esamina i [requisiti per il ruolo utilizzato per registrare la sede](registration-role.md). **Per registrare una posizione Amazon S3 crittografata con una chiave gestita dal cliente** **Nota** Se la chiave KMS o la posizione Amazon S3 non si trovano AWS nello stesso account del Data Catalog, segui invece le istruzioni riportate [Registrazione di una posizione Amazon S3 crittografata tra più account AWS](register-cross-encrypted.md) in. 1. Apri la AWS KMS console su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) e accedi come utente amministrativo AWS Identity and Access Management (IAM) o come utente che può modificare la politica chiave della chiave KMS utilizzata per crittografare la posizione. 1. Nel pannello di navigazione, scegli **Customer managed keys**, quindi scegli il nome della chiave KMS desiderata. 1. Nella pagina dei dettagli della chiave KMS, scegli la scheda **Politica chiave**, quindi esegui una delle seguenti operazioni per aggiungere il tuo ruolo personalizzato o il ruolo collegato al servizio Lake Formation come utente chiave KMS: + **Se viene visualizzata la visualizzazione predefinita** (con le sezioni **Amministratori** **chiave, Eliminazione** **chiavi, Utenti chiave** e **Altri AWS account**), nella sezione **Utenti chiave**, aggiungi il tuo ruolo personalizzato o il ruolo collegato al servizio Lake Formation. `AWSServiceRoleForLakeFormationDataAccess` + **Se viene visualizzata la policy chiave (JSON)**, modifica la policy per aggiungere il ruolo personalizzato o il ruolo collegato `AWSServiceRoleForLakeFormationDataAccess` al servizio Lake Formation all'oggetto «Consenti l'uso della chiave», come mostrato nell'esempio seguente. **Nota** Se quell'oggetto manca, aggiungilo con le autorizzazioni mostrate nell'esempio. L'esempio utilizza il ruolo collegato al servizio. ``` ... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ... ``` 1. Apri la AWS Lake Formation console all'indirizzo. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Accedi come amministratore del data lake o come utente con l'autorizzazione `lakeformation:RegisterResource` IAM. 1. Nel riquadro di navigazione, in **Amministrazione**, scegli **Data lake locations**. 1. Scegli **Registra posizione**, quindi scegli **Sfoglia** per selezionare un percorso Amazon Simple Storage Service (Amazon S3). 1. (Facoltativo, ma fortemente consigliato) Scegli **Rivedi le autorizzazioni della sede** per visualizzare un elenco di tutte le risorse esistenti nella posizione Amazon S3 selezionata e le relative autorizzazioni. La registrazione della località selezionata potrebbe consentire agli utenti di Lake Formation di accedere ai dati già presenti in quella posizione. La visualizzazione di questo elenco ti aiuta a garantire che i dati esistenti rimangano sicuri. 1. Per **il ruolo IAM**, scegli il ruolo `AWSServiceRoleForLakeFormationDataAccess` collegato al servizio (predefinito) o il ruolo personalizzato che soddisfa i. [Requisiti per i ruoli utilizzati per registrare le sedi](registration-role.md) 1. Scegli **Registra posizione**. Per ulteriori informazioni sul ruolo collegato al servizio, consulta [Autorizzazioni di ruolo collegate al servizio per Lake Formation](service-linked-roles.md#service-linked-role-permissions). **Per registrare una posizione Amazon S3 crittografata con un Chiave gestita da AWS** **Importante** Se la sede Amazon S3 non si trova nello stesso AWS account del Data Catalog, segui invece le istruzioni riportate in[Registrazione di una posizione Amazon S3 crittografata tra più account AWS](register-cross-encrypted.md). 1. Crea un ruolo IAM da utilizzare per registrare la posizione. Assicurati che soddisfi i requisiti elencati in[Requisiti per i ruoli utilizzati per registrare le sedi](registration-role.md). 1. Aggiungi la seguente politica in linea al ruolo. Concede le autorizzazioni sulla chiave del ruolo. La `Resource` specifica deve indicare l'Amazon Resource Name (ARN) di. Chiave gestita da AWSÈ possibile ottenere l'ARN dalla AWS KMS console. Per ottenere l'ARN corretto, assicurati di accedere alla AWS KMS console con lo stesso AWS account e la stessa regione utilizzati per crittografare la Chiave gestita da AWS posizione. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] } ``` ------ Puoi utilizzare gli alias delle chiavi KMS anziché l'ID della chiave - `arn:aws:kms:region:account-id:key/alias/your-key-alias` Per ulteriori informazioni, consulta la sezione [Alias nella AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) sezione della Guida per gli AWS Key Management Service sviluppatori. 1. Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Accedi come amministratore del data lake o come utente con l'autorizzazione `lakeformation:RegisterResource` IAM. 1. Nel riquadro di navigazione, in **Amministrazione**, scegli **Data lake locations**. 1. Scegli **Registra posizione**, quindi scegli **Sfoglia** per selezionare un percorso Amazon S3. 1. (Facoltativo, ma fortemente consigliato) Scegli **Rivedi le autorizzazioni della sede** per visualizzare un elenco di tutte le risorse esistenti nella posizione Amazon S3 selezionata e le relative autorizzazioni. La registrazione della località selezionata potrebbe consentire agli utenti di Lake Formation di accedere ai dati già presenti in quella posizione. La visualizzazione di questo elenco ti aiuta a garantire che i dati esistenti rimangano sicuri. 1. Per il **ruolo IAM**, scegli il ruolo che hai creato nella fase 1. 1. Scegli la **posizione di registrazione**. # Registrazione di una sede Amazon S3 in un altro account AWS AWS Lake Formation consente di registrare sedi Amazon Simple Storage Service (Amazon S3) su più account. AWS Ad esempio, se si AWS Glue Data Catalog trova nell'account A, un utente nell'account A può registrare un bucket Amazon S3 nell'account B. La registrazione di un bucket Amazon S3 AWS nell'account B utilizzando AWS Identity and Access Management un ruolo (IAM) AWS nell'account A richiede le seguenti autorizzazioni: + Il ruolo nell'account A deve concedere le autorizzazioni sul bucket dell'account B. + La politica del bucket nell'account B deve concedere le autorizzazioni di accesso al ruolo nell'account A. **Importante** Evita di registrare un bucket Amazon S3 con Requester pay **abilitato**. Per i bucket registrati con Lake Formation, il ruolo utilizzato per registrare il bucket viene sempre visualizzato come richiedente. Se al bucket si accede da un altro AWS account, al proprietario del bucket viene addebitato l'accesso ai dati se il ruolo appartiene allo stesso account del proprietario del bucket. Non puoi utilizzare il ruolo collegato al servizio Lake Formation per registrare una sede in un altro account. È invece necessario utilizzare un ruolo definito dall'utente. Il ruolo deve soddisfare i requisiti di[Requisiti per i ruoli utilizzati per registrare le sedi](registration-role.md). Per ulteriori informazioni sul ruolo collegato al servizio, consulta [Autorizzazioni di ruolo collegate al servizio per Lake Formation](service-linked-roles.md#service-linked-role-permissions). **Prima di iniziare** Esamina i [requisiti per il ruolo utilizzato per registrare la sede](registration-role.md). **Per registrare una sede in un altro AWS account** **Nota** Se la posizione è crittografata, segui [Registrazione di una posizione Amazon S3 crittografata tra più account AWS](register-cross-encrypted.md) invece le istruzioni riportate in. La procedura seguente presuppone che un titolare dell'account 1111-2222-3333, che contiene il Data Catalog, desideri registrare il `awsexamplebucket1` bucket Amazon S3, che si trova nell'account 1234-5678-9012. 1. Nell'account 1111-2222-3333, accedi e apri la console IAM all'indirizzo. Console di gestione AWS [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Crea un nuovo ruolo o visualizza un ruolo esistente che soddisfa i requisiti in. [Requisiti per i ruoli utilizzati per registrare le sedi](registration-role.md) Assicurati che il ruolo conceda le autorizzazioni di Amazon S3. `awsexamplebucket1` 1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) Accedi con l'account 1234-5678-9012. 1. Nell'elenco dei nomi del **bucket, scegli il nome del bucket**,. `awsexamplebucket1` 1. Seleziona **Autorizzazioni**. 1. **Nella pagina **Autorizzazioni**, scegli Bucket Policy.** 1. Nell'**editor di policy Bucket**, incolla la seguente politica. Sostituisci ** con il nome del ruolo. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::111122223333:role/" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::awsexamplebucket1" }, { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::111122223333:role/" }, "Action": [ "s3:DeleteObject", "s3:GetObject", "s3:PutObject" ], "Resource":"arn:aws:s3:::awsexamplebucket1/*" } ] } ``` ------ 1. Scegli **Save** (Salva). 1. Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Accedi all'account 1111-2222-3333 come amministratore del data lake o come utente con autorizzazioni sufficienti per registrare le sedi. 1. **Nel riquadro di navigazione, in **Amministrazione, scegli Posizioni Data lake**.** 1. Nella pagina **delle sedi dei Data lake**, scegli **Registra posizione**. 1. Nella **pagina Registra posizione**, per il **percorso Amazon S3**, inserisci il nome del bucket. `s3://awsexamplebucket1` **Nota** **Devi digitare il nome del bucket perché i bucket tra account non vengono visualizzati nell'elenco quando scegli Sfoglia.** 1. Per il **ruolo IAM, scegli il tuo ruolo**. 1. Scegli **Registra la posizione**. # Registrazione di una posizione Amazon S3 crittografata tra più account AWS AWS Lake Formation si integra con [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) per consentirti di configurare più facilmente altri servizi integrati per crittografare e decrittografare i dati nelle sedi Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3). Sono supportate entrambe le chiavi gestite dal cliente. Chiavi gestite da AWS Il lato client non encryption/decryption è supportato. **Importante** Evita di registrare un bucket Amazon S3 con Requester pay **abilitato**. Per i bucket registrati con Lake Formation, il ruolo utilizzato per registrare il bucket viene sempre visualizzato come richiedente. Se al bucket si accede da un altro AWS account, al proprietario del bucket viene addebitato l'accesso ai dati se il ruolo appartiene allo stesso account del proprietario del bucket. Questa sezione spiega come registrare una sede Amazon S3 nelle seguenti circostanze: + I dati nella posizione Amazon S3 sono crittografati con una chiave KMS creata in. AWS KMS + La sede Amazon S3 non si trova nello stesso AWS account di. AWS Glue Data Catalog + La chiave KMS è o non si trova nello stesso AWS account del Data Catalog. La registrazione di un bucket Amazon S3 AWS KMS crittografato AWS nell'account B utilizzando AWS Identity and Access Management un ruolo (IAM) AWS nell'account A richiede le seguenti autorizzazioni: + Il ruolo nell'account A deve concedere le autorizzazioni sul bucket dell'account B. + La politica del bucket nell'account B deve concedere le autorizzazioni di accesso al ruolo nell'account A. + Se la chiave KMS è nell'account B, la politica chiave deve concedere l'accesso al ruolo nell'account A e il ruolo nell'account A deve concedere le autorizzazioni sulla chiave KMS. Nella procedura seguente, si crea un ruolo nell' AWS account che contiene il catalogo dati (l'account A nella discussione precedente). Quindi, si utilizza questo ruolo per registrare la posizione. Lake Formation assume questo ruolo quando accede ai dati sottostanti in Amazon S3. Il ruolo assunto dispone delle autorizzazioni richieste sulla chiave KMS. Di conseguenza, non è necessario concedere le autorizzazioni sulla chiave KMS ai responsabili che accedono ai dati sottostanti con lavori ETL o con servizi integrati come. Amazon Athena **Importante** Non puoi utilizzare il ruolo collegato al servizio Lake Formation per registrare una sede in un altro account. È invece necessario utilizzare un ruolo definito dall'utente. Il ruolo deve soddisfare i requisiti di[Requisiti per i ruoli utilizzati per registrare le sedi](registration-role.md). Per ulteriori informazioni sul ruolo collegato al servizio, consulta [Autorizzazioni di ruolo collegate al servizio per Lake Formation](service-linked-roles.md#service-linked-role-permissions). **Prima di iniziare** Esamina i [requisiti per il ruolo utilizzato per registrare la sede](registration-role.md). **Per registrare una posizione Amazon S3 crittografata tra più account AWS** 1. Nello stesso AWS account del Data Catalog, accedi Console di gestione AWS e apri la console IAM all'indirizzo[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Crea un nuovo ruolo o visualizza un ruolo esistente che soddisfa i requisiti in[Requisiti per i ruoli utilizzati per registrare le sedi](registration-role.md). Assicurati che il ruolo includa una policy che conceda le autorizzazioni di Amazon S3 sulla location. 1. Se la chiave KMS non si trova nello stesso account del Data Catalog, aggiungi al ruolo una policy in linea che conceda le autorizzazioni richieste sulla chiave KMS. Di seguito è riportata una policy di esempio. Sostituisci la regione e l'ID dell'account con la regione e il numero di account della chiave KMS. Sostituisci ** con l'ID della chiave. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/" } ] } ``` ------ 1. Sulla console Amazon S3, aggiungi una bucket policy che conceda le autorizzazioni Amazon S3 richieste per il ruolo. Di seguito è riportato un esempio di policy di bucket. Sostituisci l'ID dell' AWS account con il numero di account del Data Catalog, ** con il nome del tuo ruolo e ** con il nome del bucket. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::111122223333:role/" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::" }, { "Effect":"Allow", "Principal": { "AWS":"arn:aws:iam::111122223333:role/" }, "Action": [ "s3:DeleteObject", "s3:GetObject", "s3:PutObject" ], "Resource":"arn:aws:s3:::/*" } ] } ``` ------ 1. In AWS KMS, aggiungi il ruolo come utente della chiave KMS. 1. Apri la AWS KMS console in [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms) Quindi, accedi come utente amministratore o come utente che può modificare la politica chiave della chiave KMS utilizzata per crittografare la posizione. 1. Nel riquadro di navigazione, scegli **Customer managed keys**, quindi scegli il nome della chiave KMS. 1. Nella pagina dei dettagli della chiave KMS, nella scheda **Politica chiave**, se la visualizzazione JSON della politica chiave non viene visualizzata, scegli **Passa alla** visualizzazione delle politiche. 1. Nella sezione **Key policy**, scegli **Modifica** e aggiungi l'Amazon Resource Name (ARN) del ruolo all'`Allow use of the key`oggetto, come mostrato nell'esempio seguente. **Nota** Se quell'oggetto manca, aggiungilo con le autorizzazioni mostrate nell'esempio. ``` ... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam:::role/" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ... ``` Per ulteriori informazioni, consulta [Consentire agli utenti di altri account di utilizzare una chiave KMS nella Guida](https://docs.amazonaws.cn/en_us/kms/latest/developerguide/key-policy-modifying-external-accounts.html) per gli *AWS Key Management Service sviluppatori*. 1. Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Accedi all' AWS account Data Catalog come amministratore del data lake. 1. Nel riquadro di navigazione, in **Amministrazione**, scegli **Posizioni Data lake**. 1. Scegli **Registra posizione**. 1. Nella **pagina Registra posizione**, per il percorso **Amazon S3, inserisci il percorso** della posizione come. **s3://**/**** Sostituiscilo ** con il nome del bucket e ** con il resto del percorso della posizione. **Nota** **È necessario digitare il percorso perché i bucket tra account non vengono visualizzati nell'elenco quando si sceglie Sfoglia.** 1. Per il **ruolo IAM**, scegli il ruolo dalla Fase 2. 1. Scegli **Registra posizione**. # Annullamento della registrazione di una sede Amazon S3 Puoi annullare la registrazione di una sede Amazon Simple Storage Service (Amazon S3) se non desideri più che venga gestita da Lake Formation. L'annullamento della registrazione di una sede non influisce sulle autorizzazioni di localizzazione dei dati di Lake Formation concesse in quella località. Puoi registrare nuovamente una sede che hai annullato e le autorizzazioni relative alla localizzazione dei dati rimangono valide. È possibile utilizzare un ruolo diverso per registrare nuovamente la posizione. **Per annullare la registrazione di una posizione (console)** 1. Apri la AWS Lake Formation console all'indirizzo. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Accedi come amministratore del data lake o come utente con l'autorizzazione `lakeformation:RegisterResource` IAM. 1. Nel riquadro di navigazione, in **Amministrazione**, scegli **Data lake locations**. 1. Seleziona una posizione e nel menu **Azioni** scegli **Rimuovi**. 1. Quando viene richiesta la conferma, scegli **Rimuovi**.