Uso de perfis do IAM existentes para atender assinaturas do Amazon DataZone - Amazon DataZone

Uso de perfis do IAM existentes para atender assinaturas do Amazon DataZone

Na versão atual, o Amazon DataZone oferece suporte ao uso de seus perfis do IAM atuais para obter acesso aos dados. Para obter isso, você pode criar uma meta de assinatura no ambiente do Amazon DataZone que você está usando para atender sua assinatura. Para criar uma meta de assinatura para um ambiente em uma das contas da AWS associadas, você pode executar as seguintes etapas:

Etapa 1: confirme se seu domínio do Amazon DataZone está usando a versão 2 ou superior da política de RAM

  1. Navegue até a página Compartilhado por mim: compartilhamentos de recursos no console do AWS RAM.

  2. Como os compartilhamentos de recursos do AWS RAM existem em regiões específicas da AWS, escolha a região da AWS apropriada na lista suspensa no canto superior direito do console.

  3. Selecione o compartilhamento de recursos correspondente ao seu domínio do Amazon DataZone e escolha Modificar. Você pode identificar o compartilhamento de RAM para o domínio do Amazon DataZone usando o nome ou ID do domínio, pois o compartilhamento de RAM é criado com o nome: DataZone-<domain-name>-<domain-id>.

  4. Escolha Avançar para prosseguir para a próxima etapa, na qual você pode verificar a versão da política de RAM e modificá-la.

  5. Verifique se a versão da política de RAM é a versão 2 ou superior. Se não for, use o menu suspenso para selecionar a versão 2 ou superior.

  6. Escolha Ir para a etapa 4: revisar e atualizar.

  7. Escolha Atualizar compartilhamento de recursos.

Etapa 2: criar uma meta de assinatura por meio de uma conta associada

  • Na versão atual, o Amazon DataZone oferece suporte à criação de metas de assinatura usando somente APIs. Abaixo estão alguns exemplos da carga útil que você pode usar para criar uma meta de assinatura para atender às assinaturas de suas tabelas do AWS Glue e das tabelas ou visualizações do Amazon Redshift. Para obter mais informações, consulte CreateSubscriptionTarget.

    Exemplo de meta de assinatura do AWS Glue

    
{
        "domainIdentifier": "<DOMAIN_ID>",
        "environmentIdentifier": "<ENVIRONMENT_ID>",
        "name": "<SUBSCRIPTION_TARGET_NAME>",
        "type": "GlueSubscriptionTargetType",
        "authorizedPrincipals" : ["IAM_ROLE_ARN"],
        "subscriptionTargetConfig" : [{"content": "{\"databaseName\": \"<DATABASE_NAME>\"}", "formName": "GlueSubscriptionTargetConfigForm"}],
        "manageAccessRole": "<GLUE_DATA_ACCESS_ROLE_IN_ASSOCIATED_ACCOUNT_ARN>",
        "applicableAssetTypes" : ["GlueTableAssetType"],
        "provider": "Amazon DataZone"
}

    Exemplo de meta de assinatura do Amazon Redshift:

    
{
        "domainIdentifier": "<DOMAIN_ID>",
        "environmentIdentifier": "<ENVIRONMENT_ID>",
        "name": "<SUBSCRIPTION_TARGET_NAME>",
        "type": "RedshiftSubscriptionTargetType",
        "authorizedPrincipals" : ["REDSHIFT_DATABASE_ROLE_NAME"],
        "subscriptionTargetConfig" : [{"content": "{\"databaseName\": \"<DATABASE_NAME>\", \"secretManagerArn\": \"<SECRET_MANAGER_ARN>\",\"clusterIdentifier\": \"<CLUSTER_IDENTIFIER>\"}", "formName": "RedshiftSubscriptionTargetConfigForm"}],
        "manageAccessRole": "<REDSHIFT_DATA_ACCESS_ROLE_IN_ASSOCIATED_ACCOUNT_ARN>",
        "applicableAssetTypes" : ["RedshiftViewAssetType", "RedshiftTableAssetType"],
        "provider": "Amazon DataZone"
}
    Importante

    • O environmentIdentifier que você usa na chamada de API acima deve existir na mesma conta associada da qual você está fazendo a chamada de API. Caso contrário, a chamada de API não será bem-sucedida.

    • O ARN do perfil do IAM que você usa em “authorizedPrincipals” é o perfil ao qual o Amazon DataZone concederá acesso depois que um ativo inscrito for adicionado à meta da assinatura. Essas entidades principais autorizadas devem pertencer à mesma conta do ambiente no qual a meta de assinatura está sendo criada.

    • O valor do campo do provedor deve ser “Amazon DataZone’ para que o Amazon DataZone possa concluir o cumprimento da assinatura.

    • O nome do banco de dados fornecido em subscriptionTargetConfig já deve existir na conta na qual a meta está sendo criada. O Amazon DataZone não criará esse banco de dados. Certifique-se também de que o perfil de gerenciamento de acesso tenha a permissão CREATE TABLE nesse banco de dados.

    • Além disso, confirme se os perfis (o perfil do IAM para o AWS Glue e o perfil do banco de dados para o Amazon Redshift) fornecidos como entidades principais já existam na conta do ambiente. Para metas de assinatura do Amazon Redshift, atualizações adicionais são necessárias para o perfil que está sendo assumido ao se conectar ao cluster. Esse perfil deve ter a marca RedshiftDbRoles anexada ao perfil. O valor pode ser uma sequência de URIs separada por vírgula. O valor deve ser o perfil do banco de dados fornecido como entidade principal autorizada ao criar a meta de assinatura.

Etapa 3: inscrever-se em uma nova tabela e cumprir a assinatura da nova meta

  • Depois de criar a meta de assinatura, você pode assinar uma nova tabela e o Amazon DataZone a cumprirá com a meta acima.