Usando funções existentes do IAM para atender às DataZone assinaturas da Amazon - Amazon DataZone

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções existentes do IAM para atender às DataZone assinaturas da Amazon

Na versão atual, a Amazon DataZone oferece suporte ao uso de suas funções existentes do IAM para obter acesso aos dados. Para conseguir isso, você pode criar uma meta de assinatura no DataZone ambiente da Amazon que você está usando para cumprir sua assinatura. Para criar uma meta de assinatura para um ambiente em uma das AWS contas associadas, você pode usar as seguintes etapas:

Etapa 1: Certifique-se de que seu DataZone domínio da Amazon esteja usando a versão 2 ou superior da política de RAM

  1. Navegue até a página Compartilhado por mim: compartilhamentos de recursos no console da AWS RAM.

  2. Como os compartilhamentos de recursos de AWS RAM existem em AWS regiões específicas, escolha a AWS região apropriada na lista suspensa no canto superior direito do console.

  3. Selecione o compartilhamento de recursos correspondente ao seu DataZone domínio da Amazon e escolha Modificar. Você pode identificar o compartilhamento de RAM para o DataZone domínio da Amazon usando o nome ou ID do domínio, pois o compartilhamento de RAM é criado com o nome:DataZone-<domain-name>-<domain-id>.

  4. Escolha Avançar para prosseguir para a próxima etapa, na qual você pode verificar a versão da política de RAM e modificá-la.

  5. Verifique se a versão da política de RAM é a versão 2 ou superior. Se não for, use o menu suspenso para selecionar a versão 2 ou superior.

  6. Escolha Ir para a etapa 4: revisar e atualizar.

  7. Escolha Atualizar compartilhamento de recursos.

Etapa 2: criar uma meta de assinatura por meio de uma conta associada

  • Na versão atual, a Amazon DataZone oferece suporte à criação de metas de assinatura usando APIs apenas. Abaixo estão alguns exemplos da carga útil que você pode usar para criar uma meta de assinatura para atender às assinaturas de suas tabelas do AWS Glue e das tabelas ou visualizações do Amazon Redshift. Para obter mais informações, consulte CreateSubscriptionTarget.

    Exemplo de meta de assinatura do AWS Glue

    
{
        "domainIdentifier": "<DOMAIN_ID>",
        "environmentIdentifier": "<ENVIRONMENT_ID>",
        "name": "<SUBSCRIPTION_TARGET_NAME>",
        "type": "GlueSubscriptionTargetType",
        "authorizedPrincipals" : ["IAM_ROLE_ARN"],
        "subscriptionTargetConfig" : [{"content": "{\"databaseName\": \"<DATABASE_NAME>\"}", "formName": "GlueSubscriptionTargetConfigForm"}],
        "manageAccessRole": "<GLUE_DATA_ACCESS_ROLE_IN_ASSOCIATED_ACCOUNT_ARN>",
        "applicableAssetTypes" : ["GlueTableAssetType"],
        "provider": "Amazon DataZone"
}

    Exemplo de meta de assinatura do Amazon Redshift:

    
{
        "domainIdentifier": "<DOMAIN_ID>",
        "environmentIdentifier": "<ENVIRONMENT_ID>",
        "name": "<SUBSCRIPTION_TARGET_NAME>",
        "type": "RedshiftSubscriptionTargetType",
        "authorizedPrincipals" : ["REDSHIFT_DATABASE_ROLE_NAME"],
        "subscriptionTargetConfig" : [{"content": "{\"databaseName\": \"<DATABASE_NAME>\", \"secretManagerArn\": \"<SECRET_MANAGER_ARN>\",\"clusterIdentifier\": \"<CLUSTER_IDENTIFIER>\"}", "formName": "RedshiftSubscriptionTargetConfigForm"}],
        "manageAccessRole": "<REDSHIFT_DATA_ACCESS_ROLE_IN_ASSOCIATED_ACCOUNT_ARN>",
        "applicableAssetTypes" : ["RedshiftViewAssetType", "RedshiftTableAssetType"],
        "provider": "Amazon DataZone"
}
    Importante

    • O environmentIdentifier que você usa na chamada de API acima deve existir na mesma conta associada da qual você está fazendo a chamada de API. Caso contrário, a chamada de API não será bem-sucedida.

    • O ARN da função do IAM que você usa em “AuthorizedPrincipals” é a função à qual a Amazon DataZone concederá acesso depois que um ativo inscrito for adicionado à meta da assinatura. Essas entidades principais autorizadas devem pertencer à mesma conta do ambiente no qual a meta de assinatura está sendo criada.

    • O valor do campo do provedor deve ser “Amazon DataZone” para DataZone que a Amazon possa concluir o cumprimento da assinatura.

    • O nome do banco de dados fornecido em já subscriptionTargetConfig deve existir na conta na qual o destino está sendo criado. A Amazon não DataZone criará esse banco de dados. Certifique-se também de que o perfil de gerenciamento de acesso tenha a permissão CREATE TABLE nesse banco de dados.

    • Além disso, certifique-se de que as funções (a função do IAM para o AWS Glue e a função do banco de dados para o Amazon Redshift) fornecidas como diretores autorizados já existam na conta do ambiente. Para metas de assinatura do Amazon Redshift, atualizações adicionais são necessárias para o perfil que está sendo assumido ao se conectar ao cluster. Essa função deve ter uma RedshiftDbRoles tag anexada à função. O valor pode ser uma sequência de URIs separada por vírgula. O valor deve ser o perfil do banco de dados fornecido como entidade principal autorizada ao criar a meta de assinatura.

Etapa 3: inscrever-se em uma nova tabela e cumprir a assinatura da nova meta

  • Depois de criar a meta de assinatura, você pode se inscrever em uma nova tabela e a Amazon a DataZone cumprirá com a meta acima.