Criando um catálogo federado usando uma conexão AWS Glue

Para conectar-se AWS Glue Data Catalog às fontes de dados externas, você precisa usar AWS Glue conexões que permitam a comunicação com as fontes de dados externas. Você pode criar AWS Glue conexões usando o AWS Glue console, a API Create Connection e o console do Amazon SageMaker Lakehouse.

Para obter instruções passo a passo para criar uma AWS Glue conexão, consulte Conectando-se aos dados no Guia do AWS Glue desenvolvedor ou Criação de conexões no Amazon SageMaker Lakehouse.

Quando um usuário executa uma consulta em tabelas federadas, o Lake Formation vende credenciais que invocam uma AWS Lambda função especificada na AWS Glue conexão para recuperar objetos de metadados da fonte de dados.

Console de gerenciamento da AWS

Como criar um catálogo federado por meio de uma fonte de dados externa e configurar permissões (console)

Abra o console do Lake Formation em https://console.aws.amazon.com/lakeformation/.
No painel de navegação, escolha Catálogos, em Data Catalog.
Selecione a opção Criar catálogo.
Na página de detalhes Definir catálogo, insira as seguintes informações:
- Nome: um nome exclusivo para seu catálogo federado. O nome não pode ser alterado e deve estar em letras minúsculas. O nome pode ter no máximo 255 caracteres.
- Tipo: escolha o catálogo federado como o tipo de catálogo.
- Fonte: escolha uma fonte de dados no menu suspenso. As fontes de dados para as quais você criou conexões são exibidas. Para obter mais informações sobre como criar uma AWS Glue conexão com uma fonte de dados externa, consulte Criação de conexões para conectores no Guia do AWS Glue desenvolvedor ou Criação de conexões no Amazon SageMaker Lakehouse.
- Conexão — Escolha uma AWS Glue conexão existente com a fonte de dados.
- Descrição: insira uma descrição para o catálogo criado por meio da fonte de dados.
Escolha um perfil do IAM a ser assumido pelo Lake Formation para fornecer credenciais para que o mecanismo de consulta acesse os dados da fonte de dados. Essa função deve ter as permissões necessárias para acessar a AWS Glue conexão e invocar a função Lambda para acessar dados da fonte de dados externa.

Também é possível criar um perfil no console do IAM.

Consulte a seção Requisitos para conectar o Data Catalog a fontes de dados externas para conhecer as permissões necessárias.
Selecione a opção Ativar o conector para se conectar à fonte de dados para permitir que o Athena execute consultas federadas.

Para ver a lista de conectores aceitos, consulte Registrar sua conexão no Guia do usuário do Amazon Athena.
Opções de criptografia: escolha a opção Personalizar configurações de criptografia se quiser usar uma chave personalizada para criptografar o catálogo. Para usar uma chave personalizada, você deve adicionar outra política de chave gerenciada personalizada à sua chave do KMS.
Escolha Próximo para conceder permissões a outras entidades principais.
Na página Conceder permissões, escolha Adicionar permissões.
Na tela Adicionar permissões, escolha as entidades principais e os tipos de permissões a serem concedidas.
- Na seção Entidades principais, escolha um tipo de entidade principal e, em seguida, especifique as entidades principais para conceder permissões.
  - Usuários e perfis do IAM: escolha um ou mais usuários ou perfis na lista de usuários e perfis do IAM.
  - Usuários e grupos do SAML — Para SAML e Amazon Quick Suite usuários e grupos, insira um ou mais nomes de recursos da Amazon (ARNs) para usuários ou grupos federados por meio do SAML ou para usuários ou grupos do ARNs Amazon Quick Suite. Pressione Enter após cada ARN.
- Na seção Permissões, selecione permissões e permissões concedidas.
  
  Em Permissões do catálogo, selecione uma ou mais permissões a serem concedidas.
  
  Escolha Superusuário para conceder permissões administrativas irrestritas em todos os recursos do catálogo.
  
  Em Permissões concedidas, selecione as permissões que o beneficiário do subsídio pode conceder a outros diretores em sua conta. AWS Essa opção não é compatível quando você está concedendo permissões a uma entidade principal do IAM a partir de uma conta externa.
Escolha Próximo para revisar as informações e criar o catálogo. A lista Catálogos mostra o novo catálogo federado.

A lista Locais de dados mostra a conexão federada recém-registrada.

AWS CLI

Como criar um catálogo federado por meio de uma fonte de dados externa e configurar permissões

O exemplo a seguir mostra como criar uma AWS Glue conexão.


aws glue create-connection 
  --connection-input \
      '{
         "Name": "DynamoDB connection",
         "ConnectionType": "DYNAMODB",
         "Description": "A connection created for DynamoDB",
         "ConnectionProperties": {},
         "AthenaProperties": "spill_prefix": "your_spill_prefix",
         "lambda_function_arn": "Lambda_function_arn",
         "spill_bucket": "Your_Bucket_name",
         "AuthenticationConfiguration": {}
      }'

O exemplo a seguir mostra como registrar uma AWS Glue conexão com o Lake Formation.


aws lakeformation register-resource 
  --cli-input-json \
    {"ResourceArn":"arn:aws:glue:us-east-1:123456789012:connection/dynamo","RoleArn":"arn:aws:iam::123456789012:role/AdminTelemetry","WithFederation":true}

O exemplo a seguir mostra como criar um catálogo federado.


aws glue create-catalog 
 --cli-input-json \
      '{
       "Name":"ddbcatalog",
       "CatalogInput":{"CatalogProperties":{"DataLakeAccessProperties":{"DataTransferRole":"arn:aws:iam::123456789012:role/role name"}},
       "CreateDatabaseDefaultPermissions":[],
       "CreateTableDefaultPermissions":[],
       "FederatedCatalog":{"ConnectionName":"dynamo","Identifier":"dynamo"}
         }
       }'

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Pré-requisitos

Visualizar objetos do catálogo