Convertendo um AWS Glue recurso em um recurso híbrido - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Convertendo um AWS Glue recurso em um recurso híbrido

Siga estas etapas para registrar uma localização do Amazon S3 no modo de acesso híbrido e integrar novos usuários do Lake Formation sem interromper o acesso aos dados dos usuários existentes do catálogo de dados.

Descrição do cenário - O local dos dados não está registrado no Lake Formation, e o acesso dos usuários ao banco de dados e às tabelas do catálogo de dados é determinado pelas políticas de permissões do IAM para o Amazon S3 e ações do AWS Glue .
 Por padrão, o grupo IAMAllowedPrincipals tem permissões Super em todas as tabelas do banco de dados.

Para ativar o modo de acesso híbrido para um local de dados que não está registrado no Lake Formation
  1. Registre um local do Amazon S3 para ativar o modo de acesso híbrido.
    Console

    1. Faça login no console do Lake Formation como administrador do data lake.

    2. No painel de navegação, escolha Localizações do data lake em Administração.

    3. Escolha Registrar localizações.

      Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.

    4. Na janela Registrar localização, escolha o caminho do Amazon S3 que você deseja registrar no Lake Formation.

    5. Para o perfil do IAM, escolha a função AWSServiceRoleForLakeFormationDataAccess vinculada ao serviço (a padrão) ou um perfil personalizado do IAM que atenda aos requisitos em Requisitos para funções usadas para registrar locais.

    6. Escolha o Modo de acesso híbrido para aplicar políticas refinadas de controle de acesso do Lake Formation às entidades principais e bancos de dados e tabelas do catálogo de dados que apontam para a localização registrada.


      Escolha Lake Formation para permitir que o Lake Formation autorize solicitações de acesso ao local registrado.


    7. Escolha Registrar local.

    AWS CLI

    Veja a seguir um exemplo para registrar uma localização de dados no Lake Formation HybridAccessEnabled com:true/false. O valor padrão do parâmetro HybridAccessEnabled é falso. Substitua o caminho, o nome da função e o ID da AWS conta do Amazon S3 por valores válidos.

    aws lakeformation register-resource --cli-input-json file:file path
json:
    {
        "ResourceArn": "arn:aws:s3:::s3-path",
        "UseServiceLinkedRole": false,
        "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
        "HybridAccessEnabled": true
    }
  2. Conceda permissões e opte pelas entidades principais para usar as permissões do Lake Formation para recursos no modo de acesso híbrido

    Antes de optar por diretores e recursos no modo de acesso híbrido, verifique se existem All permissões Super ou permissões para IAMAllowedPrincipals agrupar nos bancos de dados e tabelas que têm localização registrada no Lake Formation no modo de acesso híbrido.

    nota

    Você não pode conceder ao grupo IAMAllowedPrincipals permissão para All tables em um banco de dados. Você precisa selecionar cada tabela separadamente no menu suspenso e conceder permissões. Além disso, ao criar tabelas no banco de dados, você pode optar por usar Use only IAM access control for new tables in new databases em Configurações do Catálogo de Dados. Essa opção concede permissão Super ao grupo IAMAllowedPrincipals automaticamente quando você cria novas tabelas no banco de dados.

    Console

    1. No console do Lake Formation, em Catálogo de Dados, escolha Catálogos, Bancos de Dados ou Tabelas.

    2. Selecione um catálogo, um banco de dados ou uma tabela na lista e escolha Conceder no menu Ações.

    3. Escolha entidades principais para conceder permissões no banco de dados, tabelas e colunas usando o método de recurso nomeado ou tags do LF.

      Como alternativa, escolha Permissões de dados, selecione os diretores para conceder permissões na lista e escolha Conceder.

      Para obter mais detalhes sobre a concessão de permissões de dados, consulte Conceder permissões nos recursos do Catálogo de Dados.

      nota

      Se você estiver concedendo a permissão Criar tabela a uma entidade principal, também precisará conceder permissões de localização de dados (DATA_LOCATION_ACCESS) à entidade principal. Essa permissão não é necessária para atualizar tabelas.

      Para obter mais informações, consulte Conceder permissões de localização de dados.

    4. Quando você usa o Método de recurso nomeado para conceder permissões, a opção de optar por entidades principais e recursos está disponível na seção inferior da página Conceder permissão de dados.

      Escolha Tornar as permissões do Lake Formation efetivas imediatamente para habilitar as permissões do Lake Formation para as entidades principais e recursos.

      A opção de escolher o modo de acesso híbrido para o recurso do Catálogo de Dados.

    5. Selecione Conceder.

      Quando você opta pela entidade principal A na tabela A que está apontando para um local de dados, ela permite que a entidade principal A tenha acesso ao local dessa tabela usando as permissões do Lake Formation se o local dos dados estiver registrado no modo híbrido.

    AWS CLI

    A seguir está um exemplo de como optar por uma entidade principal e uma tabela no modo de acesso híbrido. Substitua o nome da função, o ID da conta da AWS , o nome do banco de dados e o nome da tabela por valores válidos.

    aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
json:
  {
        "Principal": {
            "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
        },
        "Resource": {
            "Table": {
                "CatalogId": "<123456789012>",
                "DatabaseName": "<hybrid_test>",
                "Name": "<hybrid_test_table>"
            }
        }
    }

    1. Se você escolher tags do LF para conceder permissões, você pode optar por entidades principais para usar as permissões do Lake Formation em uma etapa separada. Você pode fazer isso escolhendo o Modo de acesso híbrido em Permissões na barra de navegação esquerda.

    2. Na seção inferior da página do Modo de acesso híbrido, escolha Adicionar para adicionar recursos e entidades principais ao modo de acesso híbrido.

    3. Na página Adicionar recursos e principais, escolha os catálogos, bancos de dados e tabelas registrados no modo de acesso híbrido.

      Você pode escolher All tables em um banco de dados para conceder acesso.

      A interface para adicionar catálogos, bancos de dados e tabelas no modo de acesso híbrido.

    4. Escolha os diretores que optam por usar as permissões do Lake Formation no modo de acesso híbrido.

      • Diretores — Você pode escolher usuários e funções do IAM na mesma conta ou em outra conta. Você também pode escolher usuários e grupos do SAML.

      • Atributos — Selecione atributos para conceder permissões com base nos atributos.

        A interface para adicionar princípios e recursos com uma expressão de atributo.

      • Insira o par de valores-chave para criar uma concessão com base nos atributos. Analise a expressão da política do Cedar no console. Para obter mais informações sobre o cedro, consulte O que é cedro? | Referência GuideLink de linguagem da Cedar Policy.

      • Escolha Adicionar.

        Todos os IAM roles/users com atributos correspondentes recebem acesso.

    5. Escolha Adicionar.