Localização do bucket do Amazon S3 e acesso do usuário

Pré-requisitos para configurar o modo de acesso híbrido

Estes estão os pré-requisitos para configurar o modo de acesso híbrido:

nota

Recomendamos que um administrador do Lake Formation registre a localização do Amazon S3 no modo de acesso híbrido e opte por entidades principais e recursos.

Conceda permissão de localização de dados (DATA_LOCATION_ACCESS) para criar recursos do catálogo de dados que apontem para os locais do Amazon S3. As permissões de localização de dados controlam a capacidade de criar catálogos, bancos de dados e tabelas do Data Catalog que apontam para os locais específicos do Amazon S3.
Para compartilhar recursos do Catálogo de Dados com outra conta no modo de acesso híbrido (sem remover as permissões de IAMAllowedPrincipals grupo do recurso), você precisa atualizar as configurações da versão da conta cruzada para a versão 4 ou superior. Para atualizar a versão usando o console do Lake Formation, escolha Versão 4 ou Versão 5 em Configurações de versão entre contas na página de configurações do Catálogo de Dados.

Você também pode usar o put-data-lake-settings AWS CLI comando para definir o CROSS_ACCOUNT_VERSION parâmetro para a versão 4 ou 5:
```
aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
"DataLakeAdmins": [
        {
"DataLakePrincipalIdentifier": "arn:aws:iam::<111122223333>:user/<user-name>"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
"CROSS_ACCOUNT_VERSION": "5"
    }
} 
 
```
 Para conceder permissões entre contas no modo de acesso híbrido, o concedente deve ter as permissões necessárias do IAM e os AWS Glue serviços. AWS RAM A política AWS gerenciada AWSLakeFormationCrossAccountManager concede as permissões necessárias.  Para permitir o compartilhamento de dados entre contas no modo de acesso híbrido, atualizamos a política gerenciada AWSLakeFormationCrossAccountManager adicionando duas novas permissões do IAM:
- RAM: ListResourceSharePermissions
- RAM: AssociateResourceSharePermission
nota
Se você não estiver usando a política AWS gerenciada para a função de concedente, adicione as políticas acima às suas políticas personalizadas.

Localização do bucket do Amazon S3 e acesso do usuário

Ao criar um catálogo, banco de dados ou tabela no AWS Glue Data Catalog, você pode especificar a localização dos dados subjacentes no bucket do Amazon S3 e registrá-los no Lake Formation. As tabelas abaixo descrevem como as permissões funcionam para usuários (diretores) AWS Glue e usuários do Lake Formation com base na localização dos dados da tabela ou do banco de dados no Amazon S3.

Localização do Amazon S3 registrada no Lake Formation
Localização de um banco de dados no Amazon S3	AWS Glue usuários	Usuários do Lake Formation
Registrados no Lake Formation (no modo de acesso híbrido ou no modo do Lake Formation)	Tenha read/write acesso à localização de dados do Amazon S3 herdando permissões do grupo IAMAllowed Principals (superacesso).	Herde as permissões para criar tabelas usando a permissão CREATE TABLE concedida.
Nenhuma localização do Amazon S3 associada	Permissão DATA LOCATION explícita necessária para executar as instruções CREATE TABLE e INSERT TABLE.	Permissão DATA LOCATION explícita necessária para executar as instruções CREATE TABLE e INSERT TABLE.

IsRegisteredWithLakeFormationpropriedade da tabela

A propriedade IsRegisteredWithLakeFormation de uma tabela indica se a localização dos dados da tabela está registrada no Lake Formation para o solicitante. Se o modo de permissão da localização estiver registrado como Lake Formation, a propriedade IsRegisteredWithLakeFormation será true para todos os usuários que acessam a localização dos dados, pois considera-se que todos os usuários optaram por essa tabela. Se a localização estiver registrada no modo de acesso híbrido, o valor será definido como true somente para usuários que optaram por essa tabela.

Como a `IsRegisteredWithLakeFormation` funciona
Modo de permissão	Usuários/perfis	`IsRegisteredWithLakeFormation`	Description
Lake Formation	Todos	Verdadeiro	Quando uma localização for registrada no Lake Formation, a propriedade `IsRegisteredWithLakeFormation` será definida como verdadeira para todos os usuários. Isso significa que as permissões definidas no Lake Formation se aplicam à localização registrada. O fornecimento de credenciais será feito pelo Lake Formation.
Modo de acesso híbrido	Optou por usar	Verdadeiro	Com relação aos usuários que optaram por usar o Lake Formation para acesso aos dados e governança de uma tabela, a propriedade `IsRegisteredWithLakeFormation` será definida como `true` para essa tabela. Eles estão sujeitos às políticas de permissão definidas no Lake Formation referentes à localização registrada.
Modo de acesso híbrido	Optou por não usar	Falso	Quanto aos usuários que optaram por não usar as permissões do Lake Formation, a propriedade `IsRegisteredWithLakeFormation` é definida como `false`. Eles não estão sujeitos às políticas de permissão definidas no Lake Formation referentes à localização registrada. Em vez disso, os usuários seguirão as políticas de permissões do Amazon S3.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurando o modo de acesso híbrido - cenários comuns

Convertendo um AWS Glue recurso em um recurso híbrido