Autorizando conexões por meio de AWS Lake Formation - Amazon Quick Suite
Habilitar a conexão no Lake FormationAtivando a conexão do Amazon Quick Suite

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autorizando conexões por meio de AWS Lake Formation

 Aplica-se a: Enterprise Edition 
   Público-alvo: administradores de sistemas 

Se você estiver consultando dados com Amazon Athena, você pode usar AWS Lake Formation para simplificar a forma como você protege e se conecta aos seus dados a partir do Amazon Quick Sight. O Lake Formation adiciona ao modelo de permissões AWS Identity and Access Management (IAM) fornecendo seu próprio modelo de permissões que é aplicado aos serviços de AWS análise e aprendizado de máquina. Esse modelo de permissões definido centralmente controla o acesso aos dados em um nível granular por meio de um mecanismo simples de concessão e revogação. Você pode usar o Lake Formation em vez de, ou de modo complementar a, políticas de escopo reduzido com o IAM.

Ao configurar o Lake Formation, você registra suas fontes de dados para permitir que ele mova os dados para um novo data lake no Amazon S3. Tanto o Lake Formation quanto o Athena funcionam perfeitamente com o AWS Glue Data Catalog, facilitando o uso dos serviços em conjunto. Os bancos de dados e as tabelas do Athena são contêineres de metadados. Esses contêineres descrevem o esquema subjacente dos dados, as instruções da linguagem de definição de dados (DDL) e a localização dos dados no Amazon S3.

O diagrama a seguir mostra os relacionamentos dos AWS serviços envolvidos.

Depois que o Lake Formation estiver configurado, você poderá usar o Amazon Quick Suite para acessar bancos de dados e tabelas por nome ou por meio de consultas SQL. O Amazon Quick Suite fornece um editor completo onde você pode escrever consultas SQL. Ou você pode usar o console do Athena AWS CLI, o ou seu editor de consultas favorito. Para obter mais informações, consulte Acessar o Athena no Guia do usuário do Amazon Athena.

Use os tópicos abaixo para configurar uma conexão do Lake Formation por meio do Lake Formation ou do Amazon Quick Suite.

Habilitar a conexão no Lake Formation

Antes de começar a usar essa solução com o Quick Suite, verifique se você pode acessar seus dados usando o Athena com o Lake Formation. Depois de verificar se a conexão está funcionando por meio do Athena, você precisa verificar somente se o Amazon Quick Suite pode se conectar ao Athena. Isso significa que você não precisa solucionar problemas de conexão nos três produtos ao mesmo tempo. Uma maneira fácil de testar a conexão é usar o console de consulta do Athena para executar um comando SQL simples, por exemplo, SELECT 1 FROM table.

Para configurar o Lake Formation, a pessoa ou a equipe que trabalha nele precisa ter acesso para criar um novo perfil do IAM e para o Lake Formation. Elas também precisam das informações exibidas na lista a seguir. Para obter mais informações, consulte Setting up lake formation no Guia do desenvolvedor do AWS Lake Formation .

  • Colete os nomes de recursos da Amazon (ARNs) dos usuários e grupos do Quick Suite que precisam acessar os dados no Lake Formation. Esses usuários devem ser autores ou administradores do Amazon Quick Suite.

    Para encontrar usuários e grupos do Amazon Quick Suite ARNs

    1. Use o AWS CLI para encontrar usuários ARNs para autores e administradores do Amazon Quick Suite. Para isso, execute o comando list-users a seguir no seu terminal (Linux ou Mac) ou no prompt de comando (Windows).

      aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

      A resposta retorna informações para cada usuário. Mostramos o nome do recurso da Amazon (ARN) em negrito no exemplo a seguir. 

      RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
Status: 200
UserList:
- Active: true
  Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
  Email: SaanviSarkar@example.com
  PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
  Role: ADMIN
  UserName: SaanviSarkar

      Para evitar o uso do AWS CLI, você pode construir o ARNs para cada usuário manualmente.

    2. (Opcional) Use o AWS CLI ARNs para encontrar grupos do Amazon Quick Suite executando o seguinte list-group comando em seu terminal (Linux ou Mac) ou em seu prompt de comando (Windows).

      aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

      A resposta retorna informações para cada grupo. O ARN aparece em negrito no exemplo a seguir. 

      GroupList:
- Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
  Description: Data Lake for CXO Balanced Scorecard
  GroupName: DataLake-Scorecard
  PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
RequestId: c1000198-18fa-4277-a1e2-02163288caf6
Status: 200

      Se você não tiver nenhum grupo do Amazon Quick Suite, adicione um grupo usando o AWS CLI para executar o create-group comando. Atualmente, não há uma opção para fazer isso no console do Amazon Quick Suite. Para obter mais informações, consulte Criação e gerenciamento de grupos no Amazon Quick Suite.

      Para evitar o uso do AWS CLI, você pode construir o ARNs para cada grupo manualmente.

Ativando a conexão do Amazon Quick Suite

Para trabalhar com Lake Formation e Athena, verifique se você tem permissões de AWS recursos configuradas no Amazon Quick Suite:

  • Habilitar o acesso ao Amazon Athena.

  • Habilitar o acesso aos buckets corretos no Amazon S3. Normalmente, o acesso ao S3 é habilitado ao ativar o Athena. No entanto, como você pode alterar as permissões do S3 fora desse processo, convém verificá-las separadamente.

Para obter informações sobre como verificar ou alterar as permissões de AWS recursos no Quick Suite, consulte Permitindo a descoberta automática de AWS recursos e Acessando fontes de dados.