Configuração AWS Lake Formation com o IAM Identity Center - Centro de Identidade do AWS IAM
Pré-requisitosEtapas para configurar a propagação de identidade confiávelPropagação de identidade confiável com Lake Formation em todo o lado Contas da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração AWS Lake Formation com o IAM Identity Center

AWS Lake Formation é um serviço gerenciado que simplifica a criação e o gerenciamento de data lakes na AWS. Ele automatiza a coleta, catalogação e segurança de dados, fornecendo um repositório centralizado para armazenar e analisar diversos tipos de dados. O Lake Formation oferece controles de acesso refinados e se integra a vários serviços de AWS análise, permitindo que as organizações configurem, protejam e obtenham insights de seus data lakes com eficiência.

Siga estas etapas para permitir que o Lake Formation conceda permissões de dados com base na identidade do usuário usando o IAM Identity Center e a propagação de identidade confiável.

Pré-requisitos

Antes de começar este tutorial, você precisará configurar o seguinte:

Etapas para configurar a propagação de identidade confiável

  1. Integre o IAM Identity Center ao AWS Lake Formation seguindo as orientações em Como conectar o Lake Formation ao IAM Identity Center.

    Importante

    Se você não tiver tabelas AWS Glue Data Catalog , deverá criá-las para usar o AWS Lake Formation para conceder acesso aos usuários e grupos do IAM Identity Center. Consulte Como criar objetos no AWS Glue Data Catalog para obter mais informações.

  2. Registre os locais de data lake.

    Registre os locais do S3 em que os dados das tabelas Glue são armazenados. Ao fazer isso, o Lake Formation provisionará acesso temporário aos locais necessários do S3 quando as tabelas forem consultadas, eliminando a necessidade de incluir permissões do S3 na função de serviço (por exemplo, a função de serviço Athena configurada no). WorkGroup

    1. Navegue até os locais do Data Lake na seção Administração no painel de navegação do AWS Lake Formation console. Selecione Registrar local.

      Isso permitirá que o Lake Formation provisione credenciais temporárias do IAM com as permissões necessárias para acessar os locais de dados do S3.

      Etapa 1: registrar o local do data lake no console do Lake Formation.

    2. Insira o caminho S3 dos locais de dados das tabelas AWS Glue no campo Caminho do Amazon S3.

    3. Na seção Perfil do IAM, não selecione o perfil vinculado ao serviço se quiser usá-lo com a propagação de identidade confiável. Crie um perfil separado com as seguintes permissões.

      Para usar essas políticas, substitua a política italicized placeholder text no exemplo por suas próprias informações. Para obter instruções adicionais, consulte Criar uma política ou Editar uma política. A política de permissão deve conceder acesso ao local do S3 especificado no caminho:

      1. Política de permissão:

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::Your-S3-Bucket/*"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::Your-S3-Bucket"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessServiceRolePolicy",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ]
        }
    ]
}

      2. Relação de confiança: deve incluir sts:SectContext, exigido para a propagação de identidade confiável.

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "lakeformation.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}
        nota

        O perfil do IAM criado pelo assistente é um perfil vinculado ao serviço e não inclui sts:SetContext.

    4. Depois de criar o perfil do IAM, selecione Registrar local.

Propagação de identidade confiável com Lake Formation em todo o lado Contas da AWS

AWS Lake Formation suporta o uso AWS Resource Access Manager (RAM) para compartilhar tabelas Contas da AWS e funciona com propagação de identidade confiável quando a conta do concedente e a conta do beneficiário estão na mesma Região da AWS, na mesma e compartilham a mesma AWS Organizations instância organizacional do IAM Identity Center. Consulte Compartilhamento de dados entre contas no Lake Formation para obter mais informações.