本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将配置表与协作关联
创建已配置的表并向其添加分析规则后,可以将其与协作关联并授予 AWS Clean Rooms 服务角色来访问您的 AWS Glue 表。
注意
此服务角色拥有对表的权限。服务角色只能由 AWS Clean Rooms 承担,代表可以查询的成员运行允许的查询。任何协作成员(数据所有者除外)都无法访问协作中的底层表。数据所有者可以开启差别隐私,以使其表可供其他成员查询。
数据访问预算
关联已配置的表时,可以应用数据访问预算。数据访问预算控制协作中表可用于查询、作业和机器学习输入渠道的次数。这些预算通过限制表格使用来帮助组织管理资源利用率和控制成本。
每次在查询、作业或 ML 输入渠道中使用表时,该表的预算都会减少一个。当预算达到零时,该表不能用于 SQL 查询、Pyspark 作业,也不能用作从该表派生的 ML 输入通道的一部分。
您可以制定定期刷新的每期预算、总使用量的生命周期预算,或两者兼而有之。默认情况下,表格使用量不受限制。
-
每期预算 — 一种可续期的分配,它限制了该表在指定时间段内的使用次数。您可以将时段设置为每天、每周或每月。可以将此预算设置为每天、每周或每月自动刷新。
-
生命周期预算 — 一种连续分配,用于限制使用此表的总次数。
关联已配置的表
以下主题介绍如何使用 AWS Clean Rooms 控制台关联已配置的表以及如何将数据访问预算应用于协作。
有关如何使用将配置的表格与协作关联的信息 AWS SDKs,请参阅 AWS Clean Rooms API 参考。
步骤 1:完成先决条件
要关联已配置的表,必须满足以下先决条件:
-
指向 Amazon S3 文件夹位置的 AWS Glue 表(不是单个文件)
-
对于加密 AWS Glue 表:
-
具有使用 AWS KMS 密钥解 AWS Glue 密表的权限的服务角色
-
对于 AWS KMS加密的 Amazon S3 数据集:服务角色还必须有权使用密 AWS KMS 钥解密 Amazon S3 数据
-
有关配置加密的信息,请参阅《AWS Glue 开发人员指南》 AWS Glue中的设置加密。
要验证您的 AWS Glue 餐桌位置,请执行以下操作:
-
在以下位置打开 AWS Glue 控制台 https://console.aws.amazon.com/glue/
-
查看您的表格详细信息并确认位置指向 S3 文件夹
步骤 2:关联已配置的表
关联已配置的表
-
登录 AWS Management Console 并在 https://console.aws.amazon.com/clean
room AWS Clean Rooms s 上打开控制台。 -
选择关联表的方法:
-
在已配置的表格详细信息页面上:
-
在左侧导航窗格中,选择 表。
-
选择配置表。
-
在配置表详细信息页面上,选择与协作关联。
-
在将表与协作关联对话框中,从下拉列表中选择协作。
-
-
在协作详情页面上:
-
在左侧导航窗格中,选择协作。
-
选择协作。
-
在表选项卡上,选择关联表。
-
-
-
在 “关联” 表格页面上,执行以下任一操作:
-
选择现有的已配置表-从下拉列表中选择要与协作关联的已配置表名。
-
配置新表-选择 “配置新表”,然后按照 “配置新表” 页面上的提示进行操作。
-
查看已配置表的架构和分析规则-打开 “查看架构和分析规则”。
-
-
对于表关联详细信息,
-
输入关联表的名称。
您可以使用默认名称或重命名此表。
-
(可选)输入表的描述。
该描述有助于编写查询。
-
-
通过选择创建并使用新的服务角色或使用现有服务角色来指定服务访问权限。
注意
如果您要关联由 Amazon Athena 支持的已配置表,请从下拉列表中选择现有服务角色名称。确保服务角色具有数据集的 IAM 权限,如果需要,还有 Lake Formation 权限。
如果选择... 操作... 创建并使用新的服务角色 -
AWS Clean Rooms 使用此表所需的策略创建服务角色。
-
默认服务角色名称为
cleanrooms-<timestamp>。 -
您必须拥有创建角色并附加策略的权限。
-
如果您的输入数据已加密,则可以选择此数据使用 KMS 密钥加密,然后输入将用于解密数据输入的 AWS KMS key 。
使用现有服务角色 -
从下拉列表中选择一个现有服务角色名称。
如果您有列出角色的权限,则会显示角色列表。
如果您没有列出角色的权限,可以输入要使用的角色的 Amazon 资源名称 (ARN)。
-
通过选择在 IAM 中查看外部链接来查看服务角色。
如果没有现有的服务角色,则使用现有服务角色选项不可用。
默认情况下, AWS Clean Rooms 不会尝试更新现有角色策略以添加必要的权限。
-
(可选)选中为该角色添加具有必要权限的预配置策略复选框以向该角色添加必要的附加权限。您必须拥有修改角色并创建策略的权限。
注意
-
AWS Clean Rooms 需要权限才能根据分析规则进行查询。有关权限的更多信息 AWS Clean Rooms,请参阅AWS 的托管策略 AWS Clean Rooms。
-
如果该角色没有足够的权限 AWS Clean Rooms,则会收到一条错误消息,指出该角色没有足够的权限 AWS Clean Rooms。必须先添加角色策略,然后才能继续。
-
如果您无法修改角色策略,则会收到一条错误消息,指出 AWS Clean Rooms 找不到该服务角色的策略。
-
-
如果要为已配置的表关联资源启用已配置的表关联标签,请选择添加新标签,然后输入密钥和值对。
-
选择下一步。
-
在配置协作分析规则页面上,选择以下选项之一:
-
是的,立即创建协作分析规则 — 将您的表格与此协作关联并创建协作分析规则
-
不,我稍后将创建协作分析规则 — 仅将您的表格与该协作关联起来。您可以稍后创建协作分析规则。
-
-
如果您选择 “是”,请立即创建协作分析规则,对于结果交付,请从下拉列表中选择 “允许成员接收查询输出结果”。
-
选择下一步。
-
在添加数据访问预算页面上,为数据访问预算配置选择以下选项之一:
-
是的,立即添加数据访问预算 — 将您的表格与此协作关联并添加数据访问预算。您可以选择期间预算、生命周期预算,或两者兼而有之。
-
不,我稍后会添加数据访问预算 — 仅将您的表格与本次协作关联起来。您可以稍后添加数据访问预算。
如果您选择 “否”,我稍后将添加数据访问预算,请跳至步骤 15。
-
-
如果您选择 “是,立即添加数据访问预算”,请选择以下预算配置之一:
仅限每期预算 仅限终身预算 每个周期和生命周期的预算 -
将按期间添加预算保留为选中状态。
-
输入介于 1 到 1,000,000 之间的每期预算金额。
-
在 “周期” 中,选择 “每日”、“每周” 或 “每月”。
-
(可选)选中 “每周自动刷新预算” 以续订分配。
-
清除 “添加生命周期预算”。
-
清除 “添加按期间预算”。
-
选择 “添加生命周期预算”。
-
输入介于 1 到 1,000,000 之间的终身预算金额。
-
将按期间添加预算保留为选中状态。
-
输入介于 1 到 1,000,000 之间的每期预算金额。
-
在 “周期” 中,选择 “每日”、“每周” 或 “每月”。
-
将 “每周自动刷新预算” 保留为选中状态。
-
选择 “添加生命周期预算”。
-
输入介于 1 到 1,000,000 之间的终身预算金额。
-
-
在 “数据访问预算摘要” 下查看您的选择。
例 示例
例如,如果您选择了每周期预算金额为 1,000,将周期设置为每周,将 “每周自动刷新预算” 复选框保持选中状态,并将生命周期预算设置为 1,000,000,则访问预算摘要将显示以下消息:每周,此表最多可使用 1,000 次来运行查询或作业。该预算设置为每周日 00:00 UTC 自动刷新,并将继续刷新,直到该表达到其使用寿命预算,即 1,000,000 次使用。
-
(可选)如果要为访问预算资源启用数据访问预算标签,请选择添加新标签并输入密钥和值对。
-
选择下一步。
-
在 “查看并创建” 页面上查看信息。
-
如果您需要编辑任何部分,请选择编辑。
-
编辑您的配置,然后选择 “下一步”。
-
-
选择关联表。
步骤 3:后续步骤
现在,您已将配置数据表与协作关联,您已准备好:
