为 Amazon DataZone 配置 Lake Formation 权限
在使用内置的数据湖蓝图(DefaultDataLake)创建环境时,作为该环境创建过程的一部分,会在 Amazon DataZone 中添加一个 AWS Glue 数据库。您无需其他权限即可从该 AWS Glue 数据库发布资产。
但是,如果要发布资产并订阅 Amazon DataZone 环境外部的 AWS Glue 数据库中的资产,则必须显式向 Amazon DataZone 提供对此外部 AWS Glue 数据库中表的访问权限。为此,你必须在 AWS Lake Formation 中完成以下设置,并将必要的 Lake Formation 权限附加到 AmazonDataZoneGlueAccess-<region>-<domainId>。
-
使用 Lake Formation 权限模式或混合访问模式在 AWS Lake Formation 中为您的数据湖配置 Amazon S3 位置。有关更多信息,请参阅 https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html。
-
从 Amazon DataZone 为其处理
IAMAllowedPrincipals权限的 Amazon Lake Formation 表中删除该权限。有关更多信息,请参阅 https://docs.aws.amazon.com/lake-formation/latest/dg/upgrade-glue-lake-formation-background.html。 -
将以下 AWS Lake Formation 权限附加到 AmazonDataZoneGlueAccess-<region>-<domainId>:
-
表所在的数据库的
Describe和Describe grantable权限 -
您希望 DataZone 代表您管理的上述数据库中所有表的
Describe、Select、Describe Grantable、Select Grantable权限。
-
注意
Amazon DataZone 支持 AWS Lake Formation 混合模式。Lake Formation 混合模式可让您开始通过 Lake Formation 管理 AWS Glue 数据库和表的权限,同时继续保留对这些表和数据库的任何现有 IAM 权限。有关更多信息,请参阅 Amazon DataZone 与 AWS Lake Formation 混合模式的集成 。
有关更多信息,请参阅 对 Amazon DataZone 的 AWS Lake Formation 权限进行问题排查。
