本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon DataZone 與 AWS Lake Formation 混合模式整合
Amazon DataZone 已與 AWS Lake Formation 混合模式整合。此整合可讓您透過 Amazon DataZone AWS 輕鬆發佈和共用 Glue 資料表,而無需先在 AWS Lake Formation 中註冊它們。混合模式可讓您透過 AWS Lake Formation 開始管理 AWS Glue 資料表的許可,同時繼續維護這些資料表上任何現有的 IAM 許可。
若要開始使用,您可以在 Amazon DataZone 管理主控台中的 **DefaultDataLake** 藍圖下啟用**資料位置註冊**設定。
**啟用與 AWS Lake Formation 混合模式的整合**
1. 導覽至位於 https://[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的 Amazon DataZone 主控台,並使用您的帳戶登入資料登入。
1. 選擇**檢視網域**,然後選擇您要啟用與 AWS Lake Formation 混合模式整合的網域。
1. 在網域詳細資訊頁面上,導覽至**藍圖**索引標籤。
1. 從**藍圖**清單中,選擇 **DefaultDataLake** 藍圖。
1. 確定已啟用 DefaultDataLake 藍圖。如果未啟用,請依照 中的步驟[在擁有 Amazon DataZone 網域 AWS 的帳戶中啟用內建藍圖](working-with-blueprints.md#enable-default-blueprint)在帳戶中 AWS 啟用它。
1. 在 DefaultDataLake 詳細資訊頁面上,開啟**佈建**索引標籤,然後選擇頁面右上角的**編輯**按鈕。
1. 在**資料位置註冊**下,勾選方塊以啟用資料位置註冊。
1. 對於資料位置管理角色,您可以建立新的 IAM 角色或選取現有的 IAM 角色。Amazon DataZone 使用此角色來管理對所選 Amazon S3 儲存貯體 (使用 AWS Lake Formation 混合存取模式) 的讀取/寫入存取。如需詳細資訊,請參閱[AmazonDataZoneS3Manage--](AmazonDataZoneS3Manage.md)。
1. 或者,如果您不希望 Amazon DataZone 在混合模式下自動註冊特定 Amazon S3 位置,您可以選擇排除這些位置。 DataZone 為此,請完成下列步驟:
+ 選擇切換按鈕以排除指定的 Amazon S3 位置。
+ 提供您要排除的 Amazon S3 儲存貯體的 URI。
+ 若要新增其他儲存貯體,請選擇**新增 S3 位置。**
**注意**
Amazon DataZone 僅允許排除根 S3 位置。根 S3 位置路徑中的任何 S3 位置將自動從註冊中排除。
+ 選擇**儲存變更**。
在您帳戶中 AWS 啟用資料位置註冊設定後,當資料取用者訂閱透過 IAM 許可管理的 AWS Glue 資料表時,Amazon DataZone 會先以混合模式註冊此資料表的 Amazon S3 位置,然後透過 AWS Lake Formation 管理資料表的許可,將存取權授予資料取用者。這可確保資料表上的 IAM 許可繼續使用新授予的 AWS Lake Formation 許可,而不會中斷任何現有的工作流程。
## 在 Amazon DataZone 中啟用 Lake Formation 混合模式整合時,如何處理加密的 Amazon S3 位置 AWS DataZone
如果您使用以客戶受管或 AWS 受管 KMS 金鑰加密的 Amazon S3 位置,**AmazonDataZoneS3Manage** 角色必須具有使用 KMS 金鑰加密和解密資料的許可,或者 KMS 金鑰政策必須將金鑰的許可授予角色。
如果您的 Amazon S3 位置使用 AWS 受管金鑰加密,請將下列內嵌政策新增至 **AmazonDataZoneDataLocationManagement** 角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
如果您的 Amazon S3 位置使用客戶受管金鑰加密,請執行下列動作:
1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台, AWS 並以 Identity and Access Management (IAM) 管理使用者或可修改用於加密位置之 KMS 金鑰的金鑰政策的使用者身分登入。
1. 在導覽窗格中,選擇**客戶受管金鑰**,然後選擇所需 KMS 金鑰的名稱。
1. 在 KMS 金鑰詳細資訊頁面上,選擇**金鑰政策**索引標籤,然後執行下列其中一項操作,將自訂角色或 Lake Formation 服務連結角色新增為 KMS 金鑰使用者:
+ 如果顯示預設檢視 (使用金鑰管理員、金鑰刪除、金鑰使用者和其他 AWS 帳戶區段) – 在**金鑰使用者**區段下,新增 **AmazonDataZoneDataLocationManagement** 角色。
+ 如果顯示金鑰政策 (JSON) – 編輯政策,將 **AmazonDataZoneDataLocationManagement** 角色新增至物件「允許使用金鑰」,如下列範例所示
```
...
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage--"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
...
```
**注意**
如果 KMS 金鑰或 Amazon S3 位置不在與資料目錄相同的 AWS 帳戶中,請遵循[跨 AWS 帳戶註冊加密的 Amazon S3 位置](https://docs.aws.amazon.com/lake-formation/latest/dg/register-cross-encrypted.html)中的指示。