Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen von Null-ETL-Integrationen von Amazon RDS mit einem Amazon SageMaker-Lakehouse
Wenn Sie eine Amazon RDS Zero-ETL-Integration mit einem Amazon SageMaker Lakehouse erstellen, geben Sie den der Quell-RDS-Datenbank und den verwalteten AWS Glue Zielkatalog an. Sie können auch die Verschlüsselungseinstellungen anpassen und Tags hinzufügen. Amazon RDS erstellt eine Integration zwischen der Quell-Datenbank und dem jeweiligen Ziel. Sobald die Integration aktiv ist, werden alle Daten, die Sie in die Quell-DB-Instance einfügen, in das konfigurierte Ziel repliziert.
## Voraussetzungen
Bevor Sie eine Zero-ETL-Integration mit einem Amazon SageMaker Lakehouse erstellen, müssen Sie einen erstellen. AWS Glue Außerdem müssen Sie die Replikation in den Katalog zulassen, indem Sie die Datenbank als autorisierte Integrationsquelle hinzufügen.
Anleitungen zum Ausführen der einzelnen Schritte finden Sie unter [Erste Schritte mit Null-ETL-Integrationen von Amazon RDS](zero-etl.setting-up.md).
## Erforderliche Berechtigungen
Bestimmte IAM-Berechtigungen sind erforderlich, um eine Null-ETL-Integration mit einem Amazon SageMaker-Lakehouse zu erstellen. Sie benötigen mindestens die Berechtigungen, um die folgenden Aktionen durchführen zu können:
+ Erstellen Sie Null-ETL-Integrationen für die Quell-RDS-Datenbank.
+ Anzeigen und Löschen aller Null-ETL-Integrationen.
+ Erstellen Sie eingehende Integrationen in den verwalteten Zielkatalog. AWS Glue
+ Greifen Sie auf Amazon S3 S3-Buckets zu, die vom AWS Glue verwalteten Katalog verwendet werden.
+ Verwenden Sie AWS KMS Schlüssel für die Verschlüsselung, wenn eine benutzerdefinierte Verschlüsselung konfiguriert ist.
+ Registrieren Sie Ressourcen bei Lake Formation.
+ Fügen Sie dem AWS Glue verwalteten Katalog eine Ressourcenrichtlinie hinzu, um eingehende Integrationen zu autorisieren.
Die folgende Beispielrichtlinie zeigt die [geringsten Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege), die zum Erstellen und Verwalten von Integrationen in ein Amazon SageMaker-Lakehouse erforderlich sind. Möglicherweise benötigen Sie nicht genau diese Berechtigungen, wenn Ihr Benutzer oder Ihre Rolle über umfassendere Berechtigungen verfügt, z. B. über eine von `AdministratorAccess` verwaltete Richtlinie.
Darüber hinaus müssen Sie eine Ressourcenrichtlinie für den AWS Glue verwalteten Zielkatalog konfigurieren, um eingehende Integrationen zu autorisieren. Verwenden Sie den folgenden AWS CLI Befehl, um die Ressourcenrichtlinie anzuwenden.
### AWS CLI Beispielbefehl zur Autorisierung eingehender Integrationen im Zielkatalog
```
aws glue put-resource-policy \
--policy-in-json '{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": [
"glue:AuthorizeInboundIntegration"
],
"Resource": ["arn:aws:glue:region:account_id:catalog/catalog_name"],
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:rds:region:account_id:db:source_name"
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "account_id"
},
"Action": ["glue:CreateInboundIntegration"],
"Resource": ["arn:aws:glue:region:account_id:catalog/catalog_name"]
}
]
}' \
--region region
```
**Anmerkung**
Amazon Resource Names (ARNs) für den Glue-Katalog haben das folgende Format:
Glue-Katalog – `arn:aws:glue:{region}:{account-id}:catalog/catalog-name`
### Auswahl eines AWS Glue verwalteten Zielkatalogs in einem anderen Konto
Wenn Sie einen AWS Glue verwalteten Zielkatalog angeben möchten, der sich in einem anderen AWS-Konto befindet, müssen Sie eine Rolle erstellen, die es Benutzern im aktuellen Konto ermöglicht, auf Ressourcen im Zielkonto zuzugreifen. Weitere Informationen finden Sie unter Gewähren [des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , dem Sie gehören.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)
Die Rolle muss über die folgenden Berechtigungen verfügen, die es dem Benutzer ermöglichen, die verfügbaren AWS Glue Kataloge im Zielkonto einzusehen.
#### Erforderliche Berechtigungen und Vertrauensrichtlinie
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"glue:GetCatalog"
],
"Resource":[
"*"
]
}
]
}
```
------
Die Rolle muss über die folgende Vertrauensrichtlinie verfügen, die die Zielkonto-ID angibt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"AWS": "arn:aws:iam::111122223333:root"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Anleitungen zum Erstellen der Rolle finden Sie unter [Erstellen einer Rolle mit benutzerdefinierten Vertrauensrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
## Erstellen von Null-ETL-Integrationen mit einem Amazon SageMaker-Lakehouse
Sie können eine Zero-ETL-Integration mit einem Amazon SageMaker Lakehouse mithilfe der AWS-Managementkonsole, der oder der AWS CLI RDS-API erstellen.
**Wichtig**
Null-ETL-Integrationen mit einem Amazon SageMaker Lakehouse unterstützen keine Aktualisierungs- oder Resynchronisierungsvorgänge. Wenn Sie nach der Erstellung auf Probleme mit einer Integration stoßen, müssen Sie die Integration löschen und eine neue erstellen.
Standardmäßig löscht RDS für MySQL binäre Protokolldateien sofort. Da Null-ETL-Integrationen auf Binärprotokolle angewiesen sind, um Daten von der Quelle zum Ziel zu replizieren, muss der Aufbewahrungszeitraum für die Quelldatenbank mindestens eine Stunde betragen. Sobald Sie eine Integration erstellen, überprüft Amazon RDS den Aufbewahrungszeitraum für die binäre Protokolldatei für die ausgewählte Quelldatenbank. Wenn der aktuelle Wert 0 Stunden beträgt, ändert Amazon RDS ihn automatisch in 1 Stunde. Andernfalls bleibt der Wert gleich.
### RDS-Konsole
**So erstellen Sie eine Null-ETL-Integration mit einem Amazon SageMaker Lakehouse**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Wählen Sie im linken Navigationsbereich **Null-ETL-Integrationen** aus.
1. Wählen Sie **Null-ETL-Integration erstellen** aus.
1. Geben Sie für **Integrationskennung** einen Namen für die Integration ein. Der Name kann bis zu 63 alphanumerische Zeichen umfassen und Bindestriche enthalten.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie als **Quelle** des Ursprungs der Daten die RDS-Datenbank aus.
**Anmerkung**
RDS benachrichtigt Sie, wenn die DB--Parameter nicht korrekt konfiguriert sind. Wenn Sie diese Nachricht erhalten, können Sie entweder **Reparieren** wählen oder eine manuelle Konfiguration vornehmen. Anleitungen zur manuellen Behebung finden Sie unter [Schritt 1: Erstellen einer benutzerdefinierten DB--Parametergruppe](zero-etl.setting-up.md#zero-etl.parameters).
Das Ändern der DB--Parameter erfordert einen Neustart. Bevor Sie die Integration erstellen können, müssen der Neustart abgeschlossen und die neuen Parameterwerte erfolgreich auf die Datenbank angewendet werden.
1. Sobald die Quelldatenbank erfolgreich konfiguriert wurde, wählen Sie **Weiter** aus.
1. Gehen Sie bei **Ziel** wie folgt vor:
1. (Optional) Um ein anderes AWS-Konto für das Amazon SageMaker Lakehouse-Ziel zu verwenden, wählen Sie Anderes **Konto angeben** aus. Geben Sie dann den ARN einer IAM-Rolle mit Berechtigungen zum Anzeigen Ihrer AWS Glue Kataloge ein. Anleitungen zum Erstellen der IAM-Rolle finden Sie unter [Auswahl eines AWS Glue verwalteten Zielkatalogs in einem anderen Konto](#zero-etl.create-permissions-cross-account-smlh).
1. Wählen Sie für **AWS Glue -Katalog** das Ziel für replizierte Daten aus der Quell-Datenbank aus. Sie haben die Möglichkeit einen vorhandenen verwalteten AWS Glue -Katalog als Ziel zu verwenden.
1. Die Ziel-IAM-Rolle muss über Beschreibungsberechtigungen für den Zielkatalog sowie über die folgenden Berechtigungen verfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "glue:GetCatalog",
"Resource": [
"arn:aws:glue:us-east-1:111122223333:catalog/*",
"arn:aws:glue:us-east-1:111122223333:catalog"
]
}
]
}
```
------
Die Ziel-IAM-Rolle muss über die folgende Vertrauensstellung aufweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Sie müssen der Ziel-IAM-Rolle Beschreibungsberechtigungen für den AWS Glue verwalteten Zielkatalog mit der Lake Formation-Administratorrolle gewähren, die in [Schritt 3b: Erstellen Sie einen AWS Glue Katalog für die Amazon SageMaker Lakehouse Zero-ETL-Integration](zero-etl.setting-up.md#zero-etl-setting-up.sagemaker) erstellt wurde.
**Anmerkung**
RDS benachrichtigt Sie, wenn die Ressourcenrichtlinien oder die Konfigurationseinstellungen für den angegebenen AWS Glue verwalteten Katalog nicht korrekt konfiguriert sind. Wenn Sie diese Nachricht erhalten, können Sie entweder **Reparieren** wählen oder eine manuelle Konfiguration vornehmen.
Wenn sich Ihre gewählte Quelle und Ihr Ziel in verschiedenen AWS-Konten befinden, kann Amazon RDS diese Einstellungen nicht für Sie korrigieren. Sie müssen zu dem anderen Konto navigieren und sie manuell in SageMaker Unified Studio korrigieren.
1. Sobald Ihr AWS Glue verwalteter Zielkatalog korrekt konfiguriert ist, wählen Sie **Weiter**.
1. (Optional) Fügen Sie unter **Tags** ein oder mehrere Tags zu der Integration hinzu. Weitere Informationen finden Sie unter [Taggen von Amazon RDS-Ressourcen](USER_Tagging.md).
1. Geben Sie für **Verschlüsselung** an, wie Ihre Integration verschlüsselt werden soll. Standardmäßig verschlüsselt RDS alle Integrationen mit einem. AWS-eigener Schlüssel Um stattdessen einen vom Kunden verwalteten Schlüssel auszuwählen, aktivieren Sie die Option **Verschlüsselungseinstellungen anpassen** und wählen Sie einen KMS-Schlüssel aus, der für die Verschlüsselung verwendet werden soll. Weitere Informationen finden Sie unter [Verschlüsseln von Amazon RDS-Ressourcen](Overview.Encryption.md).
Fügen Sie optional einen Verschlüsselungskontext hinzu. Weitere Informationen finden Sie unter [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) im *AWS Key Management Service -Entwicklerhandbuch*.
**Anmerkung**
Amazon RDS fügt zusätzlich zu den von Ihnen hinzugefügten Paaren die folgenden Verschlüsselungskontextpaare hinzu:
`aws:glue:integration:arn` - `IntegrationArn`
`aws:servicename:id` - `glue`
Dadurch wird die Gesamtzahl der Paare, die Sie hinzufügen können, von 8 auf 6 reduziert, was zur Gesamtzeichenbegrenzung der Erteilungsbeschränkung beiträgt. Weitere Informationen finden Sie unter [Verwenden von Erteilungsbeschränkungen](https://docs.aws.amazon.com/kms/latest/developerguide/create-grant-overview.html#grant-constraints) im *Entwicklerhandbuch für AWS Key Management Service *.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie Ihre Integrationseinstellungen und wählen Sie **Null-ETL-Integration erstellen** aus.
Wenn die Erstellung fehlschlägt, finden Sie Informationen zur Fehlerbehebung unter [Fehlerbehebung bei Null-ETL-Integrationen von Amazon RDS](zero-etl.troubleshooting.md).
Der Status der Integration lautet während der Erstellung `Creating`. Das Ziel-Lakehouse von Amazon SageMaker hat den Status `Modifying`. Während dieser Zeit können Sie den Katalog weder abfragen noch Konfigurationsänderungen daran vornehmen.
Wenn die Integration erfolgreich erstellt wurde, ändern sich sowohl der Status der Integration als auch der Status des Ziel-Lakehouse von Amazon SageMaker in `Active`.
### AWS CLI
Um einen AWS Glue verwalteten Zielkatalog für die Zero-ETL-Integration mit dem vorzubereiten AWS CLI, müssen Sie zunächst den [create-integration-resource-property](https://docs.aws.amazon.com/cli/latest/reference/rds/create-integration.html)Befehl mit den folgenden Optionen verwenden:
+ `--resource-arn`— Geben Sie den ARN des AWS Glue verwalteten Katalogs an, der das Ziel für die Integration sein soll.
+ `--target-processing-properties`— Geben Sie den ARN der IAM-Rolle an, um auf den AWS Glue verwalteten Zielkatalog zuzugreifen
```
aws glue create-integration-resource-property --region us-east-1
--resource-arn arn:aws:glue:region:account_id:catalog/catalog_name \
--target-processing-properties '{"RoleArn" : "arn:aws:iam::account_id:role/TargetIamRole"}'
```
Um mithilfe von eine Zero-ETL-Integration mit einem Amazon SageMaker Lakehouse zu erstellen AWS CLI, verwenden Sie den Befehl [create-integration](https://docs.aws.amazon.com/cli/latest/reference/rds/create-integration.html) mit den folgenden Optionen:
+ `--integration-name` – Geben Sie einen Namen für die Integration an.
+ `--source-arn` – Geben Sie als Quelle für die Integration den ARN der RDS-Datenbank an.
+ `--target-arn`— Geben Sie den ARN des AWS Glue verwalteten Katalogs an, der das Ziel für die Integration sein soll.
**Example**
Für Linux, macOS oder Unix:
```
aws rds create-integration \
--integration-name my-sagemaker-integration \
--source-arn arn:aws:rds:{region}:{account-id}:cluster:my-db \
--target-arn arn:aws:glue:{region}:{account-id}:catalog/catalog-name
```
Für Windows:
```
aws rds create-integration ^
--integration-name my-sagemaker-integration ^
--source-arn arn:aws:rds:{region}:{account-id}:cluster:my-db ^
--target-arn arn:aws:glue:{region}:{account-id}:catalog/catalog-name
```
### RDS-API
Verwenden Sie den [https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateIntegration.html](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateIntegration.html)-Vorgang mit den folgenden Parametern, um eine Null-ETL-Integration mit Amazon SageMaker über die Amazon-RDS-API zu erstellen:
**Anmerkung**
Katalognamen sind auf 19 Zeichen beschränkt. Stellen Sie sicher, dass Ihr IntegrationName Parameter diese Anforderung erfüllt, wenn er als Katalogname verwendet werden soll.
+ `IntegrationName` – Geben Sie einen Namen für die Integration an.
+ `SourceArn` – Geben Sie als Quelle für die Integration den ARN der RDS-Datenbank an.
+ `TargetArn`— Geben Sie den ARN des AWS Glue verwalteten Katalogs an, der das Ziel für die Integration sein soll.
## Verschlüsseln von Integrationen mit einem vom Kunden verwalteten Schlüssel
Wenn Sie AWS-eigener Schlüssel beim Erstellen einer Integration mit einen benutzerdefinierten KMS-Schlüssel und nicht einen angebenAmazon SageMaker, muss die Schlüsselrichtlinie dem SageMaker Unified Studio Dienstprinzipal Zugriff auf die `CreateGrant` Aktion gewähren. Darüber hinaus muss es dem aktuellen Benutzer die Ausführung der Aktionen `DescribeKey` und `CreateGrant` ermöglicht werden.
Die folgende Beispielrichtlinie demonstriert, wie die erforderlichen Berechtigungen in der Schlüsselrichtlinie bereitgestellt werden. Sie enthält Kontextschlüssel, um den Umfang der Berechtigungen weiter zu reduzieren.
### Beispiel für eine Schlüsselrichtlinie
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Key policy",
"Statement": [
{
"Sid": "EnablesIAMUserPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "GlueServicePrincipalAddGrant",
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:{context-key}":"{context-value}"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"GenerateDataKey",
"CreateGrant"
]
}
}
},
{
"Sid": "AllowsCurrentUserRoleAddGrantKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{role-name}"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:{context-key}":"{context-value}",
"kms:ViaService": "rds.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"GenerateDataKey",
"CreateGrant"
]
}
}
},
{
"Sid": "AllowsCurrentUserRoleRetrieveKMSKeyInformation",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/{role-name}"
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
}
```
------
Weitere Informationen finden Sie unter [Erstellen einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
## Nächste Schritte
Nachdem Sie erfolgreich eine Null-ETL-Integration mit Amazon SageMaker erstellt haben, können Sie damit beginnen, der Quell-RDS-Datenbank Daten hinzuzufügen und in Ihrem Amazon SageMaker-Lakehouse abzufragen. Die Daten werden automatisch repliziert und für Analysen und Machine Learning zur Verfügung gestellt.