Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Eine AWS Glue Ressource in eine Hybridressource konvertieren
Gehen Sie wie folgt vor, um einen Amazon S3 S3-Standort im Hybridzugriffsmodus zu registrieren und neue Lake Formation-Benutzer einzubinden, ohne den Datenzugriff der bestehenden Data Catalog-Benutzer zu unterbrechen.
Beschreibung des Szenarios — Der Datenstandort ist nicht bei Lake Formation registriert, und der Zugriff der Benutzer auf die Data Catalog-Datenbank und die Tabellen wird durch IAM Berechtigungsrichtlinien für Amazon S3 und AWS Glue Aktionen bestimmt.
Die IAMAllowedPrincipals
Gruppe hat standardmäßig Super
Berechtigungen für alle Tabellen in der Datenbank.
Um den Hybridzugriffsmodus für einen Datenstandort zu aktivieren, der nicht bei Lake Formation registriert ist
Registrieren Sie einen Amazon S3 S3-Standort, um den Hybrid-Zugriffsmodus zu aktivieren.
- Console
-
-
Melden Sie sich als Data Lake-Administrator bei der Lake Formation Formation-Konsole an.
Wählen Sie im Navigationsbereich unter Administration die Option Data Lake-Standorte aus.
Wählen Sie Standort registrieren aus.
-
Wählen Sie im Fenster Standort registrieren den Amazon S3-Pfad aus, den Sie bei Lake Formation registrieren möchten.
-
Wählen Sie als IAMRolle entweder die AWSServiceRoleForLakeFormationDataAccess
serviceverknüpfte Rolle (Standard) oder eine benutzerdefinierte Rolle IAM Rolle, die die Anforderungen von erfüllt. Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden
-
Wählen Sie den Hybrid-Zugriffsmodus, um detaillierte Lake Formation Formation-Zugriffskontrollrichtlinien auf Opt-in-Prinzipale und Data Catalog-Datenbanken und -Tabellen anzuwenden, die auf den registrierten Standort verweisen.
Wählen Sie Lake Formation, damit Lake Formation Zugriffsanfragen für den registrierten Standort autorisieren kann.
Wählen Sie Standort registrieren.
- AWS CLI
-
Im Folgenden finden Sie ein Beispiel für die Registrierung eines Datenstandorts bei Lake Formation HybridAccessEnabled mit:true/false. Der Standardwert für den Parameter ist falsch. HybridAccessEnabled
Ersetzen Sie den Amazon S3 S3-Pfad, den Rollennamen und die AWS Konto-ID durch gültige Werte.
aws lakeformation register-resource --cli-input-json file:file path
json:
{
"ResourceArn": "arn:aws:s3:::s3-path
",
"UseServiceLinkedRole": false,
"RoleArn": "arn:aws:iam::<123456789012>
:role/<role-name>
",
"HybridAccessEnabled": true
}
-
Gewähren Sie Berechtigungen und stimmen Sie Principals zu, um Lake Formation Formation-Berechtigungen für Ressourcen im Hybridzugriffsmodus zu verwenden
Bevor Sie sich für Prinzipale und Ressourcen im Hybridzugriffsmodus entscheiden, stellen Sie sicher, dass für die Datenbanken und Tabellen, deren Standort bei Lake Formation im Hybridzugriffsmodus registriert ist, All
Berechtigungen Super
oder IAMAllowedPrincipals
Gruppenberechtigungen vorhanden sind.
Sie können der IAMAllowedPrincipals
Gruppe All
tables
innerhalb einer Datenbank keine Zugriffsrechte gewähren. Sie müssen jede Tabelle separat aus dem Drop-down-Menü auswählen und Berechtigungen erteilen. Wenn Sie neue Tabellen in der Datenbank erstellen, können Sie auch die Use only IAM access control for new tables
in new databases
in den Datenkatalogeinstellungen verwenden. Diese Option erteilt der IAMAllowedPrincipals
Gruppe automatisch die Super
Berechtigung, wenn Sie neue Tabellen in der Datenbank erstellen.
- Console
-
-
Wählen Sie in der Lake Formation Formation-Konsole unter Datenkatalog die Option Datenbanken oder Tabellen aus.
Wählen Sie eine Datenbank oder eine Tabelle aus der Liste aus und wählen Sie im Menü Aktionen die Option Grant aus.
Wählen Sie Principals aus, um mithilfe von benannten Ressourcenmethoden oder LF-Tags Berechtigungen für die Datenbank, Tabellen und Spalten zu gewähren.
Wählen Sie alternativ Data Lake-Berechtigungen aus, wählen Sie die Principals, denen Berechtigungen erteilt werden sollen, aus der Liste aus und wählen Sie dann Grant aus.
Weitere Informationen zum Erteilen von Datenberechtigungen finden Sie unterErteilen von Berechtigungen für Datenkatalogressourcen.
Wenn Sie einem Prinzipal die Berechtigung „Tabelle erstellen“ erteilen, müssen Sie dem Prinzipal auch Datenspeicherberechtigungen (DATA_LOCATION_ACCESS
) erteilen. Diese Berechtigung ist nicht erforderlich, um Tabellen zu aktualisieren.
Weitere Informationen finden Sie unter Erteilung von Berechtigungen zum Speicherort von Daten.
-
Wenn Sie die Methode „Benannte Ressource“ verwenden, um Berechtigungen zu erteilen, ist die Option, Prinzipale und Ressourcen zu aktivieren, im unteren Bereich der Seite Datenberechtigungen gewähren verfügbar.
Wählen Sie Lake Formation Formation-Berechtigungen sofort wirksam machen, um Lake Formation Formation-Berechtigungen für die Prinzipale und Ressourcen zu aktivieren.
Wählen Sie Gewähren.
Wenn Sie Principal A für Tabelle A auswählen, die auf einen Datenstandort verweist, ermöglicht es Principal A, mithilfe von Lake Formation Formation-Berechtigungen auf den Speicherort dieser Tabelle zuzugreifen, wenn der Datenstandort im Hybridmodus registriert ist.
- AWS CLI
-
Im Folgenden finden Sie ein Beispiel für die Auswahl eines Prinzipals und einer Tabelle im Hybridzugriffsmodus. Ersetzen Sie den Rollennamen, die AWS Konto-ID, den Datenbanknamen und den Tabellennamen durch gültige Werte.
aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
json:
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>
:role/<hybrid-access-role>
"
},
"Resource": {
"Table": {
"CatalogId": "<123456789012>
",
"DatabaseName": "<hybrid_test>
",
"Name": "<hybrid_test_table>
"
}
}
}
-
Wenn Sie LF-Tags zur Erteilung von Berechtigungen wählen, können Sie in einem separaten Schritt festlegen, dass Prinzipale Lake Formation Formation-Berechtigungen verwenden. Sie können dies tun, indem Sie in der linken Navigationsleiste unter Berechtigungen den Hybrid-Zugriffsmodus auswählen.
-
Wählen Sie im unteren Bereich der Seite Hybrid-Zugriffsmodus die Option Hinzufügen aus, um Ressourcen und Prinzipale zum Hybridzugriffsmodus hinzuzufügen.
-
Wählen Sie auf der Seite Ressourcen und Prinzipale hinzufügen die Datenbanken und Tabellen aus, die im Hybridzugriffsmodus registriert sind. Wählen Sie Principals aus, um sich für die Verwendung Lake Formation Formation-Berechtigungen im hybriden Zugriffsmodus zu entscheiden.
Sie können All tables
unter einer Datenbank auswählen, ob Sie Zugriff gewähren möchten.