Hybrider Zugriffsmodus - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hybrider Zugriffsmodus

AWS Lake Formation Der Hybridzugriffsmodus unterstützt zwei Berechtigungspfade für dieselben AWS Glue Data Catalog Datenbanken, Tabellen und Ansichten.
 Im ersten Schritt ermöglicht Ihnen Lake Formation, bestimmte Principals auszuwählen und ihnen Lake Formation Formation-Berechtigungen für den Zugriff auf Datenbanken und Tabellen zu gewähren, indem Sie sich dafür anmelden. Der zweite Weg ermöglicht allen anderen Prinzipalen den Zugriff auf diese Ressourcen über die standardmäßigen IAM Prinzipalrichtlinien für Amazon S3 und AWS Glue Aktionen.

Wenn Sie einen Amazon S3 S3-Standort bei Lake Formation registrieren, haben Sie die Möglichkeit, entweder Lake Formation Formation-Berechtigungen für alle Ressourcen an diesem Standort durchzusetzen oder den hybriden Zugriffsmodus zu verwenden. Der hybride Zugriffsmodus erzwingt standardmäßig nur CREATE_TABLE UPDATE_TABLE Berechtigungen. CREATE_PARTITION Wenn sich ein Amazon S3 S3-Standort im Hybridmodus befindet, können Sie Lake Formation Formation-Berechtigungen aktivieren, indem Sie Prinzipale für Datenbanken und Tabellen unter diesem Standort auswählen.


Somit bietet der hybride Zugriffsmodus die Flexibilität, Lake Formation selektiv für Datenbanken und Tabellen in Ihrem Datenkatalog für eine bestimmte Gruppe von Benutzern zu aktivieren, ohne den Zugriff für andere bestehende Benutzer oder Workloads zu unterbrechen.

AWS-Konto architecture showing data flow between S3, Glue, Lake Formation, Athena, and IAM roles.

Überlegungen und Einschränkungen finden Sie unter Überlegungen und Einschränkungen des hybriden Zugriffsmodus .

Begriffe und Definitionen

Im Folgenden finden Sie die Definitionen von Datenkatalogressourcen, die darauf basieren, wie Sie Zugriffsberechtigungen einrichten:

Ressource Lake Formation

Eine Ressource, die bei Lake Formation registriert ist. Benutzer benötigen Lake Formation Formation-Berechtigungen, um auf die Ressource zugreifen zu können.

AWS Glue Ressource

Eine Ressource, die nicht bei Lake Formation registriert ist. Benutzer benötigen nur IAM Berechtigungen für den Zugriff auf die Ressource, da sie über IAMAllowedPrincipals Gruppenberechtigungen verfügt. Die Genehmigungen für Lake Formation werden nicht durchgesetzt.

Weitere Informationen zu IAMAllowedPrincipals Gruppenberechtigungen finden Sie unterBerechtigungen für Metadaten.

Hybride Ressource

Eine Ressource, die im Hybridzugriffsmodus registriert ist. Je nachdem, welche Benutzer auf die Ressource zugreifen, wechselt die Ressource dynamisch zwischen einer Lake Formation Formation-Ressource und einer AWS Glue Ressource.

Allgemeine Anwendungsfälle im hybriden Zugriffsmodus

Sie können den hybriden Zugriffsmodus verwenden, um den Zugriff in Szenarien für die gemeinsame Nutzung von Daten mit einem Konto und zwischen Konten bereitzustellen:

Szenarien mit einem einzigen Konto
  • Eine AWS Glue Ressource in eine Hybridressource konvertieren — In diesem Szenario verwenden Sie Lake Formation derzeit nicht, möchten aber Lake Formation-Berechtigungen für Data Catalog-Datenbanken und -Tabellen übernehmen. Wenn Sie den Amazon S3 S3-Standort im Hybridzugriffsmodus registrieren, können Sie Benutzern, die sich für bestimmte Datenbanken und Tabellen entscheiden, die auf diesen Standort verweisen, Lake Formation Formation-Berechtigungen gewähren.

  • Konvertieren Sie eine Lake Formation Formation-Ressource in eine Hybridressource — Derzeit verwenden Sie Lake Formation Formation-Berechtigungen, um den Zugriff auf eine Data Catalog-Datenbank zu steuern, möchten aber neuen Principals mithilfe von IAM Berechtigungen für Amazon S3 Zugriff gewähren, AWS Glue ohne die bestehenden Lake Formation Formation-Berechtigungen zu unterbrechen.

    Wenn Sie eine Datenstandortregistrierung auf den Hybridzugriffsmodus aktualisieren, können neue Principals mithilfe von IAM Berechtigungsrichtlinien auf die Data Catalog-Datenbank zugreifen, die auf den Amazon S3 S3-Standort verweist, ohne die Lake Formation Formation-Berechtigungen der bestehenden Benutzer zu unterbrechen.

    Bevor Sie die Datenstandortregistrierung aktualisieren, um den Hybridzugriffsmodus zu aktivieren, müssen Sie zunächst Prinzipale aktivieren, die derzeit mit Lake Formation Formation-Berechtigungen auf die Ressource zugreifen.
 Dadurch soll eine mögliche Unterbrechung des aktuellen Workflows verhindert werden.
 Sie müssen der IAMAllowedPrincipal Gruppe auch Super Berechtigungen für die Tabellen in der Datenbank erteilen.

Szenarien für den kontenübergreifenden Datenaustausch
  • AWS Glue Ressourcen im hybriden Zugriffsmodus gemeinsam nutzen — In diesem Szenario verfügt das Produzentenkonto über Tabellen in einer Datenbank, die derzeit mithilfe von IAM Berechtigungsrichtlinien für Amazon S3 und AWS Glue Aktionen mit einem Verbraucherkonto gemeinsam genutzt werden. Der Datenstandort der Datenbank ist nicht bei Lake Formation registriert.

    Bevor Sie den Datenstandort im Hybridzugriffsmodus registrieren, müssen Sie die Einstellungen für die kontoübergreifende Version auf Version 4 aktualisieren. Version 4 enthält die neuen AWS RAM Berechtigungsrichtlinien, die für die kontoübergreifende gemeinsame Nutzung erforderlich sind, wenn die IAMAllowedPrincipal Gruppe über die erforderlichen Super Berechtigungen für die Ressource verfügt. Für Ressourcen mit IAMAllowedPrincipal Gruppenberechtigungen können Sie externen Konten Lake Formation Formation-Berechtigungen gewähren und sie für die Verwendung von Lake Formation Formation-Berechtigungen aktivieren. Der Data Lake-Administrator im Empfängerkonto kann den Prinzipalen im Konto Lake Formation Formation-Berechtigungen gewähren und sie aktivieren, um die Lake Formation Formation-Berechtigungen durchzusetzen.

  • Lake Formation Formation-Ressourcen im hybriden Zugriffsmodus gemeinsam nutzen — Derzeit enthält das Produzentenkonto Tabellen in einer Datenbank, die mit einem Verbraucherkonto gemeinsam genutzt werden, wodurch Lake Formation Formation-Berechtigungen durchgesetzt werden. Der Datenstandort der Datenbank ist bei Lake Formation registriert.

    In diesem Fall können Sie die Amazon S3-Standortregistrierung auf den Hybridzugriffsmodus aktualisieren und die Daten aus Amazon S3 und Metadaten aus dem Datenkatalog mithilfe von Amazon S3 S3-Bucket-Richtlinien und Datenkatalog-Ressourcenrichtlinien an Prinzipale im Kundenkonto weitergeben. Sie müssen die bestehenden Lake Formation Formation-Berechtigungen erneut gewähren und die Principals aktivieren, bevor Sie die Amazon S3 S3-Standortregistrierung aktualisieren. Außerdem müssen Sie der Gruppe Super Berechtigungen für die Tabellen in der Datenbank erteilen. IAMAllowedPrincipals