Registrierung eines Amazon S3 S3-Standorts - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Registrierung eines Amazon S3 S3-Standorts

Sie müssen eine AWS Identity and Access Management (IAM) -Rolle angeben, wenn Sie einen Amazon Simple Storage Service (Amazon S3) -Standort registrieren. Lake Formation übernimmt diese Rolle, wenn es integrierten AWS Diensten, die auf die Daten an diesem Standort zugreifen, temporäre Anmeldeinformationen gewährt.

Wichtig

Vermeiden Sie es, einen Amazon S3 S3-Bucket zu registrieren, für den Zahlungen durch den Antragsteller aktiviert ist. Bei Buckets, die bei Lake Formation registriert sind, wird die Rolle, mit der der Bucket registriert wurde, immer als der Anforderer angesehen. Wenn ein anderes AWS Konto auf den Bucket zugreift, wird dem Bucket-Besitzer der Datenzugriff in Rechnung gestellt, sofern die Rolle zu demselben Konto gehört wie der Bucket-Besitzer.

Sie können die AWS Lake Formation Konsole, die Lake Formation API oder AWS Command Line Interface (AWS CLI) verwenden, um einen Amazon S3 S3-Standort zu registrieren.

Bevor Sie beginnen

Überprüfen Sie die Anforderungen für die Rolle, die zur Registrierung des Standorts verwendet wurde.

Um einen Standort zu registrieren (Konsole)
Wichtig

Bei den folgenden Verfahren wird davon ausgegangen, dass sich der Amazon S3 S3-Standort in demselben AWS Konto wie der Datenkatalog befindet und dass die Daten am Standort nicht verschlüsselt sind. Andere Abschnitte in diesem Kapitel behandeln die kontoübergreifende Registrierung und die Registrierung verschlüsselter Standorte.

  1. Öffnen Sie die AWS Lake Formation Konsole unter https://console.aws.amazon.com/lakeformation/. Melden Sie sich als Data Lake-Administrator oder als Benutzer mit der lakeformation:RegisterResource IAM-Berechtigung an.

  2. Wählen Sie im Navigationsbereich unter Verwaltung die Option Data Lake-Standorte aus.

  3. Wählen Sie Speicherort registrieren und anschließend Durchsuchen, um einen Amazon Simple Storage Service (Amazon S3) -Pfad auszuwählen.

  4. (Optional, aber dringend empfohlen) Wählen Sie Standortberechtigungen überprüfen aus, um eine Liste aller vorhandenen Ressourcen am ausgewählten Amazon S3 S3-Standort und deren Berechtigungen anzuzeigen.

    Die Registrierung des ausgewählten Standorts kann dazu führen, dass Ihre Lake Formation Formation-Benutzer Zugriff auf Daten erhalten, die sich bereits an diesem Standort befinden. Durch das Anzeigen dieser Liste können Sie sicherstellen, dass die vorhandenen Daten sicher bleiben.

  5. Wählen Sie für die IAM-Rolle entweder die AWSServiceRoleForLakeFormationDataAccess serviceverknüpfte Rolle (Standard) oder eine benutzerdefinierte IAM-Rolle, die die Anforderungen in erfüllt. Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden

    Sie können einen registrierten Standort oder andere Details nur aktualisieren, wenn Sie ihn mit einer benutzerdefinierten IAM-Rolle registrieren. Um einen Standort zu bearbeiten, der mit einer serviceverknüpften Rolle registriert wurde, sollten Sie den Standort abmelden und ihn erneut registrieren.

  6. Wählen Sie die Option Datenkatalogverbund aktivieren, damit Lake Formation eine Rolle übernehmen und temporäre Anmeldeinformationen an integrierte AWS Dienste weitergeben kann, um auf Tabellen in Verbunddatenbanken zuzugreifen. Wenn ein Standort bei Lake Formation registriert ist und Sie denselben Speicherort für eine Tabelle in einer Verbunddatenbank verwenden möchten, müssen Sie denselben Standort mit der Option Datenkatalogverbund aktivieren registrieren.

  7. Wählen Sie den Hybrid-Zugriffsmodus, um Lake Formation Formation-Berechtigungen standardmäßig nicht zu aktivieren. Wenn Sie den Amazon S3 S3-Standort im Hybridzugriffsmodus registrieren, können Sie Lake Formation Formation-Berechtigungen aktivieren, indem Sie Prinzipale für Datenbanken und Tabellen unter diesem Standort auswählen.


    Weitere Informationen zur Einrichtung des hybriden Zugriffsmodus finden Sie unter. Hybrider Zugriffsmodus

  8. Wählen Sie Standort registrieren aus.

Um einen Standort zu registrieren (AWS CLI)
  1. Registrieren Sie einen neuen Standort bei Lake Formation

    In diesem Beispiel wird eine dienstbezogene Rolle verwendet, um den Standort zu registrieren. Sie können das --role-arn Argument stattdessen verwenden, um Ihre eigene Rolle anzugeben.

    <s3-path>Ersetzen Sie es durch einen gültigen Amazon S3 S3-Pfad, die Kontonummer durch ein gültiges AWS Konto und <s3-access-role>durch eine IAM-Rolle, die über Berechtigungen zur Registrierung eines Datenstandorts verfügt.

    Anmerkung

    Sie können die Eigenschaften eines registrierten Standorts nicht bearbeiten, wenn er mit einer serviceverknüpften Rolle registriert ist.

    aws lakeformation register-resource \
 --resource-arn arn:aws:s3:::<s3-path> \
 --use-service-linked-role

    Im folgenden Beispiel wird eine benutzerdefinierte Rolle verwendet, um den Standort zu registrieren.

    aws lakeformation register-resource \
 --resource-arn arn:aws:s3:::<s3-path> \
 --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role>
  2. Um einen bei Lake Formation registrierten Standort zu aktualisieren

    Sie können einen registrierten Standort nur bearbeiten, wenn er mit einer benutzerdefinierten IAM-Rolle registriert ist. Bei einem Standort, der mit einer serviceverknüpften Rolle registriert ist, sollten Sie die Registrierung des Standorts aufheben und ihn erneut registrieren. Weitere Informationen finden Sie unter Abmeldung eines Amazon S3 S3-Standorts. 

    aws lakeformation update-resource \
 --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role>\
 --resource-arn arn:aws:s3:::<s3-path>              
             
    aws lakeformation update-resource \
 --resource-arn arn:aws:s3:::<s3-path> \
 --use-service-linked-role
  3. Registrieren Sie einen Datenstandort im Hybridzugriffsmodus mit Verbund
    aws lakeformation register-resource \
 --resource-arn arn:aws:s3:::<s3-path> \
 --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \
 --hybrid-access-enabled         
       
    aws lakeformation register-resource \
 --resource-arn arn:aws:s3:::<s3-path> \
 --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \
 --with-federation                
    aws lakeformation update-resource \
 --resource-arn arn:aws:s3:::<s3-path> \
 --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \
 --hybrid-access-enabled

Weitere Informationen finden Sie unter RegisterResourceAPI-Betrieb.

Anmerkung

Sobald Sie einen Amazon S3 S3-Standort registriert haben, gibt jede AWS Glue Tabelle, die auf den Standort (oder einen seiner untergeordneten Standorte) verweist, den Wert für den IsRegisteredWithLakeFormation Parameter wie true im GetTable Aufruf zurück. Es gibt eine bekannte Einschränkung, dass Datenkatalog-API-Operationen, wie z. B. GetTables und SearchTables nicht, den Wert für den IsRegisteredWithLakeFormation Parameter aktualisieren und den Standardwert zurückgeben, der falsch ist. Es wird empfohlen, die GetTable API zu verwenden, um den richtigen Wert für den IsRegisteredWithLakeFormation Parameter anzuzeigen.