Registrierung einer Abfrage-Engine eines Drittanbieters - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Registrierung einer Abfrage-Engine eines Drittanbieters

Bevor eine Query-Engine eines Drittanbieters die API Anwendungsintegrationsoperationen verwenden kann, müssen Sie der Abfrage-Engine explizit die Berechtigungen zum Aufrufen der API Operationen in Ihrem Namen gewähren. Dies ist in wenigen Schritten erledigt:

  1. Sie müssen die AWS Konten und IAM Sitzungs-Tags angeben, für die die Berechtigung zum Aufrufen der API Anwendungsintegrationsvorgänge erforderlich ist, und zwar über AWS Lake Formation Konsole, die AWS CLI oder dieAPI/SDK.

  2. Wenn die Drittanbieter-Abfrage-Engine die Ausführungsrolle in Ihrem Konto übernimmt, muss die Abfrage-Engine ein Sitzungs-Tag anhängen, das bei Lake Formation registriert ist und die Drittanbieter-Engine darstellt. Lake Formation verwendet dieses Tag, um zu überprüfen, ob die Anfrage von einer zugelassenen Engine stammt. Weitere Informationen zu Sitzungs-Tags finden Sie unter Sitzungs-Tags im IAM Benutzerhandbuch.

  3. Wenn Sie eine Ausführungsrolle für die Query Engine eines Drittanbieters einrichten, müssen Sie in der IAM Richtlinie über die folgenden Mindestberechtigungen verfügen:

    { "Version": "2012-10-17", "Statement": {"Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "glue:GetTable", "glue:GetTables", "glue:GetDatabase", "glue:GetDatabases", "glue:CreateDatabase", "glue:GetUserDefinedFunction", "glue:GetUserDefinedFunctions", "glue:GetPartition", "glue:GetPartitions" ], "Resource": "*" } }
  4. Richten Sie eine Richtlinie zur Rollenvertrauensstellung für die Ausführungsrolle der Abfrage-Engine ein, um genau kontrollieren zu können, welches Schlüssel-Wert-Paar für das Sitzungs-Tag an diese Rolle angehängt werden kann. Im folgenden Beispiel darf dieser Rolle nur der Sitzungs-Tag-Schlüssel "LakeFormationAuthorizedCaller" und der Sitzungs-Tag-Wert "engine1" angehängt werden, und es ist kein anderes Sitzungstag-Schlüssel-Wert-Paar zulässig.

    { "Sid": "AllowPassSessionTags", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/query-execution-role" }, "Action": "sts:TagSession", "Condition": { "StringLike": { "aws:RequestTag/LakeFormationAuthorizedCaller": "engine1" } } }

Wenn der AssumeRole API VorgangSTS: LakeFormationAuthorizedCaller aufgerufen wird, um Anmeldeinformationen für die Abfrageengine abzurufen, muss das Sitzungs-Tag in der AssumeRole Anforderung enthalten sein. Die zurückgegebenen temporären Anmeldeinformationen können verwendet werden, um Lake Formation APIAnfragen zur Anwendungsintegration.

Lake Formation Für die API Anwendungsintegration muss der aufrufende Principal eine IAM Rolle sein. Die IAM Rolle muss ein Sitzungs-Tag mit einem vordefinierten Wert enthalten, mit dem registriert wurde Lake Formation. Dieses Tag ermöglicht Lake Formation um zu überprüfen, ob die Rolle, die zum Aufrufen der API Anwendungsintegrationsoperationen verwendet wird, dazu berechtigt ist.