Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
DataZone Integración de Amazon con el modo híbrido de AWS Lake Formation
Amazon DataZone está integrado con el modo híbrido AWS Lake Formation. Esta integración te permite publicar y compartir fácilmente tus tablas de AWS Glue a través de Amazon DataZone sin necesidad de registrarlas primero en AWS Lake Formation. El modo híbrido te permite empezar a gestionar los permisos de tus tablas de AWS Glue a través de AWS Lake Formation y, al mismo tiempo, conservar IAM los permisos existentes en estas tablas.
Para empezar, puedes activar la configuración de registro de ubicación de datos en el DefaultDataLakeblueprint de la consola de DataZone administración de Amazon.
Habilite la integración con el modo híbrido de AWS Lake Formation
-
Ve a la DataZone consola de Amazon en https://console.aws.amazon.com/datazone
e inicia sesión con las credenciales de tu cuenta. -
Elija Ver dominios y elija el dominio en el que desee habilitar la integración con el modo híbrido de AWS Lake Formation.
-
En la página de detalles del dominio, vaya a la pestaña Blueprints.
-
En la lista de esquemas, elija el DefaultDataLakeesquema.
-
Asegúrese de que el DefaultDataLake esquema esté activado. Si no está activado, sigue los pasos que se indican Habilite los blueprints integrados en el AWS cuenta propietaria del DataZone dominio de Amazon para activarlo en tu AWS cuenta.
-
En la página de DefaultDataLake detalles, abre la pestaña Aprovisionamiento y selecciona el botón Editar en la esquina superior derecha de la página.
-
En Registro de ubicaciones de datos, active la casilla para habilitar el registro de ubicaciones de datos.
-
Para el rol de administración de ubicación de datos, puede crear un IAM rol nuevo o seleccionar uno existenteIAM. Amazon DataZone utiliza esta función para gestionar el acceso de lectura y escritura a los depósitos de Amazon S3 elegidos para Data Lake mediante el modo de acceso híbrido AWS Lake Formation. Para obtener más información, consulte AmazonDataZone<region>S3 Manage- -< > domainId.
-
Si lo desea, puede optar por excluir determinadas ubicaciones de Amazon S3 si no desea que Amazon DataZone las registre automáticamente en modo híbrido. Para ello, complete los siguientes pasos:
-
Pulse el botón de alternancia para excluir ubicaciones específicas de Amazon S3.
-
Proporcione el bucket URI de Amazon S3 que desea excluir.
-
Para añadir depósitos adicionales, selecciona Añadir ubicación de S3.
nota
Amazon DataZone solo permite excluir una ubicación raíz de S3. Cualquier ubicación de S3 que se encuentre dentro de la ruta de una ubicación raíz de S3 se excluirá automáticamente del registro.
-
Elija Guardar cambios.
-
Una vez que haya activado la configuración de registro de ubicaciones de datos en su AWS cuenta, cuando un consumidor de datos se suscriba a una tabla de AWS Glue gestionada mediante IAM permisos, Amazon DataZone registrará primero las ubicaciones de Amazon S3 de esta tabla en modo híbrido y, a continuación, concederá acceso al consumidor de datos gestionando los permisos de la tabla a través de AWS Lake Formation. Esto garantiza que IAM los permisos sobre la mesa sigan existiendo con los permisos de AWS Lake Formation recién otorgados, sin interrumpir ningún flujo de trabajo existente.
Cómo gestionar las ubicaciones cifradas de Amazon S3 al habilitar la integración del modo híbrido de AWS Lake Formation en Amazon DataZone
Si utiliza una ubicación de Amazon S3 cifrada con una KMS clave gestionada o AWS gestionada por el cliente, el rol AmazonDataZoneS3Manage debe tener el permiso para cifrar y descifrar los datos con la KMS clave, o la política de KMS claves debe conceder permisos sobre la clave del rol.
Si su ubicación de Amazon S3 está cifrada con una clave AWS gestionada, añada la siguiente política en línea al AmazonDataZoneDataLocationManagementrol:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<AWS managed key ARN>" } ]
Si su ubicación de Amazon S3 está cifrada con una clave gestionada por el cliente, haga lo siguiente:
-
Abra la AWS KMS consola en https://console.aws.amazon.com/kms
e inicie sesión como usuario administrativo de AWS Identity and Access Management (IAM) o como usuario que puede modificar la política de claves de la KMS clave utilizada para cifrar la ubicación. -
En el panel de navegación, elija Claves administradas por el cliente y, a continuación, elija el nombre de la clave deseadaKMS.
-
En la página de detalles KMS clave, elija la pestaña Política clave y, a continuación, realice una de las siguientes acciones para añadir su función personalizada o la función vinculada al servicio Lake Formation como usuario KMS clave:
-
Si aparece la vista predeterminada (con las secciones Administradores clave, Eliminación de claves, Usuarios clave y Otras AWS cuentas), en la sección Usuarios clave, agregue el AmazonDataZoneDataLocationManagementrol.
-
Si aparece la política clave (JSON), edítela para añadir una AmazonDataZoneDataLocationManagementfunción al objeto «Permitir el uso de la clave», como se muestra en el siguiente ejemplo
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
nota
Si la KMS clave o la ubicación de Amazon S3 no se encuentran en la misma AWS cuenta que el catálogo de datos, siga las instrucciones de Registrar una ubicación de Amazon S3 cifrada en todas AWS las cuentas.
