Para permitir que el rastreador acceda a un almacén de datos de una cuenta diferente con credenciales de Lake Formation, primero debe registrar la ubicación de los datos de Amazon S3 en Lake Formation. Después, debe conceder permisos de ubicación de datos a la cuenta del rastreador siguiendo estos pasos.
Puede completar los siguientes pasos mediante la AWS Management Console o la AWS CLI.
En la cuenta en la que esté registrada la ubicación de Amazon S3 (cuenta B):
-
Registre una ruta de Amazon S3 en Lake Formation. Para obtener más información, consulte Registro de una ubicación de Amazon S3.
-
Conceda permisos de Ubicación de datos a la cuenta (cuenta A) en la que se vaya a ejecutar el rastreador. Para obtener más información, consulte Concesión de permisos de ubicación de datos.
-
Cree una base de datos vacía en Lake Formation con la ubicación subyacente como ubicación de Amazon S3 de destino. Para obtener más información, consulte Creación de una base de datos.
-
Conceda a la cuenta A (la cuenta en la que se vaya a ejecutar el rastreador) acceso a la base de datos que ha creado en el paso anterior. Para obtener más información, consulte Concesión de permisos de base de datos.
-
-
En la cuenta donde se ha creado y se va a ejecutar el rastreador (cuenta A):
-
Mediante la consola de AWS RAM, acepte la base de datos que se haya compartido desde la cuenta externa (cuenta B). Para obtener más información, consulte Aceptación de una invitación para compartir un recurso de AWS Resource Access Manager.
-
Cree un rol de IAM para el rastreador. Agregue la política
lakeformation:GetDataAccessal rol. -
En la consola de Lake Formation (https://console.aws.amazon.com/lakeformation/
), conceda permisos de Ubicación de datos sobre la ubicación de Amazon S3 de destino al rol de IAM utilizado para la ejecución del rastreador, de modo que el rastreador pueda leer los datos del destino en Lake Formation. Para obtener más información, consulte Concesión de permisos de ubicación de datos. -
Cree un enlace de recurso en la base de datos compartida. Para obtener más información, consulte Creación de un enlace de recurso.
-
Otorgue al rol del rastreador permisos de acceso (
Create) en la base de datos compartida y (Describe) en el enlace de recurso. El enlace de recurso se especifica en la salida del rastreador. -
En la consola de AWS Glue (https://console.aws.amazon.com/glue/
), al configurar el rastreador, seleccione la opción Use Lake Formation credentials for crawling Amazon S3 data source (Utilizar credenciales de Lake Formation para rastrear un origen de datos de Amazon S3). Para el rastreo entre cuentas, especifique el ID de la Cuenta de AWS donde esté registrada la ubicación de Amazon S3 de destino en Lake Formation. Para el rastreo en cuenta, el campo accountId es opcional.
-
nota
Un rastreador que utilice credenciales de Lake Formation solo puede rastrear destinos de Amazon S3 y el Catálogo de datos.
En el caso de destinos que utilicen el suministro de credenciales de Lake Formation, las ubicaciones de Amazon S3 subyacentes deben pertenecer al mismo bucket. Por ejemplo, los clientes pueden utilizar varios destinos (s3://bucket1/carpeta1, s3://bucket1/carpeta2) siempre que todas las ubicaciones de destino estén en el mismo bucket (bucket1). No se permite especificar buckets diferentes (s3://bucket1/carpeta1, s3://bucket2/carpeta2).
Actualmente, para los rastreadores de destinos del Catálogo de datos, solo se permite un único destino de catálogo con una sola tabla de catálogo.
