Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Convertir un AWS Glue recurso en un recurso híbrido
Siga estos pasos para registrar una ubicación de Amazon S3 en modo de acceso híbrido e incorporar nuevos usuarios de Lake Formation sin interrumpir el acceso a los datos de los usuarios actuales del Catálogo de datos.
Descripción del escenario: la ubicación de los datos no está registrada en Lake Formation y el acceso de los usuarios a la base de datos y las tablas del catálogo de datos está determinado por las políticas de IAM permisos y las AWS Glue acciones de Amazon S3.
De forma predeterminada, el grupo IAMAllowedPrincipals
tiene permisos de Super
en todas las tablas de la base de datos.
Para habilitar el modo de acceso híbrido para una ubicación de datos no registrada en Lake Formation
Registre una ubicación de Amazon S3 que habilite el modo de acceso híbrido.
- Console
-
-
Inicie sesión en la consola de Lake Formation como administrador del lago de datos.
En Administración del panel de navegación, seleccione las Ubicaciones de los lagos de datos.
Seleccione Registrar ubicación.
-
En la ventana Registrar ubicación, elija la ruta de Amazon S3 que desee registrar en Lake Formation.
-
Para IAMel rol, elija el rol AWSServiceRoleForLakeFormationDataAccess
vinculado al servicio (el predeterminado) o uno personalizado IAM rol que cumpla los requisitos de. Requisitos de los roles utilizados para registrar ubicaciones
-
Elija el modo de acceso híbrido para aplicar políticas específicas de control de acceso de Lake Formation a las entidades principales y a las bases de datos y tablas del Catálogo de datos que apuntan a la ubicación registrada.
Seleccione Lake Formation para permitir que Lake Formation autorice las solicitudes de acceso a la ubicación registrada.
Seleccione Registrar ubicación.
- AWS CLI
-
El siguiente es un ejemplo para registrar una ubicación de datos con Lake Formation HybridAccessEnabled con:true/false. El valor predeterminado para el parámetro HybridAccessEnabled
es false. Sustituya la ruta, el nombre del rol y el identificador de AWS cuenta de Amazon S3 por valores válidos.
aws lakeformation register-resource --cli-input-json file:file path
json:
{
"ResourceArn": "arn:aws:s3:::s3-path
",
"UseServiceLinkedRole": false,
"RoleArn": "arn:aws:iam::<123456789012>
:role/<role-name>
",
"HybridAccessEnabled": true
}
-
Conceda permisos y seleccione entidades principales para utilizar los permisos de Lake Formation para los recursos en modo de acceso híbrido.
Antes de optar por entidades principales y recursos en el modo de acceso híbrido, verifique que la concesión de permisos Super
o All
al grupo IAMAllowedPrincipals
existe en las bases de datos y tablas que tienen ubicación registrada con Lake Formation en el modo de acceso híbrido.
No puede conceder al grupo IAMAllowedPrincipals
permiso sobre All
tables
dentro de una base de datos. Debe seleccionar cada tabla por separado en el menú desplegable y conceder los permisos. Además, al crear nuevas tablas en la base de datos, puede optar por utilizarlas Use only IAM access control for new tables
in new databases
en la configuración del catálogo de datos. Esta opción concede el permiso de Super
al grupo IAMAllowedPrincipals
automáticamente al crear nuevas tablas en la base de datos.
- Console
-
-
En la consola de Lake Formation, en Catálogo de datos, elija Bases de datos o Tablas.
Seleccione una base de datos o una tabla de la lista y elija Otorgar en el menú Acciones.
Elija entidades principales a las que conceder permisos sobre la base de datos, las tablas y las columnas utilizando el método de recursos con nombre o las etiquetas LF.
Como alternativa, elija Permisos de lago de datos, seleccione las entidades principales a las que conceder permisos de la lista y elija Conceder.
Para obtener más información sobre la concesión de permisos de datos, consulte Concesión de permisos sobre los recursos del catálogo de datos.
Si concede a una entidad principal el permiso para crear una tablas, también deberá concederle permisos de ubicación de datos (DATA_LOCATION_ACCESS
). Este permiso no es necesario para actualizar las tablas.
Para obtener más información, consulte Conceder permisos de ubicación de datos.
-
Si utiliza el método de recurso con nombre para conceder permisos, la opción de incluir entidades principales y recursos está disponible en la sección inferior de la página de concesión de permisos de datos.
Seleccione Hacer efectivos inmediatamente los permisos de Lake Formation para habilitar los permisos de Lake Formation para las entidades principales y los recursos.
Elija Conceder.
Al optar por la entidad principal A en la tabla A que apunta a una ubicación de datos, permite que la entidad principal A tenga acceso a la ubicación de esta tabla utilizando los permisos de Lake Formation si la ubicación de datos está registrada en modo híbrido.
- AWS CLI
-
A continuación se muestra un ejemplo para optar por una entidad principal y una tabla en modo de acceso híbrido. Sustituya el nombre del rol, el id de la cuenta de AWS , el nombre de la base de datos y el nombre de la tabla por valores aceptables.
aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
json:
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>
:role/<hybrid-access-role>
"
},
"Resource": {
"Table": {
"CatalogId": "<123456789012>
",
"DatabaseName": "<hybrid_test>
",
"Name": "<hybrid_test_table>
"
}
}
}
-
Si elige las etiquetas LF para la concesión de permisos, puede optar por que las entidades principales utilicen los permisos de Lake Formation en un paso aparte. Para ello, elija el modo de acceso Híbrido en Permisos de la barra de navegación izquierda.
-
En la sección inferior de la página Modo de acceso híbrido, seleccione Añadir para añadir recursos y entidades principales al modo de acceso híbrido.
-
En la página Añadir recursos y entidades principales, elija las bases de datos y las tablas registradas en el modo de acceso híbrido. Elija entidades principales para optar a utilizar los permisos de Lake Formation en el modo de acceso híbrido.
Puede elegir All tables
bajo una base de datos a la que conceder acceso.