Convertir un AWS Glue recurso en un recurso híbrido

Para habilitar el modo de acceso híbrido para una ubicación de datos no registrada en Lake Formation

1. Registre una ubicación de Amazon S3 que habilite el modo de acceso híbrido.

   Console

   1. Inicie sesión en la consola de Lake Formation como administrador del lago de datos.

   2. En Administración del panel de navegación, seleccione las Ubicaciones de los lagos de datos.

   3. Seleccione Registrar ubicación.

      

   4. En la ventana Registrar ubicación, elija la ruta de Amazon S3 que desee registrar en Lake Formation.

   5. Para IAMel rol, elija el rol AWSServiceRoleForLakeFormationDataAccess vinculado al servicio (el predeterminado) o uno personalizado IAM rol que cumpla los requisitos de. Requisitos de los roles utilizados para registrar ubicaciones

   6. Elija el modo de acceso híbrido para aplicar políticas específicas de control de acceso de Lake Formation a las entidades principales y a las bases de datos y tablas del Catálogo de datos que apuntan a la ubicación registrada.


      Seleccione Lake Formation para permitir que Lake Formation autorice las solicitudes de acceso a la ubicación registrada.


   7. Seleccione Registrar ubicación.

   AWS CLI

   El siguiente es un ejemplo para registrar una ubicación de datos con Lake Formation HybridAccessEnabled con:true/false. El valor predeterminado para el parámetro HybridAccessEnabled es false. Sustituya la ruta, el nombre del rol y el identificador de AWS cuenta de Amazon S3 por valores válidos.

   aws lakeformation register-resource --cli-input-json file:file path
   json:
       {
           "ResourceArn": "arn:aws:s3:::s3-path",
           "UseServiceLinkedRole": false,
           "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
           "HybridAccessEnabled": true
       }        

2. Conceda permisos y seleccione entidades principales para utilizar los permisos de Lake Formation para los recursos en modo de acceso híbrido.

   Antes de optar por entidades principales y recursos en el modo de acceso híbrido, verifique que la concesión de permisos Super o All al grupo IAMAllowedPrincipals existe en las bases de datos y tablas que tienen ubicación registrada con Lake Formation en el modo de acceso híbrido.

   nota

   No puede conceder al grupo IAMAllowedPrincipals permiso sobre All tables dentro de una base de datos. Debe seleccionar cada tabla por separado en el menú desplegable y conceder los permisos. Además, al crear nuevas tablas en la base de datos, puede optar por utilizarlas Use only IAM access control for new tables in new databases en la configuración del catálogo de datos. Esta opción concede el permiso de Super al grupo IAMAllowedPrincipals automáticamente al crear nuevas tablas en la base de datos.

   Console

   1. En la consola de Lake Formation, en Catálogo de datos, elija Bases de datos o Tablas.

   2. Seleccione una base de datos o una tabla de la lista y elija Otorgar en el menú Acciones.

   3. Elija entidades principales a las que conceder permisos sobre la base de datos, las tablas y las columnas utilizando el método de recursos con nombre o las etiquetas LF.

      Como alternativa, elija Permisos de lago de datos, seleccione las entidades principales a las que conceder permisos de la lista y elija Conceder.

      Para obtener más información sobre la concesión de permisos de datos, consulte Concesión de permisos sobre los recursos del catálogo de datos.

      nota

      Si concede a una entidad principal el permiso para crear una tablas, también deberá concederle permisos de ubicación de datos (DATA_LOCATION_ACCESS). Este permiso no es necesario para actualizar las tablas.

      Para obtener más información, consulte Conceder permisos de ubicación de datos.

   4. Si utiliza el método de recurso con nombre para conceder permisos, la opción de incluir entidades principales y recursos está disponible en la sección inferior de la página de concesión de permisos de datos.

      Seleccione Hacer efectivos inmediatamente los permisos de Lake Formation para habilitar los permisos de Lake Formation para las entidades principales y los recursos.

      

   5. Elija Conceder.

      Al optar por la entidad principal A en la tabla A que apunta a una ubicación de datos, permite que la entidad principal A tenga acceso a la ubicación de esta tabla utilizando los permisos de Lake Formation si la ubicación de datos está registrada en modo híbrido.

   AWS CLI

   A continuación se muestra un ejemplo para optar por una entidad principal y una tabla en modo de acceso híbrido. Sustituya el nombre del rol, el id de la cuenta de AWS , el nombre de la base de datos y el nombre de la tabla por valores aceptables.

   aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
   json:
     {
           "Principal": {
               "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
           },
           "Resource": {
               "Table": {
                   "CatalogId": "<123456789012>",
                   "DatabaseName": "<hybrid_test>",
                   "Name": "<hybrid_test_table>"
               }
           }
       }              

   1. Si elige las etiquetas LF para la concesión de permisos, puede optar por que las entidades principales utilicen los permisos de Lake Formation en un paso aparte. Para ello, elija el modo de acceso Híbrido en Permisos de la barra de navegación izquierda.

   2. En la sección inferior de la página Modo de acceso híbrido, seleccione Añadir para añadir recursos y entidades principales al modo de acceso híbrido.

   3. En la página Añadir recursos y entidades principales, elija las bases de datos y las tablas registradas en el modo de acceso híbrido. Elija entidades principales para optar a utilizar los permisos de Lake Formation en el modo de acceso híbrido.

      Puede elegir All tables bajo una base de datos a la que conceder acceso.