Convertir un recurso de Lake Formation en un recurso híbrido - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Convertir un recurso de Lake Formation en un recurso híbrido

En los casos en los que esté utilizando permisos de Lake Formation para sus bases de datos y tablas del Catálogo de datos, puede editar las propiedades de registro de la ubicación para activar el modo de acceso híbrido. Esto le permite proporcionar a los nuevos directores acceso a los mismos recursos mediante políticas de IAM permisos y AWS Glue acciones para Amazon S3 sin interrumpir los permisos existentes de Lake Formation.

Descripción del escenario: en los siguientes pasos se asume que tiene una ubicación de datos registrada en Lake Formation y que ha configurado permisos para entidades principales en bases de datos, tablas o columnas que apuntan a esa ubicación. Si la ubicación se registró con un rol vinculado a un servicio, no podrá actualizar los parámetros de ubicación ni habilitar el modo de acceso híbrido. De forma predeterminada, el grupo IAMAllowedPrincipals tiene permisos Super sobre la base de datos y todas sus tablas.

importante

No actualice el registro de una ubicación al modo de acceso híbrido sin optar por los principales que acceden a los datos de esta ubicación.

Activación del modo de acceso híbrido para una ubicación de datos registrada en Lake Formation
  1. aviso

    No recomendamos convertir una ubicación de datos gestionada por Lake Formation en un modo de acceso híbrido para evitar interrumpir las políticas de permisos de otros usuarios o cargas de trabajo existentes.

    Opte por las entidades principales existentes que tengan permisos de Lake Formation.

    1. Recopile y revise los permisos que ha concedido a las entidades principales sobre las bases de datos y las tablas. Para obtener más información, consulte Consulta de los permisos de bases de datos y tablas en Lake Formation.

    2. Elija el modo de acceso Híbrido en Permisos de la barra de navegación izquierda y seleccione Añadir.

    3. En la página Añadir entidades principales y recursos, elija las bases de datos y las tablas de la ubicación de datos de Amazon S3 que desee utilizar en el modo de acceso híbrido. Elija las entidades principales que ya tienen permisos de Lake Formation.

    4. Elija Añadir para optar a que las entidades principales utilicen los permisos de Lake Formation en el modo de acceso híbrido.

  2. Actualice el registro del bucket o prefijo de Amazon S3 seleccionando la opción de modo de acceso Híbrido.

    Console

    1. Inicie sesión en la consola de Lake Formation como administrador del lago de datos.

    2. En el panel de navegación, vaya a Registrar e ingerir y seleccione las ubicaciones de los lagos de datos.

    3. Seleccione una ubicación y, en el menú Acciones, seleccione Editar.

    4. Elija Modo de acceso híbrido.

    5. Seleccione Guardar.

    6. En el Catálogo de datos, seleccione la base de datos o tabla y conceda permisos Super o All al grupo virtual denominado IAMAllowedPrincipals.

    7. Compruebe que el acceso de sus usuarios actuales de Lake Formation no se interrumpa al actualizar las propiedades de registro de la ubicación. Inicie sesión en la consola de Athena como entidad principal de Lake Formation y ejecute una consulta de ejemplo en una tabla que apunte a la ubicación actualizada.

      Del mismo modo, compruebe el acceso de AWS Glue los usuarios que utilizan políticas de IAM permisos para acceder a la base de datos y las tablas.

    AWS CLI

    El siguiente es un ejemplo para registrar una ubicación de datos con Lake Formation HybridAccessEnabled con:true/false. El valor predeterminado para el parámetro HybridAccessEnabled es false. Sustituya la ruta, el nombre del rol y el identificador de AWS cuenta de Amazon S3 por valores válidos.

    aws lakeformation update-resource --cli-input-json file://file path
json:
{
    "ResourceArn": "arn:aws:s3:::<s3-path>",
    "RoleArn": "arn:aws:iam::<123456789012>:role/<test>",
    "HybridAccessEnabled": true
}