Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Registro de una ubicación cifrada de Amazon S3
Lake Formation se integra con AWS Key Management Service (AWS KMS) para permitirle configurar más fácilmente otros servicios integrados para cifrar y descifrar datos en ubicaciones de Amazon Simple Storage Service (Amazon S3).
Ambos son gestionados por el cliente AWS KMS keys y Claves administradas por AWS cuentan con soporte. Actualmente, el cifrado/descifrado del lado del cliente solo es compatible con Athena.
Debe especificar un rol AWS Identity and Access Management (IAM) al registrar una ubicación de Amazon S3. En el caso de las ubicaciones cifradas de Amazon S3, el rol debe tener permiso para cifrar y descifrar datos con el AWS KMS key, o la política de KMS claves debe conceder permisos sobre la clave del rol.
importante
Evite registrar un bucket de Amazon S3 que tenga activada la opción El solicitante paga. Para los buckets registrados en Lake Formation, el rol utilizado para registrar el bucket se considera siempre como el solicitante. Si otra AWS cuenta accede al depósito, se le cobrará al propietario del depósito por el acceso a los datos si el rol pertenece a la misma cuenta que el propietario del depósito.
La forma más sencilla de registrar la localización es utilizar el rol vinculado al servicio Lake Formation. Este rol concede los permisos de lectura y escritura necesarios sobre la ubicación. También puede usar un rol personalizado para registrar la ubicación, siempre que cumpla con los requisitos de Requisitos de los roles utilizados para registrar ubicaciones.
importante
Si ha utilizado una Clave administrada de AWS para cifrar la ubicación de Amazon S3, no puede utilizar la función vinculada al servicio Lake Formation. Debe usar un rol personalizado y añadir IAM permisos a la clave del rol. Los detalles se proporcionan más adelante en esta sección.
Los siguientes procedimientos explican cómo registrar una ubicación de Amazon S3 cifrada con una clave administrada por el cliente o una Clave administrada de AWS.
Antes de empezar
Revise los requisitos del rol utilizado para registrar la ubicación.
Para registrar una ubicación de Amazon S3 cifrada con una clave administrada por el cliente
nota
Si la KMS clave o la ubicación de Amazon S3 no están en la misma AWS cuenta que el catálogo de datos, siga las instrucciones que se indican en Registro de una ubicación cifrada de Amazon S3 entre cuentas AWS su lugar.
-
Abra la AWS KMS consola en https://console.aws.amazon.com/kms
e inicie sesión como AWS Identity and Access Management (IAM) usuario administrativo o como usuario que puede modificar la política de claves de la KMS clave utilizada para cifrar la ubicación. -
En el panel de navegación, elija Claves administradas por el cliente y, a continuación, elija el nombre de la clave deseadaKMS.
-
En la página de detalles KMS clave, elija la pestaña Política clave y, a continuación, realice una de las siguientes acciones para añadir su función personalizada o la función vinculada al servicio Lake Formation como usuario KMS clave:
-
Si se muestra la vista predeterminada (con las secciones Administradores clave, Eliminación de claves, Usuarios clave y Otras AWS cuentas), en la sección Usuarios clave, agregue su rol personalizado o el rol vinculado al servicio Lake Formation.
AWSServiceRoleForLakeFormationDataAccess -
Si aparece la política clave (JSON): edite la política para añadir su función personalizada o la función vinculada al servicio Lake Formation
AWSServiceRoleForLakeFormationDataAccessal objeto «Permitir el uso de la clave», como se muestra en el siguiente ejemplo.nota
Si falta ese objeto, agréguelo con los permisos que se muestran en el ejemplo. El ejemplo utiliza el rol vinculado al servicio.
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
-
Abre la AWS Lake Formation consola en. https://console.aws.amazon.com/lakeformation/
Inicie sesión como administrador del lago de datos o como usuario con el lakeformation:RegisterResourceIAM permiso. -
En el panel de navegación, bajo Administración, seleccione Ubicaciones de los lagos de datos.
-
Elija Registrar ubicación y, a continuación, seleccione Examinar para seleccionar una ruta de Amazon Simple Storage Service (Amazon S3).
-
(Opcional, pero muy recomendable) Seleccione Revisar permisos de ubicación para ver una lista de todos los recursos existentes en la ubicación de Amazon S3 seleccionada y sus permisos.
El registro de la ubicación seleccionada podría dar lugar a que sus usuarios de Lake Formation accedan a los datos que ya se encuentran en esa ubicación. Revisar esta lista ayuda a garantizar que los datos existentes permanecen seguros.
-
Para el IAMrol, elija el rol
AWSServiceRoleForLakeFormationDataAccessvinculado al servicio (el predeterminado) o el rol personalizado que cumpla con el. Requisitos de los roles utilizados para registrar ubicaciones -
Seleccione Registrar ubicación.
Para obtener más información sobre el rol vinculado a servicios, consulte Permisos de rol vinculados al servicio para Lake Formation.
Para registrar una ubicación de Amazon S3 cifrada con un Clave administrada de AWS
importante
Si la ubicación de Amazon S3 no está en la misma AWS cuenta que el catálogo de datos, siga las instrucciones que se indican en Registro de una ubicación cifrada de Amazon S3 entre cuentas AWS su lugar.
-
Cree un IAM rol para usarlo para registrar la ubicación. Asegúrese de que cumple los requisitos que figuran en Requisitos de los roles utilizados para registrar ubicaciones.
-
Añada la siguiente política insertada al rol. Concede permisos sobre la clave al rol. La
Resourceespecificación debe designar el nombre del recurso de Amazon (ARN) del Clave administrada de AWS. Puede obtenerlo ARN desde la AWS KMS consola. Para obtener la información correctaARN, asegúrese de iniciar sesión en la AWS KMS consola con la misma AWS cuenta y región Clave administrada de AWS que utilizó para cifrar la ubicación.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<Clave administrada de AWS ARN>" } ] } -
Abra la AWS Lake Formation consola en. https://console.aws.amazon.com/lakeformation/
Inicie sesión como administrador del lago de datos o como usuario con el lakeformation:RegisterResourceIAM permiso. -
En el panel de navegación, bajo Administración, seleccione Ubicaciones de los lagos de datos.
-
Elija Registrar ubicación y, a continuación, seleccione Examinar para seleccionar una ruta de Amazon S3.
-
(Opcional, pero muy recomendable) Seleccione Revisar permisos de ubicación para ver una lista de todos los recursos existentes en la ubicación de Amazon S3 seleccionada y sus permisos.
El registro de la ubicación seleccionada podría dar lugar a que sus usuarios de Lake Formation accedan a los datos que ya se encuentran en esa ubicación. Revisar esta lista ayuda a garantizar que los datos existentes permanecen seguros.
-
Para el IAMrol, elija el rol que creó en el paso 1.
-
Seleccione Registrar ubicación.
