Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
DataZone Intégration d'Amazon au mode hybride de AWS Lake Formation
Amazon DataZone est intégré au mode hybride AWS Lake Formation. Cette intégration vous permet de publier et de partager facilement vos tables AWS Glue via Amazon DataZone sans avoir à les enregistrer au préalable dans AWS Lake Formation. Le mode hybride vous permet de commencer à gérer les autorisations sur vos tables AWS Glue via AWS Lake Formation tout en conservant les autorisations IAM existantes sur ces tables.
Pour commencer, vous pouvez activer le paramètre d'enregistrement de l'emplacement des données dans le DefaultDataLakeplan de la console de DataZone gestion Amazon.
Permettre l'intégration avec AWS le mode hybride Lake Formation
-
Accédez à la DataZone console Amazon à l'adresse https://console.aws.amazon.com/datazone
et connectez-vous à l'aide des informations d'identification de votre compte. -
Choisissez Afficher les domaines et choisissez le domaine dans lequel vous souhaitez activer l'intégration avec le mode hybride AWS Lake Formation.
-
Sur la page des détails du domaine, accédez à l'onglet Blueprints.
-
Dans la liste des plans, choisissez le DefaultDataLakeplan.
-
Assurez-vous que le DefaultDataLake plan est activé. S'il n'est pas activé, suivez les étapes décrites Activez les plans intégrés dans le AWS compte propriétaire du domaine Amazon DataZone pour l'activer dans votre AWS compte.
-
Sur la page de DefaultDataLake détails, ouvrez l'onglet Provisioning et cliquez sur le bouton Modifier dans le coin supérieur droit de la page.
-
Sous Enregistrement de l'emplacement des données, cochez la case pour activer l'enregistrement de l'emplacement des données.
-
Pour le rôle de gestion de l'emplacement des données, vous pouvez créer un nouveau rôle IAM ou sélectionner un rôle IAM existant. Amazon DataZone utilise ce rôle pour gérer l'accès en lecture/écriture au ou aux compartiments Amazon S3 choisis pour Data Lake en utilisant le mode d'accès hybride AWS Lake Formation. Pour de plus amples informations, veuillez consulter AmazonDataZone<region>S3 Manage- - <domainId>.
-
Vous pouvez éventuellement choisir d'exclure certains sites Amazon S3 si vous ne souhaitez pas qu'Amazon DataZone les enregistre automatiquement en mode hybride. Pour cela, procédez comme suit :
-
Cliquez sur le bouton à bascule pour exclure les sites Amazon S3 spécifiés.
-
Indiquez l'URI du compartiment Amazon S3 que vous souhaitez exclure.
-
Pour ajouter des compartiments supplémentaires, choisissez Ajouter un emplacement S3.
Note
Amazon autorise DataZone uniquement l'exclusion d'un emplacement S3 racine. Tous les emplacements S3 situés sur le chemin d'un emplacement S3 racine seront automatiquement exclus de l'enregistrement.
-
Sélectionnez Enregistrer les modifications.
-
Une fois que vous avez activé le paramètre d'enregistrement de la localisation des données dans votre AWS compte, lorsqu'un consommateur de données s'abonne à une table AWS Glue gérée via des autorisations IAM, Amazon enregistre d'abord les emplacements Amazon S3 de cette table en mode hybride, puis accorde l'accès au consommateur de données en gérant les autorisations sur la table via AWS Lake Formation. DataZone Cela garantit que les autorisations IAM disponibles continuent d'exister avec les autorisations AWS Lake Formation récemment accordées, sans perturber les flux de travail existants.
Comment gérer les emplacements Amazon S3 chiffrés lors de l'activation de l'intégration du mode hybride de AWS Lake Formation dans Amazon DataZone
Si vous utilisez un emplacement Amazon S3 chiffré à l'aide d'une clé KMS AWS gérée par le client ou gérée par le client, le rôle AmazonDataZoneS3Manage doit être autorisé à chiffrer et à déchiffrer les données avec la clé KMS, ou la politique de clé KMS doit accorder des autorisations sur la clé du rôle.
Si votre position Amazon S3 est chiffrée à l'aide d'une clé AWS gérée, ajoutez la politique en ligne suivante au AmazonDataZoneDataLocationManagementrôle :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<AWS managed key ARN>" } ]
Si votre position Amazon S3 est chiffrée à l'aide d'une clé gérée par le client, procédez comme suit :
-
Ouvrez la console AWS KMS à l'https://console---aws.amazon.com.rproxy.goskope.comadresse /kms
et connectez-vous en tant qu'utilisateur administratif d' AWS Identity and Access Management (IAM) ou en tant qu'utilisateur habilité à modifier la politique de clé KMS utilisée pour chiffrer l'emplacement. -
Dans le volet de navigation, sélectionnez Clés gérées par le client, puis choisissez le nom de la clé KMS souhaitée.
-
Sur la page de détails des clés KMS, choisissez l'onglet Politique clé, puis effectuez l'une des opérations suivantes pour ajouter votre rôle personnalisé ou le rôle lié au service Lake Formation en tant qu'utilisateur clé KMS :
-
Si la vue par défaut s'affiche (avec les sections Administrateurs clés, Suppression des clés, Utilisateurs clés et Autres AWS comptes), dans la section Utilisateurs clés, ajoutez le AmazonDataZoneDataLocationManagementrôle.
-
Si la politique clé (JSON) s'affiche, modifiez la politique pour ajouter AmazonDataZoneDataLocationManagementun rôle à l'objet « Autoriser l'utilisation de la clé », comme indiqué dans l'exemple suivant
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
Note
Si la clé KMS ou l'emplacement Amazon S3 ne se trouvent pas dans le même AWS compte que le catalogue de données, suivez les instructions de la section Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes.
