Conversion d'une ressource de la Lake Formation en une ressource hybride - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conversion d'une ressource de la Lake Formation en une ressource hybride

Dans les cas où vous utilisez actuellement les autorisations Lake Formation pour les bases de données et les tables de votre catalogue de données, vous pouvez modifier les propriétés d'enregistrement des emplacements pour activer le mode d'accès hybride. Cela vous permet de fournir aux nouveaux principaux l'accès aux mêmes ressources en utilisant les politiques d'autorisation IAM pour Amazon S3 et les AWS Glue actions sans interrompre les autorisations Lake Formation existantes.

Description du scénario - Les étapes suivantes supposent que vous avez un emplacement de données enregistré auprès de Lake Formation et que vous avez défini des autorisations pour les principaux sur les bases de données, les tables ou les colonnes pointant vers cet emplacement. Si l'emplacement a été enregistré avec un rôle lié à un service, vous ne pouvez pas mettre à jour les paramètres de localisation et activer le mode d'accès hybride. Le IAMAllowedPrincipals groupe dispose par défaut de super autorisations sur la base de données et toutes ses tables.

Important

Ne mettez pas à jour l'enregistrement d'un emplacement en mode d'accès hybride sans avoir activé les principaux qui accèdent aux données dans cet emplacement.

Activation du mode d'accès hybride pour un emplacement de données enregistré auprès de Lake Formation
  1. Avertissement

    Nous ne recommandons pas de convertir un emplacement de données géré par Lake Formation en mode d'accès hybride pour éviter d'interrompre les politiques d'autorisation des autres utilisateurs ou charges de travail existants.

    Ajoutez les principaux existants qui ont les autorisations de Lake Formation.

    1. Répertoriez et passez en revue les autorisations que vous avez accordées aux principaux sur les bases de données et les tables. Pour de plus amples informations, veuillez consulter Affichage des autorisations de base de données et de tables dans Lake Formation.

    2. Choisissez le mode d'accès hybride sous Autorisations dans la barre de navigation de gauche, puis choisissez Ajouter.

    3. Sur la page Ajouter des principes et des ressources, choisissez les bases de données et les tables de l'emplacement de données Amazon S3 que vous souhaitez utiliser en mode d'accès hybride. Choisissez les principaux qui disposent déjà des autorisations de Lake Formation.

    4. Choisissez Ajouter pour activer les principes permettant d'utiliser les autorisations de Lake Formation en mode d'accès hybride.

  2. Mettez à jour l'enregistrement du bucket ou du préfixe Amazon S3 en choisissant l'option Mode d'accès hybride.

    Console

    1. Connectez-vous à la console Lake Formation en tant qu'administrateur du lac de données.

    2. Dans le volet de navigation, sous Enregistrer et ingérer, sélectionnez Data lake locations.

    3. Sélectionnez un emplacement, puis dans le menu Actions, choisissez Modifier.

    4. Choisissez le mode d'accès hybride.

    5. Choisissez Save (Enregistrer).

    6. Sous Catalogue de données, sélectionnez la base de données ou la table et accordez Super All des autorisations au groupe virtuel appeléIAMAllowedPrincipals.

    7. Vérifiez que l'accès de vos utilisateurs actuels de Lake Formation n'est pas interrompu lorsque vous avez mis à jour les propriétés d'enregistrement de la localisation. Connectez-vous à la console Athena en tant que responsable de Lake Formation et exécutez un exemple de requête sur une table pointant vers l'emplacement mis à jour.

      De même, vérifiez l'accès des AWS Glue utilisateurs qui utilisent les politiques d'autorisation IAM pour accéder à la base de données et aux tables.

    AWS CLI

    Voici un exemple d'enregistrement d'un emplacement de données auprès de Lake Formation HybridAccessEnabled avec:true/false. La valeur par défaut du HybridAccessEnabled paramètre est false. Remplacez le chemin, le nom du rôle et l'identifiant du AWS compte Amazon S3 par des valeurs valides.

    aws lakeformation update-resource --cli-input-json file://file path
json:
{
    "ResourceArn": "arn:aws:s3:::<s3-path>",
    "RoleArn": "arn:aws:iam::<123456789012>:role/<test>",
    "HybridAccessEnabled": true
}