Mode d'accès hybride - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mode d'accès hybride

AWS Lake Formation le mode d'accès hybride prend en charge deux voies d'autorisation vers les mêmes AWS Glue Data Catalog bases de données, tables et vues.
 Dans le premier parcours, Lake Formation vous permet de sélectionner des principes spécifiques et de leur accorder des autorisations Lake Formation pour accéder aux bases de données et aux tables en vous inscrivant. La deuxième voie permet à tous les autres principaux d'accéder à ces ressources via les politiques IAM principales par défaut pour Amazon S3 et AWS Glue les actions.

Lorsque vous enregistrez un site Amazon S3 auprès de Lake Formation, vous avez la possibilité d'appliquer les autorisations de Lake Formation à toutes les ressources de cet emplacement ou d'utiliser le mode d'accès hybride. Le mode d'accès hybride applique uniquement CREATE_TABLE CREATE_PARTITION les UPDATE_TABLE autorisations par défaut. Lorsqu'un site Amazon S3 est en mode hybride, vous pouvez activer les autorisations de Lake Formation en optant pour les principes pour les bases de données et les tables situées sous cet emplacement.


Ainsi, le mode d'accès hybride offre la flexibilité nécessaire pour activer Lake Formation de manière sélective pour les bases de données et les tables de votre catalogue de données pour un ensemble spécifique d'utilisateurs sans interrompre l'accès pour les autres utilisateurs ou charges de travail existants.

Compte AWS architecture showing data flow between S3, Glue, Lake Formation, Athena, and IAM roles.

Pour les considérations et les restrictions, consultez Considérations et limites relatives au mode d'accès hybride .

Termes et définitions

Voici les définitions des ressources du catalogue de données en fonction de la façon dont vous configurez les autorisations d'accès :

Ressource Lake Formation

Une ressource enregistrée auprès de Lake Formation. Les utilisateurs ont besoin des autorisations de Lake Formation pour accéder à la ressource.

AWS Glue ressource

Une ressource qui n'est pas enregistrée auprès de Lake Formation. Les utilisateurs n'ont besoin que d'IAMautorisations pour accéder à la ressource, car celle-ci dispose d'autorisations de IAMAllowedPrincipals groupe. Les autorisations de Lake Formation ne sont pas appliquées.

Pour plus d'informations sur les autorisations de IAMAllowedPrincipals groupe, consultezAutorisations relatives aux métadonnées.

Ressource hybride

Une ressource enregistrée en mode d'accès hybride. En fonction des utilisateurs accédant à la ressource, celle-ci passe de manière dynamique à une ressource de Lake Formation ou à une AWS Glue ressource.

Cas d'utilisation courants du mode d'accès hybride

Vous pouvez utiliser le mode d'accès hybride pour fournir un accès dans le cadre de scénarios de partage de données à compte unique ou entre comptes :

Scénarios de compte unique
  • Convertir une AWS Glue ressource en ressource hybride : dans ce scénario, vous n'utilisez pas actuellement Lake Formation, mais vous souhaitez adopter les autorisations Lake Formation pour les bases de données et les tables du catalogue de données. Lorsque vous enregistrez l'emplacement Amazon S3 en mode d'accès hybride, vous pouvez accorder des autorisations Lake Formation aux utilisateurs qui optent pour des bases de données et des tables spécifiques pointant vers cet emplacement.

  • Conversion d'une ressource Lake Formation en ressource hybride — Actuellement, vous utilisez les autorisations Lake Formation pour contrôler l'accès à une base de données de catalogue de données, mais vous souhaitez fournir l'accès à de nouveaux principaux en utilisant les IAM autorisations pour Amazon S3 et AWS Glue sans interrompre les autorisations Lake Formation existantes.

    Lorsque vous mettez à jour l'enregistrement d'un emplacement de données en mode d'accès hybride, les nouveaux principaux peuvent accéder à la base de données du catalogue de données pointant vers l'emplacement Amazon S3 en utilisant des politiques d'autorisation sans interrompre les IAM autorisations Lake Formation des utilisateurs existants.

    Avant de mettre à jour l'enregistrement de la localisation des données pour activer le mode d'accès hybride, vous devez d'abord activer les principaux qui accèdent actuellement à la ressource avec les autorisations de Lake Formation.
 Cela permet d'éviter toute interruption potentielle du flux de travail en cours.
 Vous devez également Super autoriser le IAMAllowedPrincipal groupe à accéder aux tables de la base de données.

Scénarios de partage de données entre comptes
  • Partagez AWS Glue des ressources à l'aide du mode d'accès hybride — Dans ce scénario, le compte du producteur possède des tables dans une base de données qui sont actuellement partagées avec un compte client conformément aux politiques d'IAMautorisation pour Amazon S3 et aux AWS Glue actions. L'emplacement des données de la base de données n'est pas enregistré auprès de Lake Formation.

    Avant d'enregistrer l'emplacement des données en mode d'accès hybride, vous devez mettre à jour les paramètres de version du compte Cross vers la version 4. La version 4 fournit les nouvelles politiques AWS RAM d'autorisation requises pour le partage entre comptes lorsque le IAMAllowedPrincipal groupe dispose d'une Super autorisation sur la ressource. Pour les ressources disposant d'autorisations de IAMAllowedPrincipal groupe, vous pouvez accorder des autorisations de Lake Formation à des comptes externes et les autoriser à utiliser les autorisations de Lake Formation. L'administrateur du lac de données du compte destinataire peut accorder des autorisations Lake Formation aux principaux du compte et les autoriser à appliquer les autorisations Lake Formation.

  • Partagez les ressources de Lake Formation en mode d'accès hybride — Actuellement, le compte producteur contient des tables dans une base de données qui sont partagées avec un compte consommateur appliquant les autorisations de Lake Formation. L'emplacement des données de la base de données est enregistré auprès de Lake Formation.

    Dans ce cas, vous pouvez mettre à jour l'enregistrement de l'emplacement Amazon S3 en mode d'accès hybride et partager les données d'Amazon S3 et les métadonnées de Data Catalog en utilisant les politiques de compartiment Amazon S3 et les politiques de ressources du catalogue de données avec les principaux du compte client. Vous devez réoctroyer les autorisations Lake Formation existantes et accepter les principales avant de mettre à jour l'enregistrement de la position Amazon S3. Vous devez également Super autoriser le IAMAllowedPrincipals groupe à accéder aux tables de la base de données.