Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous devez spécifier un rôle AWS Identity and Access Management (IAM) lorsque vous enregistrez un emplacement Amazon Simple Storage Service (Amazon S3). Lake Formation assume ce rôle lorsqu'elle accorde des informations d'identification temporaires aux AWS services intégrés qui accèdent aux données à cet endroit.
Important
Évitez d'enregistrer un compartiment Amazon S3 sur lequel les paiements par les demandeurs sont activés. Pour les buckets enregistrés auprès de Lake Formation, le rôle utilisé pour enregistrer le bucket est toujours considéré comme le demandeur. Si un autre AWS compte accède au bucket, l'accès aux données est facturé au propriétaire du bucket si le rôle appartient au même compte que le propriétaire du bucket.
Vous pouvez utiliser la AWS Lake Formation console, Lake Formation API ou AWS Command Line Interface (AWS CLI) pour enregistrer une position Amazon S3.
Avant de commencer
Passez en revue les exigences relatives au rôle utilisé pour enregistrer l'emplacement.
Pour enregistrer un emplacement (console)
Important
Les procédures suivantes supposent que le site Amazon S3 se trouve dans le même AWS compte que le catalogue de données et que les données du site ne sont pas chiffrées. Les autres sections de ce chapitre traitent de l'enregistrement entre comptes et de l'enregistrement des emplacements chiffrés.
-
Ouvrez la AWS Lake Formation console à l'adresse https://console.aws.amazon.com/lakeformation/
. Connectez-vous en tant qu'administrateur du lac de données ou en tant qu'utilisateur lakeformation:RegisterResource
IAM autorisé. -
Dans le volet de navigation, sous Administration, sélectionnez Data lake locations.
-
Choisissez Register location, puis Browse pour sélectionner un chemin Amazon Simple Storage Service (Amazon S3).
-
(Facultatif, mais fortement recommandé) Sélectionnez Vérifier les autorisations de localisation pour afficher la liste de toutes les ressources existantes dans l'emplacement Amazon S3 sélectionné et leurs autorisations.
L'enregistrement de l'emplacement sélectionné peut permettre aux utilisateurs de votre Lake Formation d'accéder aux données déjà présentes à cet emplacement. La consultation de cette liste vous permet de garantir la sécurité des données existantes.
-
Pour IAMle rôle, choisissez le rôle
AWSServiceRoleForLakeFormationDataAccess
lié au service (par défaut) ou un IAM rôle personnalisé répondant aux exigences de. Exigences relatives aux rôles utilisés pour enregistrer des sitesVous pouvez mettre à jour un emplacement enregistré ou d'autres informations uniquement lorsque vous l'enregistrez à l'aide d'un IAM rôle personnalisé. Pour modifier un point de vente enregistré à l'aide d'un rôle lié à un service, vous devez le désenregistrer, puis l'enregistrer à nouveau.
Choisissez l'option Enable Data Catalog Federation pour autoriser Lake Formation à assumer un rôle et à vendre des informations d'identification temporaires aux AWS services intégrés afin d'accéder aux tables des bases de données fédérées. Si un emplacement est enregistré auprès de Lake Formation et que vous souhaitez utiliser le même emplacement pour une table dans une base de données fédérée, vous devez enregistrer le même emplacement à l'aide de l'option Enable Data Catalog Federation.
-
Choisissez le mode d'accès hybride pour ne pas activer les autorisations de Lake Formation par défaut. Lorsque vous enregistrez l'emplacement Amazon S3 en mode d'accès hybride, vous pouvez activer les autorisations de Lake Formation en optant pour les principes pour les bases de données et les tables situées sous cet emplacement.
Pour plus d'informations sur la configuration du mode d'accès hybride, consultezMode d'accès hybride.
-
Sélectionnez Enregistrer l'emplacement.
Pour enregistrer un point de vente (AWS CLI)
-
Enregistrez un nouvel emplacement avec Lake Formation
Cet exemple utilise un rôle lié à un service pour enregistrer l'emplacement. Vous pouvez plutôt utiliser l'
--role-arn
argument pour indiquer votre propre rôle.Remplacez
<s3-path>
avec un chemin Amazon S3 valide, un numéro de compte associé à un AWS compte valide, et<s3-access-role>
avec un IAM rôle autorisé à enregistrer un emplacement de données.Note
Vous ne pouvez pas modifier les propriétés d'un point de vente enregistré s'il est enregistré à l'aide d'un rôle lié à un service.
aws lakeformation register-resource \ --resource-arn arn:aws:s3:::
<s3-path>
\ --use-service-linked-roleL'exemple suivant utilise un rôle personnalisé pour enregistrer l'emplacement.
aws lakeformation register-resource \ --resource-arn arn:aws:s3:::
<s3-path>
\ --role-arn arn:aws:iam::<123456789012>
:role/<s3-access-role>
-
Pour mettre à jour une position enregistrée auprès de Lake Formation
Vous ne pouvez modifier un emplacement enregistré que s'il est enregistré à l'aide d'un IAM rôle personnalisé. Pour un emplacement enregistré avec un rôle lié à un service, vous devez le désenregistrer et l'enregistrer à nouveau. Pour de plus amples informations, veuillez consulter Annulation de l'enregistrement d'un site Amazon S3.
aws lakeformation update-resource \ --role-arn arn:aws:iam::
<123456789012>
:role/<s3-access-role>
\ --resource-arn arn:aws:s3:::<s3-path>
aws lakeformation update-resource \ --resource-arn arn:aws:s3:::
<s3-path>
\ --use-service-linked-role -
Enregistrer un emplacement de données en mode d'accès hybride avec fédération
aws lakeformation register-resource \ --resource-arn arn:aws:s3:::
<s3-path>
\ --role-arn arn:aws:iam::<123456789012>
:role/<s3-access-role>
\ --hybrid-access-enabledaws lakeformation register-resource \ --resource-arn arn:aws:s3:::
<s3-path>
\ --role-arn arn:aws:iam::<123456789012>
:role/<s3-access-role>
\ --with-federationaws lakeformation update-resource \ --resource-arn arn:aws:s3:::
<s3-path>
\ --role-arn arn:aws:iam::<123456789012>
:role/<s3-access-role>
\ --hybrid-access-enabled
Pour plus d'informations, consultez la section RegisterResourceAPIFonctionnement.
Note
Une fois que vous avez enregistré un emplacement Amazon S3, toute AWS Glue table pointant vers cet emplacement (ou l'un de ses emplacements enfants) renvoie la valeur du IsRegisteredWithLakeFormation
paramètre comme true
dans l'GetTable
appel. Il existe une limite connue selon laquelle les API opérations du catalogue de données, telles que GetTables
la mise à jour ou non de la valeur du IsRegisteredWithLakeFormation
paramètre, renvoient la valeur par défaut, qui est fausse. SearchTables
Il est recommandé d'utiliser le GetTable
API pour afficher la valeur correcte du IsRegisteredWithLakeFormation
paramètre.