Cara menangani lokasi Amazon S3 terenkripsi saat mengaktifkan integrasi mode hybrid AWS Lake Formation di Amazon DataZone

DataZone Integrasi Amazon dengan mode hybrid AWS Lake Formation

Amazon DataZone terintegrasi dengan mode hybrid AWS Lake Formation. Integrasi ini memungkinkan Anda untuk dengan mudah mempublikasikan dan membagikan tabel AWS Glue Anda melalui Amazon DataZone tanpa perlu mendaftarkannya di AWS Lake Formation terlebih dahulu. Mode hibrida memungkinkan Anda untuk mulai mengelola izin pada tabel AWS Glue Anda melalui AWS Lake Formation sambil terus mempertahankan IAM izin yang ada pada tabel ini.

Untuk memulai, Anda dapat mengaktifkan pengaturan pendaftaran lokasi data di bawah DefaultDataLakecetak biru di konsol manajemen Amazon DataZone.

Aktifkan integrasi dengan mode hybrid AWS Lake Formation

Arahkan ke DataZone konsol Amazon di https://console.aws.amazon.com/datazone dan masuk dengan kredensi akun Anda.
Pilih Lihat domain dan pilih domain tempat Anda ingin mengaktifkan integrasi dengan mode hibrida AWS Lake Formation.
Pada halaman detail domain, navigasikan ke tab Blueprints.
Dari daftar Blueprints, pilih cetak biru. DefaultDataLake
Pastikan DefaultDataLake cetak biru diaktifkan. Jika tidak diaktifkan, ikuti langkah-langkah Aktifkan cetak biru bawaan di AWS akun yang memiliki domain Amazon DataZone untuk mengaktifkannya di AWS Akun Anda.
Pada halaman DefaultDataLake detail, buka tab Penyediaan dan pilih tombol Edit di sudut kanan atas halaman.
Di bawah Pendaftaran lokasi data, centang kotak untuk mengaktifkan pendaftaran lokasi data.
Untuk peran manajemen lokasi data, Anda dapat membuat IAM peran baru atau memilih IAM peran yang ada. Amazon DataZone menggunakan peran ini untuk mengelola akses baca/tulis ke bucket Amazon S3 yang dipilih untuk Data Lake menggunakan mode akses hybrid Lake AWS Formation. Untuk informasi selengkapnya, lihat AmazonDataZone<region>S3Kelola- -< > domainId.
Secara opsional, Anda dapat memilih untuk mengecualikan lokasi Amazon S3 tertentu jika Anda tidak ingin DataZone Amazon mendaftarkannya secara otomatis dalam mode hybrid. Untuk ini, selesaikan langkah-langkah berikut:
- Pilih tombol sakelar untuk mengecualikan lokasi Amazon S3 yang ditentukan.
- Berikan bucket Amazon S3 yang ingin Anda kecualikan. URI
- Untuk menambahkan bucket tambahan, pilih Tambahkan lokasi S3.
  
  catatan
  Amazon DataZone hanya mengizinkan mengecualikan lokasi root S3. Setiap lokasi S3 dalam jalur lokasi root S3 akan secara otomatis dikecualikan dari pendaftaran.
- Pilih Simpan perubahan.

Setelah Anda mengaktifkan setelan pendaftaran lokasi data di AWS akun Anda, ketika konsumen data berlangganan tabel AWS Glue yang dikelola melalui IAM izin, Amazon DataZone akan terlebih dahulu mendaftarkan lokasi Amazon S3 tabel ini dalam mode hybrid, dan kemudian memberikan akses ke konsumen data dengan mengelola izin pada tabel melalui Lake Formation. AWS Ini memastikan bahwa IAM izin pada tabel terus ada dengan izin AWS Lake Formation yang baru diberikan, tanpa mengganggu alur kerja yang ada.

Cara menangani lokasi Amazon S3 terenkripsi saat mengaktifkan integrasi mode hybrid AWS Lake Formation di Amazon DataZone

Jika Anda menggunakan lokasi Amazon S3 yang dienkripsi dengan KMS kunci yang AWS dikelola atau Dikelola Pelanggan, peran AmazonDataZoneS3Manage harus memiliki izin untuk mengenkripsi dan mendekripsi data dengan kunci tersebut, atau kebijakan KMS kunci harus memberikan izin pada KMS kunci peran tersebut.

Jika lokasi Amazon S3 Anda dienkripsi dengan kunci AWS terkelola, tambahkan kebijakan sebaris berikut ke peran: AmazonDataZoneDataLocationManagement



   {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "<AWS managed key ARN>"
    }
  ]

Jika lokasi Amazon S3 Anda dienkripsi dengan kunci yang dikelola pelanggan, lakukan hal berikut:

Buka AWS KMS konsol di https://console.aws.amazon.com/kms dan masuk sebagai pengguna administratif AWS Identity and Access Management (IAM) atau sebagai pengguna yang dapat memodifikasi kebijakan kunci kunci yang digunakan untuk mengenkripsi lokasi. KMS
Di panel navigasi, pilih Kunci yang dikelola pelanggan, lalu pilih nama KMS kunci yang diinginkan.

Pada halaman detail KMS utama, pilih tab Kebijakan kunci, lalu lakukan salah satu hal berikut untuk menambahkan peran kustom Anda atau peran terkait layanan Lake Formation sebagai pengguna KMS utama:

Jika tampilan default ditampilkan (dengan Administrator kunci, Penghapusan kunci, Pengguna kunci, dan bagian AWS Akun lainnya) — di bawah bagian Pengguna kunci, tambahkan peran. AmazonDataZoneDataLocationManagement

Jika kebijakan kunci (JSON) ditampilkan — edit kebijakan untuk menambahkan AmazonDataZoneDataLocationManagementperan ke objek “Izinkan penggunaan kunci,” seperti yang ditunjukkan pada contoh berikut



...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>",
                    "arn:aws:iam::111122223333:user/keyuser"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...

catatan

Jika KMS kunci atau lokasi Amazon S3 tidak berada di AWS akun yang sama dengan katalog data, ikuti petunjuk di Mendaftarkan lokasi Amazon S3 terenkripsi di seluruh akun. AWS

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Konfigurasikan izin Lake Formation untuk Amazon DataZone

Buat jenis aset khusus