Mode akses hibrid - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mode akses hibrid

AWS Lake Formation mode akses hybrid mendukung dua jalur izin ke AWS Glue Data Catalog database, tabel, dan tampilan yang sama.
 Di jalur pertama, Lake Formation memungkinkan Anda memilih prinsipal tertentu, dan memberi mereka izin Lake Formation untuk mengakses database dan tabel dengan ikut serta. Jalur kedua memungkinkan semua prinsipal lain untuk mengakses sumber daya ini melalui kebijakan IAM utama default untuk Amazon S3 dan tindakan. AWS Glue

Saat mendaftarkan lokasi Amazon S3 dengan Lake Formation, Anda memiliki opsi untuk menerapkan izin Lake Formation untuk semua sumber daya di lokasi ini atau menggunakan mode akses hybrid. Mode akses hybrid hanya memberlakukanCREATE_TABLE,CREATE_PARTITION, UPDATE_TABLE izin secara default. Saat lokasi Amazon S3 berada dalam mode hibrida, Anda dapat mengaktifkan izin Lake Formation dengan memilih prinsipal untuk database dan tabel di bawah lokasi tersebut.


Dengan demikian, mode akses hybrid memberikan fleksibilitas untuk mengaktifkan Lake Formation secara selektif untuk database dan tabel di Katalog Data Anda untuk kumpulan pengguna tertentu tanpa mengganggu akses untuk pengguna atau beban kerja lain yang ada.

Akun AWS architecture showing data flow between S3, Glue, Lake Formation, Athena, and IAM roles.

Untuk pertimbangan dan batasan, lihat Pertimbangan dan batasan mode akses hibrida .

Istilah dan definisi

Berikut adalah definisi sumber daya Katalog Data berdasarkan cara Anda mengatur izin akses:

Sumber daya Lake Formation

Sumber daya yang terdaftar di Lake Formation. Pengguna memerlukan izin Lake Formation untuk mengakses sumber daya.

AWS Glue sumber daya

Sumber daya yang tidak terdaftar di Lake Formation. Pengguna hanya memerlukan IAM izin untuk mengakses sumber daya karena memiliki izin IAMAllowedPrincipals grup. Izin Lake Formation tidak diberlakukan.

Untuk informasi selengkapnya tentang izin IAMAllowedPrincipals grup, lihatIzin metadata.

Sumber daya hibrida

Sumber daya yang terdaftar dalam mode akses hybrid. Berdasarkan pengguna yang mengakses sumber daya, sumber daya secara dinamis beralih antara menjadi sumber daya Lake Formation atau sumber daya. AWS Glue

Kasus penggunaan mode akses hybrid umum

Anda dapat menggunakan mode akses hybrid untuk menyediakan akses dalam skenario berbagi data akun tunggal dan lintas akun:

Skenario akun tunggal
  • Konversikan AWS Glue sumber daya menjadi sumber daya hibrida — Dalam skenario ini, saat ini Anda tidak menggunakan Lake Formation tetapi ingin mengadopsi izin Lake Formation untuk database dan tabel Katalog Data. Saat mendaftarkan lokasi Amazon S3 dalam mode akses hybrid, Anda dapat memberikan izin Lake Formation kepada pengguna yang memilih database dan tabel tertentu yang menunjuk ke lokasi tersebut.

  • Mengonversi sumber daya Lake Formation menjadi sumber daya hibrida — Saat ini, Anda menggunakan izin Lake Formation untuk mengontrol akses database Katalog Data tetapi ingin memberikan akses ke prinsipal baru menggunakan izin IAM untuk Amazon S3 dan AWS Glue tanpa mengganggu izin Lake Formation yang ada.

    Saat Anda memperbarui pendaftaran lokasi data ke mode akses hibrid, prinsipal baru dapat mengakses database Katalog Data yang menunjuk lokasi Amazon S3 menggunakan kebijakan izin tanpa mengganggu IAM izin Lake Formation pengguna yang ada.

    Sebelum memperbarui pendaftaran lokasi data untuk mengaktifkan mode akses hibrida, Anda harus terlebih dahulu memilih prinsipal yang saat ini mengakses sumber daya dengan izin Lake Formation.
 Ini untuk mencegah potensi gangguan pada alur kerja saat ini.
 Anda juga perlu memberikan Super izin pada tabel dalam database ke IAMAllowedPrincipal grup.

Skenario berbagi data lintas akun
  • Bagikan AWS Glue sumber daya menggunakan mode akses hibrid — Dalam skenario ini, akun produsen memiliki tabel dalam database yang saat ini dibagikan dengan akun konsumen menggunakan kebijakan IAM izin untuk Amazon S3 AWS Glue dan tindakan. Lokasi data database tidak terdaftar di Lake Formation.

    Sebelum mendaftarkan lokasi data dalam mode akses hybrid, Anda perlu memperbarui pengaturan versi Cross account ke versi 4. Versi 4 menyediakan kebijakan AWS RAM izin baru yang diperlukan untuk berbagi lintas akun ketika IAMAllowedPrincipal grup memiliki Super izin pada sumber daya. Untuk sumber daya dengan izin IAMAllowedPrincipal grup, Anda dapat memberikan izin Lake Formation ke akun eksternal dan memilihnya untuk menggunakan izin Lake Formation. Administrator data lake di akun penerima dapat memberikan izin Lake Formation kepada kepala sekolah di akun dan memilihnya untuk menerapkan izin Lake Formation.

  • Bagikan sumber daya Lake Formation menggunakan mode akses hybrid — Saat ini, akun produsen memiliki tabel dalam database yang dibagikan dengan akun konsumen yang memberlakukan izin Lake Formation. Lokasi data database terdaftar di Lake Formation.

    Dalam hal ini, Anda dapat memperbarui pendaftaran lokasi Amazon S3 ke mode akses hibrid, dan membagikan data dari Amazon S3 dan metadata dari Katalog Data menggunakan kebijakan bucket Amazon S3 dan kebijakan sumber daya Katalog Data ke prinsipal di akun konsumen. Anda perlu memberikan kembali izin Lake Formation yang ada dan memilih prinsipal sebelum memperbarui pendaftaran lokasi Amazon S3. Juga, Anda perlu memberikan Super izin pada tabel dalam database ke IAMAllowedPrincipals grup.