Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
DataZone Integrazione di Amazon con la modalità ibrida AWS Lake Formation
Amazon DataZone è integrato con la modalità ibrida AWS Lake Formation. Questa integrazione ti consente di pubblicare e condividere facilmente le tue tabelle AWS Glue tramite Amazon DataZone senza la necessità di registrarle prima in AWS Lake Formation. La modalità ibrida ti consente di iniziare a gestire le autorizzazioni sulle tue tabelle AWS Glue tramite AWS Lake Formation continuando a mantenere le IAM autorizzazioni esistenti su queste tabelle.
Per iniziare, puoi abilitare l'impostazione di registrazione della posizione dei dati nel DefaultDataLakeblueprint nella console di DataZone gestione Amazon.
Abilita l'integrazione con la modalità ibrida AWS Lake Formation
-
Accedi alla DataZone console Amazon all'indirizzo https://console.aws.amazon.com/datazone
e accedi con le credenziali del tuo account. -
Scegli Visualizza domini e scegli il dominio in cui desideri abilitare l'integrazione con la modalità ibrida AWS Lake Formation.
-
Nella pagina dei dettagli del dominio, vai alla scheda Blueprints.
-
Dall'elenco Blueprint, scegli il DefaultDataLakeblueprint.
-
Assicurati che il DefaultDataLake blueprint sia abilitato. Se non è abilitato, segui i passaggi indicati Abilita i blueprint integrati in AWS account che possiede il DataZone dominio Amazon per abilitarlo nel tuo AWS account.
-
Nella pagina dei DefaultDataLake dettagli, apri la scheda Provisioning e scegli il pulsante Modifica nell'angolo in alto a destra della pagina.
-
In Registrazione della posizione dei dati, seleziona la casella per abilitare la registrazione della posizione dei dati.
-
Per il ruolo di gestione della posizione dei dati, puoi creare un nuovo IAM ruolo o selezionare un IAM ruolo esistente. Amazon DataZone utilizza questo ruolo per gestire l'accesso in lettura/scrittura ai bucket Amazon S3 scelti per Data Lake utilizzando la modalità di accesso ibrida Lake AWS Formation. Per ulteriori informazioni, consulta AmazonDataZone<region>Gestione S3- - <domainId>.
-
Facoltativamente, puoi scegliere di escludere determinate sedi Amazon S3 se non desideri che DataZone Amazon le registri automaticamente in modalità ibrida. A tal fine, completa i seguenti passaggi:
-
Scegli il pulsante di attivazione/disattivazione per escludere località Amazon S3 specificate.
-
Fornisci URI il bucket Amazon S3 che desideri escludere.
-
Per aggiungere altri bucket, scegli Aggiungi posizione S3.
Nota
Amazon consente DataZone solo l'esclusione di una posizione S3 root. Qualsiasi posizione S3 all'interno del percorso di una posizione S3 principale verrà automaticamente esclusa dalla registrazione.
-
Scegli Save changes (Salva modifiche).
-
Dopo aver abilitato l'impostazione di registrazione della posizione dei dati nel tuo AWS account, quando un consumatore di dati si iscrive a una tabella AWS Glue gestita tramite IAM autorizzazioni, Amazon DataZone registra prima le posizioni Amazon S3 di questa tabella in modalità ibrida, quindi concede l'accesso al consumatore di dati gestendo le autorizzazioni sulla tabella tramite Lake Formation. AWS Ciò garantisce che IAM le autorizzazioni sulla tabella continuino a esistere con le autorizzazioni di AWS Lake Formation appena concesse, senza interrompere i flussi di lavoro esistenti.
Come gestire le posizioni crittografate di Amazon S3 quando si abilita l'integrazione in modalità ibrida AWS Lake Formation in Amazon DataZone
Se utilizzi una posizione Amazon S3 crittografata con una KMS chiave gestita dal cliente o AWS gestita dal cliente, il ruolo AmazonDataZoneS3Manage deve avere l'autorizzazione a crittografare e decrittografare i dati con la KMS chiave, oppure la politica della chiave deve concedere le autorizzazioni sulla KMS chiave del ruolo.
Se la tua posizione Amazon S3 è crittografata con una chiave AWS gestita, aggiungi la seguente policy in linea al ruolo: AmazonDataZoneDataLocationManagement
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<AWS managed key ARN>" } ]
Se la tua posizione Amazon S3 è crittografata con una chiave gestita dal cliente, procedi come segue:
-
Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms
e accedi come utente amministrativo di AWS Identity and Access Management (IAM) o come utente che può modificare la politica chiave della KMS chiave utilizzata per crittografare la posizione. -
Nel riquadro di navigazione, scegli Chiavi gestite dal cliente, quindi scegli il nome della chiave desiderata. KMS
-
Nella pagina dei dettagli KMS chiave, scegli la scheda Politica chiave, quindi esegui una delle seguenti operazioni per aggiungere il tuo ruolo personalizzato o il ruolo collegato al servizio Lake Formation come utente KMS chiave:
-
Se viene visualizzata la visualizzazione predefinita (con le sezioni Amministratori chiave, Eliminazione delle chiavi, Utenti chiave e Altri AWS account), nella sezione Utenti chiave, aggiungi il ruolo. AmazonDataZoneDataLocationManagement
-
Se la chiave policy (JSON) è visualizzata, modificate la policy per aggiungere AmazonDataZoneDataLocationManagementun ruolo all'oggetto «Consenti l'uso della chiave», come mostrato nell'esempio seguente
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
Nota
Se la KMS chiave o la posizione Amazon S3 non si trovano nello stesso AWS account del catalogo dati, segui le istruzioni in Registrazione di una posizione Amazon S3 crittografata tra gli account. AWS
