Conversione di una AWS Glue risorsa in una risorsa ibrida - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Conversione di una AWS Glue risorsa in una risorsa ibrida

Segui questi passaggi per registrare una sede Amazon S3 in modalità di accesso ibrido e inserire nuovi utenti Lake Formation senza interrompere l'accesso ai dati degli utenti esistenti del Data Catalog.

Descrizione dello scenario: la posizione dei dati non è registrata con Lake Formation e l'accesso degli utenti al database e alle tabelle di Data Catalog è determinato dalle politiche di IAM autorizzazione per Amazon AWS Glue S3 e dalle azioni.
 Per impostazione predefinita, il IAMAllowedPrincipals gruppo dispone di Super autorizzazioni su tutte le tabelle del database.

Per abilitare la modalità di accesso ibrido per una posizione dati non registrata con Lake Formation
  1. Registra una posizione Amazon S3 abilitando la modalità di accesso ibrida.
    Console

    1. Accedi alla console Lake Formation come amministratore del data lake.

    2. Nel riquadro di navigazione, scegli Posizioni Data lake in Amministrazione.

    3. Scegli Registra posizione.

      Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.

    4. Nella finestra Registra posizione, scegli il percorso Amazon S3 che desideri registrare con Lake Formation.

    5. Per IAMil ruolo, scegli il ruolo AWSServiceRoleForLakeFormationDataAccess collegato al servizio (predefinito) o uno personalizzato IAM ruolo che soddisfa i requisiti di. Requisiti per i ruoli utilizzati per registrare le sedi

    6. Scegli la modalità di accesso ibrida per applicare politiche di controllo degli accessi granulari di Lake Formation ai principali opt-in e ai database e alle tabelle di Data Catalog che puntano alla posizione registrata.


      Scegli Lake Formation per consentire a Lake Formation di autorizzare le richieste di accesso alla posizione registrata.


    7. Scegli Registra posizione.

    AWS CLI

    Di seguito è riportato un esempio di registrazione di una posizione dati con Lake Formation HybridAccessEnabled con:true/false. Il valore predefinito per il parametro è false. HybridAccessEnabled Sostituisci il percorso, il nome del ruolo e l'ID AWS account di Amazon S3 con valori validi.

    aws lakeformation register-resource --cli-input-json file:file path
json:
    {
        "ResourceArn": "arn:aws:s3:::s3-path",
        "UseServiceLinkedRole": false,
        "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
        "HybridAccessEnabled": true
    }
  2. Concedi le autorizzazioni e attiva i principali per utilizzare le autorizzazioni di Lake Formation per le risorse in modalità di accesso ibrido

    Prima di attivare i principali e le risorse in modalità di accesso ibrido, verifica che la concessione Super o All le autorizzazioni al IAMAllowedPrincipals gruppo esistano sui database e sulle tabelle la cui posizione è registrata con Lake Formation in modalità di accesso ibrida.

    Nota

    Non puoi concedere l'autorizzazione al IAMAllowedPrincipals gruppo All tables all'interno di un database. È necessario selezionare ogni tabella separatamente dal menu a discesa e concedere le autorizzazioni. Inoltre, quando crei nuove tabelle nel database, puoi scegliere di utilizzarle Use only IAM access control for new tables in new databases nelle Impostazioni del catalogo dati. Questa opzione concede automaticamente l'Superautorizzazione al IAMAllowedPrincipals gruppo quando si creano nuove tabelle all'interno del database.

    Console

    1. Nella console Lake Formation, in Data Catalog, scegli Database o Tabelle.

    2. Seleziona un database o una tabella dall'elenco e scegli Concedi dal menu Azioni.

    3. Scegliete i principali per concedere le autorizzazioni sul database, sulle tabelle e sulle colonne utilizzando il metodo delle risorse denominate o i tag LF.

      In alternativa, scegli le autorizzazioni Data lake, seleziona i principali a cui concedere le autorizzazioni dall'elenco e scegli Concedi.

      Per maggiori dettagli sulla concessione delle autorizzazioni per i dati, consulta. Concessione delle autorizzazioni per le risorse del Data Catalog

      Nota

      Se concedi l'autorizzazione Create table a un principale, devi anche concedere le autorizzazioni per la localizzazione dei dati (DATA_LOCATION_ACCESS) al principale. Questa autorizzazione non è necessaria per aggiornare le tabelle.

      Per ulteriori informazioni, consulta Concessione delle autorizzazioni per la localizzazione dei dati.

    4. Quando si utilizza il metodo Named resource per concedere le autorizzazioni, l'opzione per attivare i principali e le risorse è disponibile nella sezione inferiore della pagina Concedi l'autorizzazione ai dati.

      Scegli Rendi immediatamente effettive le autorizzazioni di Lake Formation per abilitare le autorizzazioni di Lake Formation per i committenti e le risorse.

      Hybrid access mode settings with checkbox for immediate Lake Formation permissions enforcement.

    5. Scegli Concessione.

      Quando si attiva il principale A sulla tabella A che punta a una posizione dei dati, consente al principale A di accedere alla posizione di questa tabella utilizzando le autorizzazioni di Lake Formation se la posizione dei dati è registrata in modalità ibrida.

    AWS CLI

    Di seguito è riportato un esempio di attivazione di un principale e di una tabella in modalità di accesso ibrida. Sostituisci il nome del ruolo, l'id AWS dell'account, il nome del database e il nome della tabella con valori validi.

    aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
json:
  {
        "Principal": {
            "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
        },
        "Resource": {
            "Table": {
                "CatalogId": "<123456789012>",
                "DatabaseName": "<hybrid_test>",
                "Name": "<hybrid_test_table>"
            }
        }
    }

    1. Se scegli LF-Tags per concedere le autorizzazioni, puoi attivare i principali per utilizzare i permessi di Lake Formation in un passaggio separato. Puoi farlo scegliendo la modalità di accesso ibrido in Autorizzazioni nella barra di navigazione a sinistra.

    2. Nella sezione inferiore della pagina della modalità di accesso ibrida, scegli Aggiungi per aggiungere risorse e principali alla modalità di accesso ibrida.

    3. Nella pagina Aggiungi risorse e principali, scegli i database e le tabelle registrati in modalità di accesso ibrido. Scegli i principali a cui attivare l'utilizzo delle autorizzazioni di Lake Formation in modalità di accesso ibrida.

      Puoi scegliere All tables all'interno di un database per concedere l'accesso.

      Interface for adding resources and principals in hybrid access mode, showing database and table selection.