Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Registrazione di una posizione Amazon S3 crittografata
Lake Formation si integra con AWS Key Management Service(AWS KMS) per consentirti di configurare più facilmente altri servizi integrati per crittografare e decrittografare i dati nelle sedi Amazon Simple Storage Service (Amazon S3).
Entrambi sono gestiti dal cliente e sono supportati. AWS KMS keys Chiavi gestite da AWS Attualmente, la crittografia/decrittografia lato client è supportata solo con Athena.
È necessario specificare un ruolo AWS Identity and Access Management (IAM) quando si registra una sede Amazon S3. Per le sedi Amazon S3 crittografate, il ruolo deve disporre dell'autorizzazione per crittografare e decrittografare i dati con il AWS KMS key, oppure la policy KMS chiave deve concedere le autorizzazioni sulla chiave del ruolo.
Importante
Evita di registrare un bucket Amazon S3 con Requester pay abilitato. Per i bucket registrati con Lake Formation, il ruolo utilizzato per registrare il bucket viene sempre visualizzato come richiedente. Se al bucket si accede da un altro AWS account, al proprietario del bucket viene addebitato l'accesso ai dati se il ruolo appartiene allo stesso account del proprietario del bucket.
Il modo più semplice per registrare la sede è utilizzare il ruolo collegato al servizio Lake Formation. Questo ruolo concede le autorizzazioni di lettura/scrittura richieste sulla posizione. È inoltre possibile utilizzare un ruolo personalizzato per registrare la posizione, a condizione che soddisfi i requisiti di. Requisiti per i ruoli utilizzati per registrare le sedi
Importante
Se hai usato un Chiave gestita da AWS (aws/s3) per crittografare la posizione Amazon S3, non puoi utilizzare il ruolo collegato al servizio Lake Formation. È necessario utilizzare un ruolo personalizzato e aggiungere IAM le autorizzazioni sulla chiave del ruolo. I dettagli sono forniti più avanti in questa sezione.
Le seguenti procedure spiegano come registrare una posizione Amazon S3 crittografata con una chiave gestita dal cliente o un. Chiave gestita da AWS
Prima di iniziare
Esamina i requisiti per il ruolo utilizzato per registrare la sede.
Per registrare una posizione Amazon S3 crittografata con una chiave gestita dal cliente
Nota
Se la KMS chiave o la posizione Amazon S3 non si trovano nello stesso AWS account del Data Catalog, segui invece le istruzioni riportate inRegistrazione di una posizione Amazon S3 crittografata tra più account AWS.
-
Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms
e accedi come AWS Identity and Access Management (IAM) utente amministrativo o come utente che può modificare la politica chiave della KMS chiave utilizzata per crittografare la posizione. -
Nel riquadro di navigazione, scegli Customer managed keys, quindi scegli il nome della KMS chiave desiderata.
-
Nella pagina dei dettagli KMS chiave, scegli la scheda Politica chiave, quindi esegui una delle seguenti operazioni per aggiungere il tuo ruolo personalizzato o il ruolo collegato al servizio Lake Formation come utente KMS chiave:
-
Se viene visualizzata la visualizzazione predefinita (con le sezioni Amministratori chiave, Eliminazione chiavi, Utenti chiave e Altri AWS account), nella sezione Utenti chiave, aggiungi il tuo ruolo personalizzato o il ruolo collegato al servizio Lake Formation.
AWSServiceRoleForLakeFormationDataAccess -
Se viene visualizzata la policy chiave (JSON): modifica la politica per aggiungere il ruolo personalizzato o il ruolo collegato
AWSServiceRoleForLakeFormationDataAccessal servizio Lake Formation all'oggetto «Consenti l'uso della chiave», come mostrato nell'esempio seguente.Nota
Se quell'oggetto manca, aggiungilo con le autorizzazioni mostrate nell'esempio. L'esempio utilizza il ruolo collegato al servizio.
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
-
Apri la AWS Lake Formation console all'indirizzo. https://console.aws.amazon.com/lakeformation/
Accedi come amministratore del data lake o come utente con l' lakeformation:RegisterResourceIAMautorizzazione. -
Nel riquadro di navigazione, in Register and Ingest, scegli Data lake locations.
-
Scegli Registra posizione, quindi scegli Sfoglia per selezionare un percorso Amazon Simple Storage Service (Amazon S3).
-
(Facoltativo, ma fortemente consigliato) Scegli Rivedi le autorizzazioni della sede per visualizzare un elenco di tutte le risorse esistenti nella posizione Amazon S3 selezionata e le relative autorizzazioni.
La registrazione della località selezionata potrebbe consentire agli utenti di Lake Formation di accedere ai dati già presenti in quella posizione. La visualizzazione di questo elenco ti aiuta a garantire che i dati esistenti rimangano sicuri.
-
Per IAMil ruolo, scegli il ruolo
AWSServiceRoleForLakeFormationDataAccesscollegato al servizio (predefinito) o il ruolo personalizzato che soddisfa i. Requisiti per i ruoli utilizzati per registrare le sedi -
Scegli Registra posizione.
Per ulteriori informazioni sul ruolo collegato al servizio, consulta Autorizzazioni di ruolo collegate al servizio per Lake Formation.
Per registrare una posizione Amazon S3 crittografata con un Chiave gestita da AWS
Importante
Se la sede Amazon S3 non si trova nello stesso AWS account del Data Catalog, segui invece le istruzioni riportate inRegistrazione di una posizione Amazon S3 crittografata tra più account AWS.
-
Crea un IAM ruolo da utilizzare per registrare la posizione. Assicurati che soddisfi i requisiti elencati inRequisiti per i ruoli utilizzati per registrare le sedi.
-
Aggiungi la seguente politica in linea al ruolo. Concede le autorizzazioni sulla chiave del ruolo. La
Resourcespecifica deve indicare l'Amazon Resource Name (ARN) di Chiave gestita da AWS. Puoi ottenerlo ARN dalla AWS KMS console. Per ottenere la risposta correttaARN, assicurati di accedere alla AWS KMS console con lo stesso AWS account e la Chiave gestita da AWS stessa regione utilizzati per crittografare la posizione.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<Chiave gestita da AWS ARN>" } ] } -
Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/
. Accedi come amministratore del data lake o come utente con l' lakeformation:RegisterResourceIAMautorizzazione. -
Nel riquadro di navigazione, in Register and Ingest, scegli Data lake locations.
-
Scegli Registra posizione, quindi scegli Sfoglia per selezionare un percorso Amazon S3.
-
(Facoltativo, ma fortemente consigliato) Scegli Rivedi le autorizzazioni della sede per visualizzare un elenco di tutte le risorse esistenti nella posizione Amazon S3 selezionata e le relative autorizzazioni.
La registrazione della località selezionata potrebbe consentire agli utenti di Lake Formation di accedere ai dati già presenti in quella posizione. La visualizzazione di questo elenco ti aiuta a garantire che i dati esistenti rimangano sicuri.
-
Per IAMil ruolo, scegli il ruolo che hai creato nel passaggio 1.
-
Scegli la posizione di registrazione.
