Registrazione di un motore di query di terze parti

Prima che un motore di query di terze parti possa utilizzare le API operazioni di integrazione delle applicazioni, è necessario abilitare esplicitamente le autorizzazioni affinché il motore di query richiami API le operazioni per conto dell'utente. Questa operazione viene eseguita in pochi passaggi:

È necessario specificare AWS gli account e i tag di IAM sessione che richiedono l'autorizzazione per chiamare le API operazioni di integrazione dell'applicazione tramite AWS Lake Formation console, AWS CLI oAPI/SDK.
Quando il motore di query di terze parti assume il ruolo di esecuzione nel tuo account, il motore di query deve allegare un tag di sessione registrato presso Lake Formation che rappresenta il motore di terze parti. Lake Formation utilizza questo tag per verificare che la richiesta provenga da un motore approvato. Per ulteriori informazioni sui tag di sessione, consulta Tag di sessione nella Guida per l'IAMutente.

Quando si configura un ruolo di esecuzione del motore di query di terze parti, nella IAM policy è necessario disporre del seguente set minimo di autorizzazioni:


{
  "Version": "2012-10-17",
  "Statement": {"Effect": "Allow",
    "Action": [
      "lakeformation:GetDataAccess",      
      "glue:GetTable",
      "glue:GetTables",
      "glue:GetDatabase",
      "glue:GetDatabases",
      "glue:CreateDatabase",
      "glue:GetUserDefinedFunction",
      "glue:GetUserDefinedFunctions",
      "glue:GetPartition",
      "glue:GetPartitions"
    ],
    "Resource": "*"
  }
}

Imposta una politica di attendibilità dei ruoli sul ruolo di esecuzione del motore di query per avere un controllo di accesso preciso su quale coppia chiave-valore del tag di sessione può essere associata a questo ruolo. Nell'esempio seguente, a questo ruolo è consentito associare solo la chiave del tag di sessione "LakeFormationAuthorizedCaller" e il valore "engine1" del tag di sessione e non è consentita nessun'altra coppia di valori chiave del tag di sessione.
```
{
    "Sid": "AllowPassSessionTags",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/query-execution-role"
    },
    "Action": "sts:TagSession",
    "Condition": {
    "StringLike": {
        "aws:RequestTag/LakeFormationAuthorizedCaller": "engine1"        }
    }
}
```

Quando si LakeFormationAuthorizedCaller chiama l'AssumeRole APIoperazioneSTS: per recuperare le credenziali da utilizzare dal motore di query, il tag di sessione deve essere incluso nella AssumeRole richiesta. La credenziale temporanea restituita può essere utilizzata per creare Lake Formation APIrichieste di integrazione delle applicazioni.

Lake Formation APIle operazioni di integrazione delle applicazioni richiedono che il principale chiamante sia un IAM ruolo. Il IAM ruolo deve includere un tag di sessione con un valore predeterminato che è stato registrato con Lake Formation. Questo tag consente Lake Formation per verificare che il ruolo utilizzato per chiamare le API operazioni di integrazione dell'applicazione sia autorizzato a farlo.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Lake Formation flusso di lavoro per le operazioni di integrazione delle applicazioni API

Abilitazione delle autorizzazioni per un motore di query di terze parti per richiamare le operazioni di integrazione delle API applicazioni