Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggiornamento AWS Glue autorizzazioni dati per il modello AWS Lake Formation
AWS Lake Formation le autorizzazioni consentono un controllo granulare degli accessi per i dati nel data lake. Puoi utilizzare il modello di autorizzazioni Lake Formation per gestire AWS Glue Data Catalog gli oggetti e le posizioni dei dati esistenti in Amazon Simple Storage Service (Amazon S3).
Il modello di permessi di Lake Formation utilizza autorizzazioni coarse-grained AWS Identity and Access Management (IAM) per l'accesso al servizio. API Lake Formation utilizza la Filtraggio dei dati e sicurezza a livello di cella in Lake Formation funzionalità per limitare l'accesso alla tabella a livello di colonna, riga e cella per gli utenti e le relative applicazioni. In confronto, AWS Glue il modello garantisce l'accesso ai dati tramite IAMpolitiche basate sull'identità e sulle risorse.
Per effettuare il passaggio, segui i passaggi di questa guida.
Per ulteriori informazioni, consulta Panoramica delle autorizzazioni di Lake Formation .
Informazioni sulle autorizzazioni predefinite
Per mantenere la compatibilità con le versioni precedenti con AWS Glue, per impostazione predefinita, AWS Lake Formation concede l'Superautorizzazione al IAMAllowedPrincipals gruppo su tutti gli elementi esistenti AWS Glue Risorse Data Catalog e concede l'Superautorizzazione per le nuove risorse di Data Catalog se le impostazioni Usa solo il controllo degli IAM accessi sono abilitate. Ciò fa sì che l'accesso alle risorse di Data Catalog e alle sedi Amazon S3 sia controllato esclusivamente da AWS Identity and Access Management
(IAM) policy. Il IAMAllowedPrincipals gruppo include tutti IAM gli utenti e i ruoli a cui è consentito l'accesso agli oggetti del Data Catalog in base alle IAM policy dell'utente. L'Superautorizzazione consente a un principale di eseguire tutte le operazioni di Lake Formation supportate sul database o sulla tabella su cui è concessa.
Puoi iniziare a utilizzare Lake Formation per gestire l'accesso ai tuoi dati registrando le posizioni delle risorse Data Catalog esistenti in Lake Formation o utilizzando la modalità di accesso ibrida. Quando registri una posizione Amazon S3 in modalità di accesso ibrido, puoi abilitare le autorizzazioni Lake Formation optando per i principali database e tabelle in quella posizione.
Per facilitare la transizione delle autorizzazioni del data lake da un IAM modello Amazon S3 alle autorizzazioni Lake Formation, ti consigliamo di utilizzare la modalità di accesso ibrida per Data Catalog. Con la modalità di accesso ibrida, hai a disposizione un percorso incrementale in cui puoi abilitare le autorizzazioni di Lake Formation per un set specifico di utenti senza interrompere altri utenti o carichi di lavoro esistenti.
Per ulteriori informazioni, consulta Modalità di accesso ibrida.
Disabilita le impostazioni predefinite del Data Catalog per spostare tutti gli utenti esistenti di una tabella su Lake Formation in un unico passaggio.
Per iniziare a utilizzare le autorizzazioni di Lake Formation con le tue autorizzazioni esistenti AWS Glue Database e tabelle Data Catalog, devi fare quanto segue:
-
Determina le IAM autorizzazioni esistenti degli utenti per ogni database e tabella.
-
Replica queste autorizzazioni in Lake Formation.
-
Per ogni posizione Amazon S3 che contiene dati:
-
Revoca l'
Superautorizzazione delIAMAllowedPrincipalsgruppo su ogni risorsa del catalogo dati che fa riferimento a quella posizione. -
Registra la posizione con Lake Formation.
-
-
Pulisci le politiche di controllo degli accessi a grana fine esistenti. IAM
Importante
Per aggiungere nuovi utenti durante il processo di transizione del Data Catalog, devi configurare una configurazione granulare AWS Glue autorizzazioni come in precedenzaIAM. È inoltre necessario replicare tali autorizzazioni in Lake Formation come descritto in questa sezione. Se i nuovi utenti dispongono delle IAM politiche generiche descritte in questa guida, possono elencare tutti i database o le tabelle a cui è stata concessa l'autorizzazione. Super IAMAllowedPrincipals Possono anche visualizzare i metadati di tali risorse.
Segui i passaggi in questa sezione per eseguire l'aggiornamento al modello di autorizzazioni Lake Formation.
Argomenti
- Passaggio 1: Elenca le autorizzazioni esistenti di utenti e ruoli
- Fase 2: Impostare le autorizzazioni equivalenti di Lake Formation
- Passaggio 3: concedere agli utenti IAM le autorizzazioni per utilizzare Lake Formation
- Passaggio 4: Passa i tuoi archivi dati al modello di autorizzazioni Lake Formation
- Fase 5: Proteggi le nuove risorse del Data Catalog
- Fase 6: Offri agli utenti una nuova IAM policy per i futuri accessi ai data lake
- Fase 7: Ripulire IAM le politiche esistenti
Passaggio 1: Elenca le autorizzazioni esistenti di utenti e ruoli
Per iniziare a utilizzare AWS Lake Formation le autorizzazioni con le autorizzazioni esistenti AWS Glue database e tabelle, devi prima determinare le autorizzazioni esistenti degli utenti.
Importante
Prima di iniziare, assicurati di aver completato le attività in. Guida introduttiva a Lake Formation
Utilizzo dell'APIoperazione
Utilizzate l'ListPoliciesGrantingServiceAccessAPIoperazione AWS Identity and Access Management (IAM) per determinare le IAM politiche associate a ciascun principale (utente o ruolo). Dalle politiche restituite nei risultati, è possibile determinare le IAM autorizzazioni concesse al principale. È necessario richiamare il API per ogni principale separatamente.
L' AWS CLI esempio seguente restituisce le politiche allegate all'utenteglue_user1.
aws iam list-policies-granting-service-access --arn arn:aws:iam::111122223333:user/glue_user1 --service-namespaces glue
Il comando restituisce risultati simili ai seguenti.
{ "PoliciesGrantingServiceAccess": [ { "ServiceNamespace": "glue", "Policies": [ { "PolicyType": "INLINE", "PolicyName": "GlueUserBasic", "EntityName": "glue_user1", "EntityType": "USER" }, { "PolicyType": "MANAGED", "PolicyArn": "arn:aws:iam::aws:policy/AmazonAthenaFullAccess", "PolicyName": "AmazonAthenaFullAccess" } ] } ], "IsTruncated": false }
Utilizzando il AWS Management Console
Puoi anche visualizzare queste informazioni sulla console AWS Identity and Access Management (IAM), nella scheda Access Advisor nella pagina di riepilogo dell'utente o del ruolo:
Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione, selezionare Users (Utenti) o Roles (Ruoli).
-
Scegli un nome nell'elenco per aprire la relativa pagina di riepilogo e scegli la scheda Access Advisor.
-
Ispeziona ciascuna politica per determinare la combinazione di database, tabelle e azioni per cui ogni utente dispone delle autorizzazioni.
Ricorda di controllare i ruoli oltre agli utenti durante questo processo, perché i tuoi processi di elaborazione dei dati potrebbero assumere ruoli per accedere ai dati.
Usando AWS CloudTrail
Un altro modo per determinare le autorizzazioni esistenti consiste nel AWS CloudTrail cercare AWS Glue APIchiamate in cui il additionaleventdata campo dei log contiene una insufficientLakeFormationPermissions voce. Questa voce elenca il database e la tabella su cui l'utente necessita delle autorizzazioni di Lake Formation per eseguire la stessa azione.
Si tratta di registri di accesso ai dati, quindi non è garantito che producano un elenco completo degli utenti e delle relative autorizzazioni. Ti consigliamo di scegliere un ampio intervallo di tempo per registrare la maggior parte dei modelli di accesso ai dati degli utenti, ad esempio diverse settimane o mesi.
Per ulteriori informazioni, consulta Visualizzazione degli eventi con cronologia degli CloudTrail eventi nella Guida per l'AWS CloudTrail utente.
Successivamente, puoi impostare le autorizzazioni di Lake Formation in modo che corrispondano a AWS Glue autorizzazioni. Per informazioni, consulta Fase 2: Impostare le autorizzazioni equivalenti di Lake Formation.
Fase 2: Impostare le autorizzazioni equivalenti di Lake Formation
Utilizzando le informazioni raccolte inPassaggio 1: Elenca le autorizzazioni esistenti di utenti e ruoli, concedi AWS Lake Formation le autorizzazioni corrispondenti a AWS Glue autorizzazioni. Utilizzate uno dei seguenti metodi per eseguire le sovvenzioni:
-
Usa la console Lake Formation o il AWS CLI.
Per informazioni, consulta Concessione delle autorizzazioni per le risorse del Data Catalog.
-
Usa le
BatchGrantPermissionsAPI operazioniGrantPermissionso.Per informazioni, consulta Autorizzazioni APIs.
Per ulteriori informazioni, consulta Panoramica delle autorizzazioni di Lake Formation .
Dopo aver impostato le autorizzazioni di Lake Formation, procedi aPassaggio 3: concedere agli utenti IAM le autorizzazioni per utilizzare Lake Formation.
Passaggio 3: concedere agli utenti IAM le autorizzazioni per utilizzare Lake Formation
Per utilizzare il modello di AWS Lake Formation permessi, i principali devono avere i permessi AWS Identity and Access Management (IAM) su Lake Formation. APIs
Crea la seguente policy IAM e allegala a ogni utente che ha bisogno di accedere al tuo data lake. Assegnare un nome alla policy LakeFormationDataAccess.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccess", "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": "*" } ] }
Successivamente, esegui l'upgrade alle autorizzazioni di Lake Formation una posizione dati alla volta. Per informazioni, consulta Passaggio 4: Passa i tuoi archivi dati al modello di autorizzazioni Lake Formation.
Passaggio 4: Passa i tuoi archivi dati al modello di autorizzazioni Lake Formation
Passa alle autorizzazioni di Lake Formation una posizione dati alla volta. A tale scopo, ripeti l'intera sezione fino a registrare tutti i percorsi di Amazon Simple Storage Service (Amazon S3) a cui fa riferimento il tuo Data Catalog.
Argomenti
Verifica le autorizzazioni di Lake Formation
Prima di registrare una sede, esegui una procedura di verifica per assicurarti che i mandanti corretti dispongano delle autorizzazioni Lake Formation richieste e che non vengano concesse autorizzazioni Lake Formation ai mandanti che non dovrebbero averle. Utilizzando l'GetEffectivePermissionsForPathAPIoperazione Lake Formation, identifica le risorse del Data Catalog che fanno riferimento alla posizione Amazon S3, insieme ai responsabili che dispongono delle autorizzazioni su tali risorse.
L' AWS CLI esempio seguente restituisce i database e le tabelle del catalogo dati che fanno riferimento al bucket Amazon S3. products
aws lakeformation get-effective-permissions-for-path --resource-arn arn:aws:s3:::products --profile datalake_admin
Nota l'opzione. profile Ti consigliamo di eseguire il comando come amministratore del data lake.
Di seguito è riportato un estratto dei risultati restituiti.
{ "PermissionsWithGrantOption": [ "SELECT" ], "Resource": { "TableWithColumns": { "Name": "inventory_product", "ColumnWildcard": {}, "DatabaseName": "inventory" } }, "Permissions": [ "SELECT" ], "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1", "DataLakePrincipalType": "IAM_USER" } },...
Importante
Se le ricette di AWS Glue Data Catalog è crittografato, GetEffectivePermissionsForPath restituisce solo database e tabelle creati o modificati dopo la disponibilità generale di Lake Formation.
Proteggi le risorse del Data Catalog esistenti
Successivamente, revoca l'Superautorizzazione da IAMAllowedPrincipals ogni tabella e database che hai identificato per la posizione.
avvertimento
Se disponi di un'automazione che crea database e tabelle nel Data Catalog, i passaggi seguenti potrebbero causare il fallimento dei processi di automazione e di estrazione, trasformazione e caricamento (ETL) a valle. Procedi solo dopo aver modificato i processi esistenti o concesso autorizzazioni esplicite di Lake Formation ai responsabili richiesti. Per informazioni sulle autorizzazioni di Lake Formation, vedereRiferimento alle autorizzazioni di Lake Formation.
Per revocare un account Super da un tavolo IAMAllowedPrincipals
-
Apri la AWS Lake Formation console all'indirizzo. https://console.aws.amazon.com/lakeformation/
Accedi come amministratore del data lake. -
Nel pannello di navigazione, seleziona Tabelle.
-
Nella pagina Tabelle, seleziona il pulsante di opzione accanto alla tabella desiderata.
-
Nel menu Azioni, scegli Revoca.
-
Nella finestra di dialogo Revoca autorizzazioni, nell'elenco IAMutenti e ruoli, scorri verso il basso fino all'intestazione Gruppo e scegli. IAMAllowedPrincipals
-
Nella sezione Autorizzazioni della tabella, assicuratevi che Super sia selezionato, quindi scegliete Revoke.
Per effettuare una revoca da Super un database IAMAllowedPrincipals
-
Apri la AWS Lake Formation console all'indirizzo. https://console.aws.amazon.com/lakeformation/
Accedi come amministratore del data lake. -
Nel riquadro di navigazione, scegli Databases (Database).
-
Nella pagina Database, seleziona il pulsante di opzione accanto al database desiderato.
-
Nel menu Operazioni, scegliere Modifica.
-
Nella pagina Modifica database, deseleziona Usa solo il controllo di IAM accesso per le nuove tabelle in questo database, quindi scegli Salva.
-
Tornando alla pagina Database, assicuratevi che il database sia ancora selezionato, quindi nel menu Azioni, scegliete Revoca.
-
Nella finestra di dialogo Revoca autorizzazioni, nell'elenco IAMutenti e ruoli, scorri verso il basso fino all'intestazione Gruppo e scegli. IAMAllowedPrincipals
-
In Autorizzazioni del database, assicuratevi che Super sia selezionato, quindi scegliete Revoke.
Attiva le autorizzazioni di Lake Formation per la tua sede Amazon S3
Quindi, registra la sede Amazon S3 con Lake Formation. A tale scopo, puoi utilizzare la procedura descritta inAggiungere una posizione Amazon S3 al tuo data lake. In alternativa, utilizzare l'RegisterResourceAPIoperazione descritta inAPI di vendita di credenziali.
Nota
Se la sede di un genitore è registrata, non è necessario registrare le sedi dei figli.
Dopo aver completato questi passaggi e aver verificato che i tuoi utenti possano accedere ai propri dati, hai eseguito con successo l'upgrade alle autorizzazioni di Lake Formation. Continua con il passaggio successivo,. Fase 5: Proteggi le nuove risorse del Data Catalog
Fase 5: Proteggi le nuove risorse del Data Catalog
Successivamente, proteggi tutte le nuove risorse del Data Catalog modificando le impostazioni predefinite del Data Catalog. Disattiva le opzioni per utilizzare solo AWS Identity and Access Management (IAM) il controllo di accesso per nuovi database e tabelle.
avvertimento
Se disponi di un'automazione che crea database e tabelle nel Data Catalog, i passaggi seguenti potrebbero causare il fallimento dei processi di automazione e di estrazione, trasformazione e caricamento (ETL) a valle. Procedi solo dopo aver modificato i processi esistenti o concesso autorizzazioni esplicite di Lake Formation ai responsabili richiesti. Per informazioni sulle autorizzazioni di Lake Formation, vedereRiferimento alle autorizzazioni di Lake Formation.
Per modificare le impostazioni predefinite del Data Catalog
-
Apri la AWS Lake Formation console all'indirizzo https://console.aws.amazon.com/lakeformation/
. Accedi come utente IAM amministrativo (l'utente Administratoro un altro utente con la politicaAdministratorAccessAWS gestita). -
Nel pannello di navigazione scegli Impostazioni.
-
Nella pagina delle impostazioni del catalogo dati, deseleziona entrambe le caselle di controllo, quindi scegli Salva.
Il passaggio successivo consiste nel concedere agli utenti l'accesso a database o tabelle aggiuntivi in futuro. Per informazioni, consulta Fase 6: Offri agli utenti una nuova IAM policy per i futuri accessi ai data lake.
Fase 6: Offri agli utenti una nuova IAM policy per i futuri accessi ai data lake
Per concedere ai tuoi utenti l'accesso a database o tabelle di Data Catalog aggiuntivi in futuro, devi fornire loro la politica inline coarse-grained AWS Identity and Access Management (IAM) che segue. Assegnare un nome alla policy GlueFullReadAccess.
Importante
Se alleghi questa policy a un utente prima di revocarla Super IAMAllowedPrincipals su ogni database e tabella del tuo Data Catalog, quell'utente può visualizzare tutti i metadati di qualsiasi risorsa a cui è concesso. Super IAMAllowedPrincipals
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GlueFullReadAccess", "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "glue:GetTable", "glue:GetTables", "glue:SearchTables", "glue:GetDatabase", "glue:GetDatabases", "glue:GetPartitions" ], "Resource": "*" } ] }
Nota
Le politiche in linea indicate in questo passaggio e nei passaggi precedenti contengono autorizzazioni minime. IAM Per le policy suggerite per gli amministratori di data lake, gli analisti di dati e altri personaggi, consulta. Riferimento ai personaggi e alle IAM autorizzazioni di Lake Formation
Quindi, procedi a. Fase 7: Ripulire IAM le politiche esistenti
Fase 7: Ripulire IAM le politiche esistenti
Dopo aver configurato le AWS Lake Formation autorizzazioni e aver creato e allegato le politiche granulari di controllo degli accessi AWS Identity and Access Management (IAM), completa il seguente passaggio finale:
-
Rimuovi da utenti, gruppi e ruoli le vecchie IAM politiche di controllo degli accessi granulari che hai replicato in Lake Formation.
In questo modo, ti assicuri che tali responsabili non abbiano più accesso diretto ai dati in Amazon Simple Storage Service (Amazon S3). Puoi quindi gestire l'accesso al data lake per questi principali interamente tramite Lake Formation.
