As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
DataZone Integração da Amazon com o modo híbrido AWS Lake Formation
A Amazon DataZone está integrada ao modo híbrido AWS Lake Formation. Essa integração permite que você publique e compartilhe facilmente suas tabelas AWS Glue na Amazon DataZone sem a necessidade de registrá-las primeiro no AWS Lake Formation. O modo híbrido permite que você comece a gerenciar permissões em suas tabelas AWS Glue por meio do AWS Lake Formation enquanto continua mantendo todas IAM as permissões existentes nessas tabelas.
Para começar, você pode ativar a configuração de registro de localização de dados sob o DefaultDataLakeesquema no console de DataZone gerenciamento da Amazon.
Habilite a integração com o modo híbrido AWS Lake Formation
-
Navegue até o DataZone console da Amazon em https://console.aws.amazon.com/datazone
e faça login com as credenciais da sua conta. -
Escolha Exibir domínios e escolha o domínio em que você deseja habilitar a integração com o modo híbrido AWS Lake Formation.
-
Na página de detalhes do domínio, navegue até a guia Esquemas.
-
Na lista Blueprints, escolha o DefaultDataLakeblueprint.
-
Certifique-se de que o DefaultDataLake blueprint esteja ativado. Se não estiver ativado, siga as etapas em Habilitar esquemas integrados na conta da AWS que possui o domínio Amazon DataZone para habilitá-lo em sua conta da AWS .
-
Na página de DefaultDataLake detalhes, abra a guia Provisionamento e escolha o botão Editar no canto superior direito da página.
-
Em Registro de localização de dados, marque a caixa para habilitar o registro de localização de dados.
-
Para a função de gerenciamento de localização de dados, você pode criar uma nova IAM função ou selecionar uma IAM função existente. A Amazon DataZone usa essa função para gerenciar o acesso de leitura/gravação ao (s) bucket (s) Amazon S3 escolhido (s) para Data Lake usando o modo de acesso híbrido Lake AWS Formation. Para obter mais informações, consulte AmazonDataZone<region>S3 Manage- - <domainId>.
-
Opcionalmente, você pode optar por excluir determinados locais do Amazon S3 se não quiser que a DataZone Amazon os registre automaticamente no modo híbrido. Para fazer isso, conclua as etapas a seguir:
-
Escolha o botão de alternância para excluir locais específicos do Amazon S3.
-
Forneça o bucket URI do Amazon S3 que você deseja excluir.
-
Para adicionar mais buckets, escolha Adicionar localização do S3.
nota
A Amazon DataZone só permite excluir uma localização raiz do S3. Qualquer localização do S3 dentro do caminho de uma localização raiz do S3 será automaticamente excluída do registro.
-
Escolha Salvar alterações.
-
Depois de habilitar a configuração de registro de localização de dados em sua AWS conta, quando um consumidor de dados se inscrever em uma tabela AWS Glue gerenciada por meio de IAM permissões, a Amazon primeiro DataZone registrará as localizações dessa tabela no Amazon S3 no modo híbrido e, em seguida, concederá acesso ao consumidor de dados gerenciando as permissões na tabela por meio do Lake AWS Formation. Isso garante que IAM as permissões na tabela continuem existindo com as permissões recém-concedidas do AWS Lake Formation, sem interromper os fluxos de trabalho existentes.
Como lidar com locais criptografados do Amazon S3 ao habilitar a integração do modo híbrido AWS Lake Formation na Amazon DataZone
Se você estiver usando uma localização do Amazon S3 criptografada com uma KMS chave gerenciada ou AWS gerenciada pelo cliente, a função AmazonDataZoneS3Manage deve ter a permissão para criptografar e descriptografar dados com a KMS chave, ou a política de chaves deve conceder permissões sobre a KMS chave da função.
Se sua localização no Amazon S3 estiver criptografada com uma chave AWS gerenciada, adicione a seguinte política em linha à função: AmazonDataZoneDataLocationManagement
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<AWS managed key ARN>" } ]
Se sua localização do Amazon S3 estiver criptografada com uma chave gerenciada pelo cliente, faça o seguinte:
-
Abra o AWS KMS console em https://console.aws.amazon.com/kms
e faça login como um usuário administrativo do AWS Identity and Access Management (IAM) ou como um usuário que pode modificar a política de chaves da KMS chave usada para criptografar o local. -
No painel de navegação, escolha Chaves gerenciadas pelo cliente e escolha o nome da KMS chave desejada.
-
Na página de detalhes da KMS chave, escolha a guia Política de chaves e, em seguida, siga um destes procedimentos para adicionar sua função personalizada ou a função vinculada ao serviço Lake Formation como usuário KMS chave:
-
Se a exibição padrão estiver sendo exibida (com as seções Administradores de chaves, Exclusão de chaves, Usuários principais e Outras AWS contas), na seção Usuários principais, adicione a AmazonDataZoneDataLocationManagementfunção.
-
Se a política de chave (JSON) estiver sendo exibida — edite a política para adicionar uma AmazonDataZoneDataLocationManagementfunção ao objeto “Permitir o uso da chave”, conforme mostrado no exemplo a seguir
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
nota
Se a KMS chave ou a localização do Amazon S3 não estiverem na mesma AWS conta do catálogo de dados, siga as instruções em Registro de uma localização criptografada do Amazon S3 em todas as contas. AWS
