As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
DataZone Integração da Amazon com o modo híbrido AWS Lake Formation
A Amazon DataZone está integrada ao modo híbrido AWS Lake Formation. Essa integração permite que você publique e compartilhe facilmente suas tabelas AWS Glue na Amazon DataZone sem a necessidade de registrá-las primeiro no AWS Lake Formation. O modo híbrido permite que você comece a gerenciar as permissões em suas tabelas do AWS Glue por meio do AWS Lake Formation e, ao mesmo tempo, continue mantendo todas as permissões existentes do IAM nessas tabelas.
Para começar, você pode ativar a configuração de registro de localização de dados sob o DefaultDataLakeesquema no console de DataZone gerenciamento da Amazon.
Habilite a integração com o modo híbrido AWS Lake Formation
-
Navegue até o DataZone console da Amazon em https://console.aws.amazon.com/datazone
e faça login com as credenciais da sua conta. -
Escolha Exibir domínios e escolha o domínio em que você deseja habilitar a integração com o modo híbrido AWS Lake Formation.
-
Na página de detalhes do domínio, navegue até a guia Esquemas.
-
Na lista Blueprints, escolha o DefaultDataLakeblueprint.
-
Certifique-se de que o DefaultDataLake blueprint esteja ativado. Se não estiver ativado, siga as etapas em Habilite esquemas integrados na AWS conta que possui o domínio da Amazon DataZone para habilitá-lo em sua conta da AWS .
-
Na página de DefaultDataLake detalhes, abra a guia Provisionamento e escolha o botão Editar no canto superior direito da página.
-
Em Registro de localização de dados, marque a caixa para habilitar o registro de localização de dados.
-
Para o perfil de gerenciamento de localização de dados, você pode criar um novo perfil do IAM ou selecionar um perfil existente do IAM. A Amazon DataZone usa essa função para gerenciar o acesso de leitura/gravação ao (s) bucket (s) Amazon S3 escolhido (s) para Data Lake usando o modo de acesso híbrido Lake AWS Formation. Para obter mais informações, consulte AmazonDataZone<region>S3 Manage- - <domainId>.
-
Opcionalmente, você pode optar por excluir determinados locais do Amazon S3 se não quiser que a DataZone Amazon os registre automaticamente no modo híbrido. Para fazer isso, conclua as etapas a seguir:
-
Escolha o botão de alternância para excluir locais específicos do Amazon S3.
-
Forneça o URI do bucket do Amazon S3 que você deseja excluir.
-
Para adicionar mais buckets, escolha Adicionar localização do S3.
nota
A Amazon DataZone só permite excluir uma localização raiz do S3. Qualquer localização do S3 dentro do caminho de uma localização raiz do S3 será automaticamente excluída do registro.
-
Escolha Salvar alterações.
-
Depois de ativar a configuração de registro de localização de dados em sua AWS conta, quando um consumidor de dados se inscrever em uma tabela AWS Glue gerenciada por meio de permissões do IAM, a Amazon primeiro DataZone registrará as localizações dessa tabela no Amazon S3 no modo híbrido e, em seguida, concederá acesso ao consumidor de dados gerenciando as permissões na tabela por meio do Lake AWS Formation. Isso garante que as permissões do IAM na tabela continuem existindo com as permissões recém-concedidas do AWS Lake Formation, sem interromper os fluxos de trabalho existentes.
Como lidar com locais criptografados do Amazon S3 ao habilitar a integração do modo híbrido AWS Lake Formation na Amazon DataZone
Se você estiver usando uma localização do Amazon S3 criptografada com uma chave KMS gerenciada ou AWS gerenciada pelo cliente, a função AmazonDataZoneS3Manage deve ter a permissão para criptografar e descriptografar dados com a chave KMS, ou a política da chave KMS deve conceder permissões sobre a chave da função.
Se sua localização no Amazon S3 estiver criptografada com uma chave AWS gerenciada, adicione a seguinte política em linha à função: AmazonDataZoneDataLocationManagement
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<AWS managed key ARN>" } ]
Se sua localização do Amazon S3 estiver criptografada com uma chave gerenciada pelo cliente, faça o seguinte:
-
Abra o console AWS KMS em https://console.aws.amazon.com/kms
e faça login como um usuário administrativo do AWS Identity and Access Management (IAM) ou como um usuário que pode modificar a política de chaves da chave KMS usada para criptografar o local. -
No painel de navegação, selecione Chaves gerenciadas pelo cliente e selecione o nome da chave do KMS desejada.
-
Na página de detalhes da chave KMS, escolha a guia Política de chaves e, em seguida, faça o seguinte para adicionar sua função personalizada ou a função vinculada ao serviço Lake Formation como usuário da chave KMS:
-
Se a exibição padrão estiver sendo exibida (com as seções Administradores de chaves, Exclusão de chaves, Usuários principais e Outras AWS contas), na seção Usuários principais, adicione a AmazonDataZoneDataLocationManagementfunção.
-
Se a política de chaves (JSON) estiver sendo exibida, edite a política para adicionar uma AmazonDataZoneDataLocationManagementfunção ao objeto “Permitir o uso da chave”, conforme mostrado no exemplo a seguir
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
nota
Se a chave KMS ou a localização do Amazon S3 não estiverem na AWS mesma conta do catálogo de dados, siga as instruções em Registro de uma localização criptografada do Amazon S3 em todas as contas. AWS
