As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Convertendo um AWS Glue recurso em um recurso híbrido
Siga estas etapas para registrar uma localização do Amazon S3 no modo de acesso híbrido e integrar novos usuários do Lake Formation sem interromper o acesso aos dados dos usuários existentes do catálogo de dados.
Descrição do cenário - A localização dos dados não está registrada no Lake Formation, e o acesso dos usuários ao banco de dados e às tabelas do catálogo de dados é determinado pelas políticas de IAM permissões do Amazon S3 AWS Glue e pelas ações.
Por padrão, o grupo IAMAllowedPrincipals tem permissões Super em todas as tabelas do banco de dados.
Para ativar o modo de acesso híbrido para um local de dados que não está registrado no Lake Formation
Registre um local do Amazon S3 para ativar o modo de acesso híbrido.
- Console
-
-
Faça login no console do Lake Formation como administrador do data lake.
No painel de navegação, escolha Localizações do data lake em Administração.
Escolha Registrar localizações.
-
Na janela Registrar localização, escolha o caminho do Amazon S3 que você deseja registrar no Lake Formation.
-
Para IAMfunção, escolha a função AWSServiceRoleForLakeFormationDataAccess vinculada ao serviço (a padrão) ou uma personalizada IAM função que atenda aos requisitos emRequisitos para funções usadas para registrar locais.
-
Escolha o Modo de acesso híbrido para aplicar políticas refinadas de controle de acesso do Lake Formation às entidades principais e bancos de dados e tabelas do catálogo de dados que apontam para a localização registrada.
Escolha Lake Formation para permitir que o Lake Formation autorize solicitações de acesso ao local registrado.
Escolha Registrar local.
- AWS CLI
-
Veja a seguir um exemplo para registrar uma localização de dados no Lake Formation HybridAccessEnabled com:true/false. O valor padrão do parâmetro HybridAccessEnabled é falso. Substitua o caminho, o nome da função e o ID da AWS conta do Amazon S3 por valores válidos.
aws lakeformation register-resource --cli-input-json file:file path
json:
{
"ResourceArn": "arn:aws:s3:::s3-path",
"UseServiceLinkedRole": false,
"RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
"HybridAccessEnabled": true
}
-
Conceda permissões e opte pelas entidades principais para usar as permissões do Lake Formation para recursos no modo de acesso híbrido
Antes de optar por entidades principais e recursos no modo de acesso híbrido, verifique se existem concessões Super ou permissões All para o grupo IAMAllowedPrincipals nos bancos de dados e tabelas que têm localização registrada no Lake Formation no modo de acesso híbrido.
Você não pode conceder ao grupo IAMAllowedPrincipals permissão para All
tables em um banco de dados. Você precisa selecionar cada tabela separadamente no menu suspenso e conceder permissões. Além disso, ao criar novas tabelas no banco de dados, você pode optar por usá-las Use only IAM access control for new tables
in new databases nas Configurações do Catálogo de Dados. Essa opção concede permissão Super ao grupo IAMAllowedPrincipals automaticamente quando você cria novas tabelas no banco de dados.
- Console
-
-
No console do Lake Formation, em catálogo de dados, escolha Bancos de dados ou Tabelas.
Selecione um banco de dados ou uma tabela na lista e escolha Conceder no menu Ações.
Escolha entidades principais para conceder permissões no banco de dados, tabelas e colunas usando o método de recurso nomeado ou tags do LF.
Como alternativa, escolha Permissões do data lake, selecione as entidades principais para conceder permissões na lista e escolha Conceder.
Para obter mais detalhes sobre a concessão de permissões de dados, consulte Concedendo permissões nos recursos do Catálogo de Dados.
Se você estiver concedendo a permissão Criar tabela a uma entidade principal, também precisará conceder permissões de localização de dados (DATA_LOCATION_ACCESS) à entidade principal. Essa permissão não é necessária para atualizar tabelas.
Para obter mais informações, consulte Conceder permissões de localização de dados.
-
Quando você usa o Método de recurso nomeado para conceder permissões, a opção de optar por entidades principais e recursos está disponível na seção inferior da página Conceder permissão de dados.
Escolha Tornar as permissões do Lake Formation efetivas imediatamente para habilitar as permissões do Lake Formation para as entidades principais e recursos.
Selecione Conceder.
Quando você opta pela entidade principal A na tabela A que está apontando para um local de dados, ela permite que a entidade principal A tenha acesso ao local dessa tabela usando as permissões do Lake Formation se o local dos dados estiver registrado no modo híbrido.
- AWS CLI
-
A seguir está um exemplo de como optar por uma entidade principal e uma tabela no modo de acesso híbrido. Substitua o nome da função, o ID da conta da AWS , o nome do banco de dados e o nome da tabela por valores válidos.
aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
json:
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
},
"Resource": {
"Table": {
"CatalogId": "<123456789012>",
"DatabaseName": "<hybrid_test>",
"Name": "<hybrid_test_table>"
}
}
}
-
Se você escolher tags do LF para conceder permissões, você pode optar por entidades principais para usar as permissões do Lake Formation em uma etapa separada. Você pode fazer isso escolhendo o Modo de acesso híbrido em Permissões na barra de navegação esquerda.
-
Na seção inferior da página do Modo de acesso híbrido, escolha Adicionar para adicionar recursos e entidades principais ao modo de acesso híbrido.
-
Na página Adicionar recursos e entidades principais, escolha os bancos de dados e tabelas registrados no modo de acesso híbrido. Escolha entidades principais para adotar o uso das permissões do Lake Formation no modo de acesso híbrido.
Você pode escolher All tables em um banco de dados para conceder acesso.
