Registrando uma localização do Amazon S3 - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registrando uma localização do Amazon S3

Você deve especificar uma função AWS Identity and Access Management (IAM) ao registrar uma localização do Amazon Simple Storage Service (Amazon S3). O Lake Formation assume essa função quando concede credenciais temporárias a AWS serviços integrados que acessam os dados naquele local.

Importante

Evite registrar um bucket do Amazon S3 que tenha o Solicitante paga ativado. Para buckets registrados no Lake Formation, a função usada para registrar o bucket é sempre vista como solicitante. Se o bucket for acessado por outra AWS conta, o proprietário do bucket será cobrado pelo acesso aos dados se a função pertencer à mesma conta do proprietário do bucket.

Você pode usar o AWS Lake Formation console, Lake Formation API ou AWS Command Line Interface (AWS CLI) para registrar uma localização no Amazon S3.

Antes de começar

Analise os requisitos da função usada para registrar o local.

Para registrar uma localização (console)
Importante

Os procedimentos a seguir pressupõem que a localização do Amazon S3 esteja na mesma AWS conta do Catálogo de Dados e que os dados na localização não estejam criptografados. Outras seções deste capítulo abrangem o registro de várias contas e o registro de locais criptografados.

  1. Abra o AWS Lake Formation console em https://console.aws.amazon.com/lakeformation/. Faça login como administrador do data lake ou como usuário com a lakeformation:RegisterResource IAM permissão.

  2. No painel de navegação, em Administração, selecione Locais do Data Lake.

  3. Escolha Registrar localização e, em seguida, escolha Procurar para selecionar um caminho do Amazon Simple Storage Service (Amazon S3).

  4. (Opcional, mas altamente recomendado) Selecione Revisar permissões de local para ver uma lista de todos os recursos existentes no local selecionado do Amazon S3 e as permissões.

    Registrar o local selecionado pode fazer com que seus usuários do Lake Formation tenham acesso aos dados que já estão nesse local. A visualização dessa lista ajuda a garantir que os dados existentes permaneçam seguros.

  5. Para IAMfunção, escolha a função AWSServiceRoleForLakeFormationDataAccess vinculada ao serviço (a padrão) ou uma IAM função personalizada que atenda aos requisitos em. Requisitos para funções usadas para registrar locais

    Você pode atualizar um local registrado ou outros detalhes somente ao registrá-lo usando um IAM papel personalizado. Para editar um local registrado usando um perfil vinculado ao serviço, é necessário cancelar o registro do local e registrá-lo novamente.

  6. Escolha a opção Ativar Federação do Catálogo de Dados para permitir que o Lake Formation assuma uma função e forneça credenciais temporárias aos AWS serviços integrados para acessar tabelas em bancos de dados federados. Se um local estiver registrado no Lake Formation e você quiser usar o mesmo local para uma tabela em um banco de dados federado, será necessário registrar o mesmo local com a opção Habilitar federação do catálogo de dados.

  7. Escolha o Modo de acesso híbrido para não ativar as permissões do Lake Formation por padrão. Ao registrar o local do Amazon S3 no modo de acesso híbrido, você pode habilitar as permissões do Lake Formation optando por entidades principais para bancos de dados e tabelas nesse local.


    Para obter mais informações sobre como configurar o modo de acesso híbrido, consulte Modo de acesso híbrido.

  8. Selecione Registrar local.

Para registrar um local (AWS CLI)
  1. Registrar o novo local no Lake Formation

    Este exemplo usa um perfil vinculado ao serviço para registrar o local. Em vez disso, você pode usar o argumento --role-arn para fornecer sua própria função.

    Substituir <s3-path> com um caminho válido do Amazon S3, número da conta com uma AWS conta válida e <s3-access-role> com uma IAM função que tem permissões para registrar um local de dados.

    nota

    Não será possível editar propriedades de um local registrado se ele estiver registrado usando um perfil vinculado ao serviço.

    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --use-service-linked-role

    O exemplo a seguir usa um perfil personalizado para registrar o local.

    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role>
  2. Como atualizar o local registrado no Lake Formation

    Você pode editar um local registrado somente se ele estiver registrado usando um IAM papel personalizado. Para um local registrado com um perfil vinculado ao serviço, é necessário cancelar o registro do local e registrá-lo novamente. Para obter mais informações, consulte Cancelar o registro de uma localização do Amazon S3.

    aws lakeformation update-resource \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role>\ --resource-arn arn:aws:s3:::<s3-path>
    aws lakeformation update-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --use-service-linked-role
  3. Registrar um local de dados no modo de acesso híbrido com federação
    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \ --hybrid-access-enabled
    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \ --with-federation
    aws lakeformation update-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \ --hybrid-access-enabled

Para obter mais informações, consulte RegisterResourceAPIoperação.

nota

Depois de registrar uma localização no Amazon S3, qualquer AWS Glue tabela apontando para a localização (ou qualquer uma de suas localizações secundárias) retornará o valor do IsRegisteredWithLakeFormation parâmetro como true na GetTable chamada. Há uma limitação conhecida de que API as operações do Catálogo de Dados, como GetTables e SearchTables não atualizem o valor do IsRegisteredWithLakeFormation parâmetro, retornem o padrão, que é falso. É recomendável usar o GetTable API para visualizar o valor correto para o IsRegisteredWithLakeFormation parâmetro.