将 Lake Formation 资源转换为混合资源 - AWS Lake Formation

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Lake Formation 资源转换为混合资源

如果您当前正对数据目录数据库和表使用 Lake Formation 权限,则可以编辑位置注册属性以启用混合访问模式。这样,您就可以在不中断现有 Lake Formation 权限的情况下使用适用于 Amazon S3 的 IAM 权限策略和 AWS Glue 操作为新的委托人提供对相同资源的访问权限。

场景描述 - 以下步骤假定您已在 Lake Formation 中注册了一个数据位置,并且您已为主体设置了对指向该位置的数据库、表或列的权限。如果该位置是通过服务相关角色注册的,则无法更新位置参数和启用混合访问模式。默认情况下,IAMAllowedPrincipals 组对数据库及其所有表拥有 Super 权限。

重要

如果不选择将访问该位置的数据的主体,请勿将位置注册更新为混合访问模式。

为在 Lake Formation 中注册的数据位置启用混合访问模式
  1. 警告

    我们不建议将 Lake Formation 托管式数据位置转换为混合访问模式,以免中断其它现有用户或工作负载的权限策略。

    选择拥有 Lake Formation 权限的现有主体。

    1. 列出并查看您授予主体的对数据库和表的权限。有关更多信息,请参阅 在 Lake Formation 中查看数据库和表权限

    2. 在左侧导航栏中的权限下选择混合访问模式,然后选择添加

    3. 添加主体和资源页面上,从 Amazon S3 数据位置中选择要在混合访问模式下使用的数据库和表。选择已经拥有 Lake Formation 权限的主体。

    4. 选择添加以选择要在混合访问模式下使用 Lake Formation 权限的主体。

  2. 通过选择混合访问模式选项来更新 Amazon S3 存储桶/前缀注册。

    Console

    1. 以数据湖管理员身份登录 Lake Formation 控制台。

    2. 在导航窗格中的注册和提取下,选择数据湖位置

    3. 选择一个位置,然后在操作菜单上选择编辑

    4. 选择混合访问模式

    5. 选择保存

    6. 在数据目录下,选择数据库或表,然后向名为 IAMAllowedPrincipals 的虚拟组授予 SuperAll 权限。

    7. 确认在更新位置注册属性时,您的现有 Lake Formation 用户的访问没有中断。以 Lake Formation 主体身份登录 Athena 控制台,然后对指向更新后位置的表运行示例查询。

      同样,验证使用 IAM 权限策略访问数据库和表的 AWS Glue 用户的访问权限。

    AWS CLI

    以下是使用:true/false 向 Lake Formation 注册数据位置的 HybridAccessEnabled示例。HybridAccessEnabled 参数的默认值为 false。将 Amazon S3 路径、角色名称和 AWS 账户 ID 替换为有效值。

    aws lakeformation update-resource --cli-input-json file://file path
json:
{
    "ResourceArn": "arn:aws:s3:::<s3-path>",
    "RoleArn": "arn:aws:iam::<123456789012>:role/<test>",
    "HybridAccessEnabled": true
}