Amazon 與 AWS Lake Formation 混合模式 DataZone 整合 - Amazon DataZone
在 Amazon 中啟用 Lake Formation 混合模式整合時,如何處理加密的 Amazon S3 位置 AWS DataZone

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 與 AWS Lake Formation 混合模式 DataZone 整合

Amazon DataZone 已與 AWS Lake Formation 混合模式整合。此整合可讓您透過 Amazon DataZone 輕鬆發佈和共用 AWS Glue 資料表,而無需先在 AWS Lake Formation 中註冊。混合模式可讓您透過 AWS Lake Formation 開始管理 AWS Glue 資料表的許可,同時繼續維護這些資料表上任何現有的IAM許可。

若要開始使用,您可以在 Amazon DataZone 管理主控台的DefaultDataLake藍圖下啟用資料位置註冊設定。

啟用與 AWS Lake Formation 混合模式的整合

  1. 導覽至位於 https://console.aws.amazon.com/datazone 的 Amazon DataZone 主控台,並使用您的帳戶憑證登入。

  2. 選擇檢視網域,然後選擇您要啟用與 AWS Lake Formation 混合模式整合的網域。

  3. 在網域詳細資訊頁面上,導覽至藍圖索引標籤。

  4. 藍圖清單中,選擇DefaultDataLake藍圖。

  5. 確定已啟用 DefaultDataLake 藍圖。如果未啟用,請依照 中的步驟啟用內建藍圖 AWS 擁有 Amazon DataZone 域名的帳戶在帳戶中 AWS 啟用。

  6. 在 DefaultDataLake 詳細資訊頁面上,開啟佈建索引標籤,然後選擇頁面右上角的編輯按鈕。

  7. 資料位置註冊 下,勾選方塊以啟用資料位置註冊。

  8. 對於資料位置管理角色,您可以建立新的IAM角色或選取現有IAM角色。Amazon DataZone 使用此角色來使用 AWS Lake Formation 混合存取模式,管理對所選 Amazon S3 儲存貯體的讀取/寫入存取權 (適用於 Data Lake)。如需詳細資訊,請參閱AmazonDataZoneS3Manage -<region>-<domainId>

  9. 或者,如果您不希望 Amazon 自動在混合模式下註冊特定 Amazon S3 位置 DataZone ,您可以選擇排除這些位置。為此,請完成下列步驟:

    • 選擇切換按鈕以排除指定的 Amazon S3 位置。

    • 提供您要排除URI的 Amazon S3 儲存貯體的 。

    • 若要新增其他儲存貯體,請選擇新增 S3 位置。

      注意

      Amazon DataZone 僅允許排除根 S3 位置。根 S3 位置路徑中的任何 S3 位置將自動從註冊中排除。

    • 選擇 Save changes (儲存變更)。

當您在 AWS 帳戶中啟用資料位置註冊設定後,當資料取用者訂閱透過IAM許可管理的 AWS Glue 資料表時,Amazon DataZone 會先以混合模式註冊此資料表的 Amazon S3 位置,然後透過 AWS Lake Formation 管理資料表上的許可,將存取權授予資料取用者。這可確保資料表上的IAM許可繼續存在,並具有新授予的 AWS Lake Formation 許可,而不會中斷任何現有的工作流程。

在 Amazon 中啟用 Lake Formation 混合模式整合時,如何處理加密的 Amazon S3 位置 AWS DataZone

如果您使用 Amazon S3 位置,並以客戶受管或 AWS 受管KMS金鑰加密,AmazonDataZoneS3Manage 角色必須具有使用KMS金鑰加密和解密資料的許可,或者KMS金鑰政策必須授予角色金鑰的許可。

如果您的 Amazon S3 位置使用 AWS 受管金鑰加密,請將下列內嵌政策新增至AmazonDataZoneDataLocationManagement角色:


   {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "<AWS managed key ARN>"
    }
  ]

如果您的 Amazon S3 位置使用客戶受管金鑰加密,請執行下列動作:

  1. 以 AWS KMS https://console.aws.amazon.com/kms 開啟主控台, AWS 並以 Identity and Access Management (IAM) 管理使用者或可修改用於加密位置之KMS金鑰的金鑰政策的使用者身分登入。

  2. 在導覽窗格中,選擇客戶受管金鑰 ,然後選擇所需KMS金鑰的名稱。

  3. 在KMS金鑰詳細資訊頁面上,選擇金鑰政策索引標籤,然後執行下列其中一個動作,將自訂角色或 Lake Formation 服務連結角色新增為KMS金鑰使用者:

    • 如果顯示預設檢視 (包含金鑰管理員、金鑰刪除、金鑰使用者和其他 AWS 帳戶區段) – 在金鑰使用者區段下新增AmazonDataZoneDataLocationManagement角色。

    • 如果顯示金鑰政策 (JSON) – 編輯政策以將AmazonDataZoneDataLocationManagement角色新增至物件「允許使用金鑰」,如下列範例所示

      
...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>",
                    "arn:aws:iam::111122223333:user/keyuser"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...
注意

如果KMS金鑰或 Amazon S3 位置不在與資料型錄相同的 AWS 帳戶中,請遵循跨 AWS 帳戶註冊加密的 Amazon S3 位置的指示。