本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 從 Lake Formation 中的 JDBC 來源建立資料湖
本教學課程會引導您完成在 AWS Lake Formation 主控台上執行的步驟,以使用 Lake Formation 從 JDBC 來源建立和載入您的第一個資料湖。
**Topics**
+ [目標對象](#tut-personas)
+ [JDBC 教學課程先決條件](#tut-prereqs)
+ [步驟 1:建立資料分析師使用者](#tut-create-lf-user)
+ [步驟 2:在 中建立連線 AWS Glue](#tut-connection)
+ [步驟 3:為資料湖建立 Amazon S3 儲存貯體](#tut-create-bucket)
+ [步驟 4:註冊 Amazon S3 路徑](#tut-register)
+ [步驟 5:授予資料位置許可](#tut-data-location)
+ [步驟 6:在 Data Catalog 中建立資料庫](#tut-create-db)
+ [步驟 7:授予資料許可](#tut-grant-data-permissions)
+ [步驟 8:使用藍圖建立工作流程](#tut-create-workflow)
+ [步驟 9:執行工作流程](#tut-run-workflow)
+ [步驟 10:在資料表上授予 SELECT](#tut-grant-select)
+ [步驟 11:使用 查詢資料湖 Amazon Athena](#tut-query-athena)
+ [步驟 12:使用 Amazon Redshift Spectrum 查詢資料湖中的資料](#tut-query-redshift)
+ [步驟 13:使用 Amazon Redshift Spectrum 授予或撤銷 Lake Formation 許可](#getting-started-tutorial-grant-revoke-redshift)
## 目標對象
下表列出此 [AWS Lake Formation JDBC 教學](#getting-started-tutorial-jdbc)課程中使用的角色。
| Role | Description |
| --- | --- |
| IAM 管理員 | 可建立 AWS Identity and Access Management (IAM) 使用者和角色以及 Amazon Simple Storage Service (Amazon S3) 儲存貯體的使用者。具有 AdministratorAccess AWS 受管政策。 |
| 資料湖管理員 | 可以存取 Data Catalog、建立資料庫,以及將 Lake Formation 許可授予其他使用者的使用者。IAM 許可少於 IAM 管理員,但足以管理資料湖。 |
| 資料分析 | 可對資料湖執行查詢的使用者。僅有足夠許可來執行查詢。 |
| 工作流程角色 | 具有執行工作流程所需 IAM 政策的角色。 |
如需完成教學課程的先決條件資訊,請參閱 [JDBC 教學課程先決條件](#tut-prereqs)。
## JDBC 教學課程先決條件
開始 [AWS Lake Formation JDBC 教學](#getting-started-tutorial-jdbc)課程之前,請確定您已執行下列動作:
+ 完成 [Lake Formation 入門](getting-started-setup.md) 中的任務。
+ 決定您要用於教學課程的 JDBC 可存取資料存放區。
+ 收集建立 JDBC 類型AWS Glue連線所需的資訊。此 Data Catalog 物件包含資料存放區的 URL、登入憑證,以及如果資料存放區是在 Amazon Virtual Private Cloud (Amazon VPC) 中建立的,則為額外的 VPC 特定組態資訊。如需詳細資訊,請參閱《 *AWS Glue 開發人員指南*[》中的在AWS Glue資料目錄中定義連線](https://docs.aws.amazon.com/glue/latest/dg/populate-add-connection.html)。
本教學課程假設您熟悉 AWS Identity and Access Management (IAM)。如需 IAM 的相關資訊,請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。
若要開始使用,請繼續 [步驟 1:建立資料分析師使用者](#tut-create-lf-user)。
## 步驟 1:建立資料分析師使用者
在此步驟中,您會建立 AWS Identity and Access Management (IAM) 使用者,以成為資料湖所在的資料分析師 AWS Lake Formation。
此使用者具有查詢資料湖的最小許可集。
1. 在 [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam) 開啟 IAM 主控台。以您在 中建立的管理員使用者身分登入,[建立具有管理存取權的使用者](getting-started-setup.md#create-an-admin)或以 `AdministratorAccess` AWS 受管政策的使用者身分登入。
1. `datalake_user` 使用下列設定建立名為 的使用者:
+ 啟用 AWS 管理主控台 存取。
+ 設定密碼,不需要重設密碼。
+ 連接 `AmazonAthenaFullAccess` AWS 受管政策。
+ 連接下列內嵌政策。將政策命名為 `DatalakeUserBasic`。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartitions",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:GetLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
],
"Resource": "*"
}
]
}
```
## 步驟 2:在 中建立連線 AWS Glue
**注意**
如果您已有與 JDBC 資料來源的AWS Glue連線,請略過此步驟。
AWS Lake Formation 透過 AWS Glue*連線*存取 JDBC 資料來源。連線是 Data Catalog 物件,其中包含連線至資料來源所需的所有資訊。您可以使用 AWS Glue主控台建立連線。
**建立連線**
1. 在 AWS Glue開啟 主控台[https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/),並以您在 中建立的管理員使用者身分登入[建立具有管理存取權的使用者](getting-started-setup.md#create-an-admin)。
1. 在導覽窗格中,於 **Data catalog** ( Data Catalog ) 下選擇 **Connections** (連線)。
1. 在**連接器**頁面上,選擇**建立連線**。
1. 在**選擇資料來源**頁面上,選擇 **JDBC** 做為連線類型。然後選擇**下一步**。
1. 繼續執行連線精靈並儲存連線。
如需建立連線的資訊,請參閱《 *AWS Glue 開發人員指南*》中的 [AWS Glue JDBC 連線屬性](https://docs.aws.amazon.com/glue/latest/dg/connection-properties.html#connection-properties-jdbc)。
## 步驟 3:為資料湖建立 Amazon S3 儲存貯體
在此步驟中,您會建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體,做為資料湖的根位置。
1. 在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台,並以您在 中建立的管理員使用者身分登入[建立具有管理存取權的使用者](getting-started-setup.md#create-an-admin)。
1. 選擇**建立儲存貯**體,然後瀏覽精靈以建立名為 的儲存貯體`{{}}-datalake-tutorial`,其中 {{}} 是您的第一個初始名稱和姓氏。例如:`jdoe-datalake-tutorial`。
如需建立 Amazon S3 儲存貯體的詳細說明,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[如何建立 S3 儲存貯體?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)。
## 步驟 4:註冊 Amazon S3 路徑
在此步驟中,您將 Amazon Simple Storage Service (Amazon S3) 路徑註冊為資料湖的根位置。
1. 開啟 Lake Formation 主控台,網址為 [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。以資料湖管理員身分登入。
1. 在導覽窗格的**管理**下,選擇**資料湖位置**。
1. 選擇**註冊位置**,然後選擇**瀏覽**。
1. 選取您先前建立的儲存`{{}}-datalake-tutorial`貯體,接受預設 IAM 角色 `AWSServiceRoleForLakeFormationDataAccess`,然後選擇**註冊位置**。
如需註冊位置的詳細資訊,請參閱 [將 Amazon S3 位置新增至您的資料湖](register-data-lake.md)。
## 步驟 5:授予資料位置許可
主體必須在*資料湖位置上具有資料位置許可*,才能建立指向該位置的資料目錄資料表或資料庫。您必須將資料位置許可授予工作流程的 IAM 角色,工作流程才能寫入資料擷取目的地。
1. 在 Lake Formation 主控台的導覽窗格中的**許可**下,選擇**資料位置**。
1. 選擇**授予**,然後在**授予許可**對話方塊中,執行下列動作:
1. 針對 **IAM 使用者和角色**,選擇 `LakeFormationWorkflowRole`。
1. 針對**儲存位置**,選擇您的儲存`{{}}-datalake-tutorial`貯體。
1. 選擇 **Grant** (授予)。
如需資料位置許可的詳細資訊,請參閱 [Underlying data access control](access-control-underlying-data.md#data-location-permissions)。
## 步驟 6:在 Data Catalog 中建立資料庫
Lake Formation Data Catalog 中的中繼資料表會存放在資料庫中。
1. 在 Lake Formation 主控台的導覽窗格中的資料**目錄**下,選擇**資料庫**。
1. 選擇**建立資料庫**,然後在**資料庫詳細資訊**下,輸入名稱 `lakeformation_tutorial`。
1. 將其他欄位保留空白,然後選擇**建立資料庫**。
## 步驟 7:授予資料許可
您必須授予在 Data Catalog 中建立中繼資料表的許可。由於工作流程使用角色 執行`LakeFormationWorkflowRole`,您必須將這些許可授予角色。
1. 在 Lake Formation 主控台的導覽窗格中的**許可**下,選擇**資料湖許可**。
1. 選擇**授予**,然後在**授予資料許可**對話方塊中,執行下列動作:
1. 在**主體**下,針對 **IAM 使用者和角色**,選擇 `LakeFormationWorkflowRole`。
1. 在 **LF 標籤或目錄資源**下,選擇**具名資料目錄資源**。
1. 針對**資料庫**,選擇您先前建立的資料庫 `lakeformation_tutorial`。
1. 在**資料庫許可**下,選取**建立資料表**、**修改**和**捨棄**,並在選取時清除**超級**。
1. 選擇 **Grant** (授予)。
如需授予 Lake Formation 許可的詳細資訊,請參閱 [Lake Formation 許可概觀](lf-permissions-overview.md)。
## 步驟 8:使用藍圖建立工作流程
AWS Lake Formation 工作流程會產生AWS Glue任務、爬蟲程式和觸發程序,以探索資料並將其擷取至您的資料湖。您可以根據其中一個預先定義的 Lake Formation 藍圖建立工作流程。
1. 在 Lake Formation 主控台的導覽窗格中,選擇**藍圖**,然後選擇**使用藍圖**。
1. 在**使用藍圖**頁面的**藍圖類型**下,選擇**資料庫快照**。
1. 在**匯入來源**下,針對**資料庫連線**,選擇您剛建立的連線、 `datalake-tutorial`,或為您的資料來源選擇現有的連線。
1. 針對**來源資料路徑**,輸入要從中擷取資料的路徑,格式為 `{{}}/{{}}/{{}}`。
您可以用百分比 (%) 萬用字元取代結構描述或資料表。對於支援結構描述的資料庫,請輸入 {{}}/{{}}/%,以符合 {{ 內 {{ 中的所有資料表。Oracle 資料庫和 MySQL 不支援路徑中的結構描述,請輸入 {{}}/%。對於 Oracle 資料庫,{{}} 是系統識別符 (SID)。
例如,如果 Oracle 資料庫具有 `orcl`做為其 SID,請輸入 `orcl/%` 以符合 JDCB 連線中指定的使用者可存取的所有資料表。
**重要**
此欄位會區分大小寫。
1. 在**匯入目標**下,指定下列參數:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/getting-started-tutorial-jdbc.html)
1. 針對匯入頻率,選擇**隨需執行**。
1. 在**匯入選項**下,指定下列參數:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/getting-started-tutorial-jdbc.html)
1. 選擇**建立**,然後等待主控台報告工作流程已成功建立。
**提示**
您是否收到下列錯誤訊息?
`User: arn:aws:iam::{{}}:user/{{}} is not authorized to perform: iam:PassRole on resource:arn:aws:iam::{{}}:role/LakeFormationWorkflowRole...`
若是如此,請檢查您是否已將資料湖管理員使用者的內嵌政策中的 {{}} 取代為有效的 AWS 帳號。
## 步驟 9:執行工作流程
由於您指定工作流程是run-on-demand,因此您必須在其中手動啟動工作流程 AWS Lake Formation。
1. 在 Lake Formation 主控台的**藍圖**頁面上,選取工作流程 `lakeformationjdbctest`。
1. 選擇**動作**,然後選擇**開始**。
1. 當工作流程執行時,請在**上次執行狀態**欄中檢視其進度。偶爾選擇重新整理按鈕。
狀態會從 **RUNNING** 到 **Discovering**、**匯入**,再到 **COMPLETED**。
當工作流程完成時:
+ Data Catalog 有新的中繼資料表。
+ 您的資料會擷取到資料湖中。
如果工作流程失敗,請執行下列動作:
1. 選取工作流程。選擇**動作**,然後選擇**檢視圖形**。
工作流程會在 AWS Glue主控台中開啟。
1. 選取工作流程,然後選擇**歷史記錄**索引標籤。
1. 選取最近的執行,然後選擇**檢視執行詳細資訊**。
1. 在動態 (執行時間) 圖形中選取失敗的任務或爬蟲程式,然後檢閱錯誤訊息。失敗的節點為紅色或黃色。
## 步驟 10:在資料表上授予 SELECT
您必須授予 中新 Data Catalog 資料表的 `SELECT` 許可, AWS Lake Formation 資料分析師才能查詢資料表指向的資料。
**注意**
工作流程會自動將所建立資料表的`SELECT`許可授予執行該資料表的使用者。由於資料湖管理員執行此工作流程,您必須`SELECT`將 授予資料分析師。
1. 在 Lake Formation 主控台的導覽窗格中的**許可**下,選擇**資料湖許可**。
1. 選擇**授予**,然後在**授予資料許可**對話方塊中,執行下列動作:
1. 在**主體**下,針對 **IAM 使用者和角色**,選擇 `datalake_user`。
1. 在 **LF 標籤或目錄資源**下,選擇**具名資料目錄資源**。
1. 針對**資料庫**,選擇 `lakeformation_tutorial`。
**資料表**清單即會填入。
1. 針對**資料表**,從您的資料來源中選擇一或多個資料表。
1. 在**資料表和資料欄許可**下,選擇**選取**。
1. 選擇 **Grant** (授予)。
**下一個步驟會以資料分析師身分執行。**
## 步驟 11:使用 查詢資料湖 Amazon Athena
使用 Amazon Athena 主控台查詢資料湖中的資料。
1. 在 https://[https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home) 開啟 Athena 主控台,並以資料分析師使用者 身分登入`datalake_user`。
1. 如有必要,請選擇**開始使用**以繼續前往 Athena 查詢編輯器。
1. 針對**資料來源**,選擇 **AwsDataCatalog**。
1. 針對 **Database (資料庫)**,輸入 `lakeformation_tutorial`。
**資料表**清單即會填入。
1. 在其中一個資料表旁的快顯功能表中,選擇**預覽資料表**。
查詢會執行並顯示 10 列的資料。
## 步驟 12:使用 Amazon Redshift Spectrum 查詢資料湖中的資料
您可以設定 Amazon Redshift Spectrum 來查詢匯入 Amazon Simple Storage Service (Amazon S3) 資料湖的資料。首先,建立用於啟動 Amazon Redshift 叢集和查詢 Amazon S3 資料的 AWS Identity and Access Management (IAM) 角色。然後,將您要查詢之資料表的`Select`許可授予此角色。然後,授予使用者使用 Amazon Redshift 查詢編輯器的許可。最後,建立 Amazon Redshift 叢集並執行查詢。
您以管理員身分建立叢集,並以資料分析師身分查詢叢集。
如需 Amazon Redshift Spectrum 的詳細資訊,請參閱《[Amazon Redshift 資料庫開發人員指南》中的使用 Amazon Redshift Spectrum 查詢外部資料](https://docs.aws.amazon.com/redshift/latest/dg/c-using-spectrum.html)。 **
**設定執行 Amazon Redshift 查詢的許可**
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。以您在 中建立的管理員使用者 [建立具有管理存取權的使用者](getting-started-setup.md#create-an-admin)(使用者名稱 `Administrator`) 或以受`AdministratorAccess` AWS 管政策的使用者身分登入。
1. 在導覽窗格中,選擇**政策**。
如果這是您第一次選擇 **Policies (政策)**,將會顯示 **Welcome to Managed Policies (歡迎使用受管政策)** 頁面。選擇 **Get Started (開始使用)**。
1. 選擇**建立政策**。
1. 請選擇 **JSON** 標籤。
1. 貼上下列 JSON 政策文件。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartitions",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:GetLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
],
"Resource": "*"
}
]
}
```
1. 完成時,選擇 **Review (檢閱)** 以檢閱該政策。政策驗證程式會回報任何語法錯誤。
1. 在**檢閱政策**頁面上,輸入您所建立**RedshiftLakeFormationPolicy**政策**的名稱**。輸入 **Description (說明)** (選用)。檢閱政策 **Summary** (摘要) 來查看您的政策所授予的許可。然後選擇 **Create policy (建立政策)** 來儲存您的工作。
1. 在 IAM 主控台的導覽窗格中,選擇 **Roles** (角色),然後選擇 **Create role** (建立角色)。
1. 對於 **Select trusted entity** (選取信任的實體) 區段,選擇 **AWS service** (AWS 服務)。
1. 選擇 Amazon Redshift 服務以擔任此角色。
1. 選擇服務的 **Redshift Customizable (Redshift 可自訂)** 使用案例。然後選擇**下一步:許可**。
1. 搜尋您建立的許可政策 `RedshiftLakeFormationPolicy`,然後選取清單中政策名稱旁的核取方塊。
1. 選擇下**一步:標籤**。
1. 選擇下**一步:檢閱**。
1. 在 **Role name (角色名稱)** 中,輸入名稱 **RedshiftLakeFormationRole**。
1. (選用) 在 **Role description (角色說明)** 中,輸入新角色的說明。
1. 檢閱角色,然後選擇 **Create role** (建立角色)。
**授予要在 Lake Formation 資料庫中查詢之資料表的`Select`許可**
1. 開啟 Lake Formation 主控台,網址為 [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。以資料湖管理員身分登入。
1. 在導覽窗格**的許可**下,選擇**資料湖許可**,然後選擇**授予**。
1. 請提供下列資訊:
+ 針對 **IAM 使用者和角色**,選擇您建立的 IAM 角色 `RedshiftLakeFormationRole`。當您執行 Amazon Redshift 查詢編輯器時,其會使用此 IAM 角色來取得資料的許可。
+ 針對 **Database (資料庫)**,輸入 `lakeformation_tutorial`。
表格清單會填入 。
+ 在**資料表**中,選擇要查詢的資料來源中的資料表。
+ 選擇**選取**資料表許可。
1. 選擇 **Grant** (授予)。
**設定 Amazon Redshift Spectrum 並執行查詢**
1. 在 開啟 Amazon Redshift 主控台[https://console.aws.amazon.com/redshift](https://console.aws.amazon.com/redshift)。以使用者 身分登入`Administrator`。
1. 選擇 **Create Cluster** (建立叢集)。
1. 在**建立叢集**頁面上,`redshift-lakeformation-demo`為**叢集識別符**輸入 。
1. 針對**節點類型**,選取 **dc2.large**。
1. 向下捲動,然後在**資料庫組態**下,輸入或接受這些參數:
+ **管理員使用者名稱**: `awsuser`
+ **管理員使用者密碼**: `({{Choose a password}})`
1. 展開**叢集許可**,對於**可用的 IAM 角色**,選擇 **RedshiftLakeFormationRole**。接著選擇 **Add IAM role (新增 IAM 角色)**。
1. 如果您必須使用與預設值 5439 不同的連接埠,請在**其他組態**旁關閉**使用預設值**選項。展開**資料庫組態**的 區段,然後輸入新的**資料庫連接埠**號碼。
1. 選擇 **Create Cluster** (建立叢集)。
**叢集**頁面載入。
1. 等到叢集狀態變成**可用**。定期選擇重新整理圖示。
1. 授予資料分析師對叢集執行查詢的許可。若要這樣做,請完成下列步驟。
1. 在 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/):// 開啟 IAM 主控台,並以`Administrator`使用者身分登入。
1. 在導覽窗格中,選擇**使用者**,然後將下列受管政策連接至使用者 `datalake_user`。
+ `AmazonRedshiftQueryEditor`
+ `AmazonRedshiftReadOnlyAccess`
1. 登出 Amazon Redshift 主控台,並以使用者 身分重新登入`datalake_user`。
1. 在左側垂直工具列中,選擇 **EDITOR** 圖示以開啟查詢編輯器並連線至叢集。如果出現**連線至資料庫**對話方塊,請選擇叢集名稱 `redshift-lakeformation-demo`,然後輸入資料庫名稱 **dev**、使用者名稱 **awsuser**和您建立的密碼。選擇 **Connect to database (連線至資料庫)**。
**注意**
如果未提示您輸入連線參數,且已在查詢編輯器中選取另一個叢集,請選擇**變更連線**以開啟**連線至資料庫**對話方塊。
1. 在**新查詢 1** 文字方塊中,輸入並執行下列陳述式,將 Lake Formation `lakeformation_tutorial`中的資料庫映射至 Amazon Redshift 結構描述名稱 `redshift_jdbc`:
**重要**
將 {{}} 取代為有效的 AWS 帳號,並將 {{}} 取代為有效的 AWS 區域名稱 (例如 `us-east-1`)。
```
create external schema if not exists redshift_jdbc from DATA CATALOG database 'lakeformation_tutorial' iam_role 'arn:aws:iam::{{}}:role/RedshiftLakeFormationRole' region '{{}}';
```
1. 在**選取結構描述下的結構描述**清單中,選擇 **redshift\_jdbc**。
表格清單會填入 。查詢編輯器只會顯示您獲得 Lake Formation 資料湖許可的資料表。
1. 在資料表名稱旁的快顯功能表中,選擇**預覽資料**。
Amazon Redshift 會傳回前 10 列。
您現在可以針對您擁有許可的資料表和資料欄執行查詢。
## 步驟 13:使用 Amazon Redshift Spectrum 授予或撤銷 Lake Formation 許可
Amazon Redshift 支援使用修改後的 SQL 陳述式授予和撤銷資料庫和資料表的 Lake Formation 許可。這些陳述式類似於現有的 Amazon Redshift 陳述式。如需詳細資訊,請參閱《*Amazon Redshift 資料庫開發人員指南*》中的 [GRANT](https://docs.aws.amazon.com/redshift/latest/dg/r_GRANT.html) 和 [REVOKE](https://docs.aws.amazon.com/redshift/latest/dg/r_REVOKE.html)。