Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Zugreifen auf Amazon S3 S3-Standorte AWS Lake Formation ermöglicht es Ihnen, die zugrunde liegenden Datendateien in Amazon Simple Storage Service (Amazon S3) für Tabellen zu lesen und zu schreiben, die im AWS Glue Data Catalog (Datenkatalog) registriert sind. Dies bietet Ihnen einen einzigen Satz von Berechtigungen sowohl für SQL-Abfragen als auch für direkten Dateizugriff unter Verwendung Ihrer vorhandenen Lake Formation-Tabellenberechtigungen. Lake Formation erweitert seine Verkaufsfunktion für Anmeldeinformationen auf Amazon S3 S3-Standorte, die im Datenkatalog registriert sind. Wenn Ihre Anwendung Zugriff auf die Amazon S3 S3-Dateien anfordert, die einer Datenkatalogtabelle zugrunde liegen, bewertet Lake Formation die vorhandenen Berechtigungen des Aufrufers auf Tabellenebene und gibt, falls autorisiert, kurzlebige Amazon S3-Anmeldeinformationen für den registrierten Speicherort dieser Tabelle zurück. **Ermöglichen Sie den direkten Zugriff auf Amazon S3 S3-Standorte** Um diese Funktion zu aktivieren, müssen Sie die folgenden Schritte ausführen. **Voraussetzungen** Erfüllen Sie die folgenden Voraussetzungen, bevor Sie das Feature-Flag aktivieren: + **Amazon S3 S3-Standorte registrieren** — Katalogisieren Sie Ihre Tabellen im Datenkatalog für Ihre Amazon S3 S3-Standorte und registrieren Sie sie bei Lake Formation, indem Sie das Amazon S3 S3-Bucket-Besitzerkonto angeben. Wenn Sie einen Standort registrieren, werden dieser Amazon S3 S3-Pfad und alle Ordner unter diesem Pfad registriert. Weitere Informationen finden Sie unter [Registrierung eines Amazon S3 S3-Standorts](register-location.md). + **Erteilen Sie Lake Formation-Berechtigungen** — Erteilen Sie Ihren Datenwissenschaftlern und Anwendungen mithilfe der Lake Formation-Konsole oder APIs Lake Formation `SELECT` (oder`SUPER`) -Berechtigungen für Tabellen. Wenn Sie Lake Formation bereits für den Tabellenzugriff mit Diensten wie Athena oder Amazon EMR verwenden, ist dies bereits konfiguriert. + **Anwendungsintegration mit vollständigem Tabellenzugriff** aktivieren — Aktivieren Sie die Anwendungsintegration mit vollständigem Tabellenzugriff, um den Verkauf von Anmeldeinformationen an den registrierten Tabellenspeicherort zu ermöglichen. Weitere Informationen finden Sie unter [Anwendungsintegration für vollständigen Tabellenzugriff](full-table-credential-vending.md). **Aktivieren Sie das Feature-Flag** Aktivieren Sie das `fs.s3a.lakeformation.access.grants.enabled` Flag auf unterstützten Engines: ``` fs.s3a.lakeformation.access.grants.enabled = true ``` + **Amazon EMR auf Amazon EC2** — EMR 7.13 oder höher + **Amazon EMR auf EKS** — EMR 7.13 oder höher + **Amazon EMR Serverless** — EMR 7.13 oder höher Nach der Konfiguration können Sie mithilfe von Standard-APIs sofort Datendateien aus EMR lesen oder schreiben. Weitere Informationen zur Amazon EMR-Integration finden Sie unter [Pfadbasierter Verkauf von Anmeldeinformationen in Lake Formation im Amazon](https://docs.aws.amazon.com/emr/latest/ManagementGuide/lake-formation-path-based-credential-vending.html) *EMR* Management Guide. **Funktionsweise** Der Zugriff auf den Standort Lake Formation-based Amazon S3 folgt diesem Ablauf: 1. Ein Principal oder eine Rolle fordert Zugriff auf Amazon S3 S3-Datendateien über einen Service wie einen Amazon EMR Spark-Job oder eine Datenverarbeitungspipeline an. 1. Das in EMR integrierte AWS SDK-Plugin fängt die Amazon S3 S3-Anfrage ab und ruft die Lake Formation API auf. `GetTemporaryDataLocationCredentials` 1. Lake Formation prüft, ob der Amazon S3 S3-Pfad einem registrierten Standort und einer katalogisierten Tabelle entspricht, und bewertet die Berechtigungen des Aufrufers für die zugehörige Tabelle. AWS Glue 1. Wenn der Aufrufer über `SELECT` oder `SUPER` Berechtigungen für die entsprechende Tabelle mit vollständigem Tabellenzugriff verfügt, verkauft Lake Formation temporäre Anmeldeinformationen, die auf diesen Amazon S3-Standort beschränkt sind. `SELECT`**gewährt **READ-Anmeldeinformationen; gewährt READWRITE-Anmeldeinformationen**. `SUPER`** 1. Das Plugin verwendet diese Anmeldeinformationen, um die Amazon S3-Anfrage abzuschließen, und Amazon S3 stellt die Daten für die Anwendung bereit. 1. Alle Verkaufsvorgänge mit Zugangsdaten werden protokolliert CloudTrail, sodass ein Prüfprotokoll für den Datenzugriff zur Verfügung steht. Dieser Prozess ist für Sie transparent und Sie verwenden einfach die vorhandenen Lake Formation Formation-Berechtigungen mit standardmäßigen dateibasierten APIs. ``` # Read raw data (Lake Formation-based S3 Location access) raw_df = spark.read.json("s3://finance-datalake/raw/transactions/dt=2024-03-21/") # Read governed data (Lake Formation-based S3 Location access) transactions_df = spark.read.parquet("s3://data-lake/transactions/year=2026/") # Write processed data (Lake Formation-based S3 Location access) processed_df.write \ .mode("append") \ .partitionBy("transaction_date") \ .parquet("s3://finance-datalake/processed/transactions/") print("ETL complete. Records written:", processed_df.count()) ``` **Benötigte Berechtigungen** Die Funktion vergibt derzeit nur Anmeldeinformationen, wenn der Aufrufer **vollen Tabellenzugriff** hat, d. h. `SELECT` auf alle Spalten ohne Zeilen- oder Spaltenfilter. Wenn auf eine Tabelle Filter auf Zeilen- oder Spaltenebene angewendet wurden, müssen Aufrufer weiterhin vertrauenswürdige Engines wie Athena, Amazon EMR oder Amazon Redshift verwenden, die diese Filter AWS Glue durchsetzen können. Dadurch wird sichergestellt, dass die Sicherheitsgrenzen konsistent bleiben. **Cross-account Zugriff** Der vereinfachte Zugriff von Lake Formation auf Amazon S3 S3-Standorte funktioniert mit Funktionen zur kontoübergreifenden gemeinsamen Nutzung. Wenn Sie eine Tabelle über Lake Formation mit einem anderen AWS Konto teilen, können Empfänger mit ihren Lake Formation Formation-Berechtigungen auf die zugrunde liegenden Amazon S3 S3-Datendateien zugreifen, sofern dieselben Anforderungen für den vollständigen Tabellenzugriff gelten. Die Funktion unterstützt den Resource Link-Mechanismus von Lake Formation für den kontoübergreifenden Zugriff. Wenn ein Verbraucherkonto über Berechtigungen für eine gemeinsam genutzte Tabelle verfügt, verkauft Lake Formation Anmeldeinformationen, die auf den Amazon S3-Standort des registrierten Kontos beschränkt sind. Dadurch wird ein nahtloser kontoübergreifender Datenzugriff ermöglicht, ohne dass separate Amazon S3 S3-Bucket-Richtlinien oder kontoübergreifende IAM-Rollen erforderlich sind. **Verschachtelte Amazon S3 S3-Standorte** Wenn mehrere Tabellen auf verschachtelte Speicherorte im selben Bucket verweisen, wendet Lake Formation das folgende Verhalten an: + Beim Zugriff erhalten Sie Berechtigungen`s3://bucket`, die der auf Bucket-Ebene registrierten Tabelle entsprechen. + Beim Zugriff erhalten Sie Berechtigungen`s3://bucket/folder1`, die der Tabelle entsprechen, die in diesem bestimmten Pfad registriert ist. + Für den Zugriff auf Ordner ohne registrierte Tabelle (z. B.`s3://bucket/folder2`) erhalten Sie Berechtigungen vom nächstgelegenen registrierten übergeordneten Speicherort. + Wenn mehrere Tabellen am selben Speicherort registriert sind, gibt Lake Formation aufgrund widersprüchlicher Berechtigungen einen Fehler zurück. **Überprüfung und Compliance** Alle Verkaufsvorgänge mit Zugangsdaten werden protokolliert CloudTrail, sodass ein Prüfprotokoll für den Datenzugriff zur Verfügung steht. Wenn Lake Formation Anmeldeinformationen über die `GetTemporaryDataLocationCredentials` API verkauft, CloudTrail zeichnet es auf: + Der Prinzipal (Benutzer oder Rolle) + Zeitstempel + Amazon-S3-Speicherort + Zugeordnete AWS Glue Tabelle Nachfolgende Amazon S3 S3-API-Aufrufe, die mit diesen Anmeldeinformationen getätigt wurden, werden ebenfalls CloudTrail als Amazon S3 S3-Datenereignisse protokolliert, wobei sie im Kontext mit der Lake Formation Formation-Berechtigungsgewährung verknüpft werden. Auf diese Weise erhalten Prüfer einen vollständigen Überblick darüber, wer wann und über welchen Berechtigungspfad auf welche Daten zugegriffen hat — und das alles in einem einzigen CloudTrail Protokollstream. **Unterstützt AWS service** Der vereinfachte Zugriff von Lake Formation auf Amazon S3 S3-Standorte funktioniert mit: + Amazon EMR auf Amazon EC2 (EMR 7.13 oder höher) + Amazon EMR auf EKS (EMR 7.13 oder höher) + Amazon EMR Serverless (EMR 7.13 oder höher) **Open-Source-Plugin für Dienste von Drittanbietern** Sie können Ihre Apache Spark Trino Anwendungen auch mithilfe von APIs oder über ein von bereitgestelltes Open-Source-Plugin integrieren AWS. Weitere Informationen finden Sie unter [aws-lakeformation-accessgrants-plugin-java-v2](https://github.com/aws/aws-lakeformation-accessgrants-plugin-java-v2) auf. GitHub **Überlegungen** Beachten Sie die folgenden Überlegungen, wenn Sie Credential Vending für Amazon S3 S3-Standorte verwenden: + Der Verkauf von Anmeldeinformationen für Amazon S3 S3-Standorte wird nicht regionsübergreifend unterstützt. + Der Verkauf von Anmeldeinformationen wird für Amazon S3 S3-Standorte unterstützt, die als primärer Standort der Tabelle angegeben sind.