View a markdown version of this page

Aktivieren Sie Lake Formation mit der Integration von S3 Tables mit Data Catalog - AWS Lake Formation
VoraussetzungenVerwenden AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie Lake Formation mit der Integration von S3 Tables mit Data Catalog

In diesem Abschnitt wird der Workflow zur Migration der Zugriffskontrolle von IAM-Rechten zu IAM beschrieben, wobei AWS Lake Formation Zuschüsse für Amazon S3 S3-Tabellen in die integriert sind. AWS Glue Data Catalog

Wichtig

Durch die Aktivierung der AWS Lake Formation Zugriffskontrolle wird der gesamte bestehende IAM-basierte Zugriff auf Ihre S3 Tables-Ressourcen aufgehoben. Nach Abschluss von Schritt 1 verlieren Benutzer und Rollen, die zuvor über IAM-Berechtigungen auf Daten zugegriffen haben, sofort den Zugriff. Sie müssen Lake Formation Formation-Berechtigungen in Schritt 2 erteilen, bevor Benutzer erneut Daten abfragen können. Planen Sie diese Migration während eines Wartungsfensters und stimmen Sie sie mit Ihrem Datenteam ab.

Voraussetzungen

Für read/write den Zugriff auf S3-Tabellen benötigen Principals zusätzlich zu den Lake Formation Formation-Berechtigungen auch die lakeformation:GetDataAccess IAM-Berechtigung. Mit dieser Berechtigung gewährt Lake Formation die Anforderung von temporären Anmeldeinformationen für den Zugriff auf die Daten.

Verwenden AWS CLI

  1. Schritt 1: Bucket mithilfe der IAM-Rolle bei Lake Formation registrieren

    Registrieren Sie die S3 Tables-Ressource bei Lake Formation.

    Anmerkung

    Wenn Sie bereits über eine Rolle verfügen, stellen Sie sicher, dass der Hybridzugriff falsch ist.

    aws lakeformation register-resource \
  --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
  --role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
  --with-federation

  2. Schritt 2: AWS Glue Katalog aktualisieren, um die Zugriffskontrolle für Lake Formation zu aktivieren

    Aktualisieren Sie den Katalog mit leer CreateDatabaseDefaultPermissions und CreateTableDefaultPermissions (gesetzt auf[]) und setzen OverwriteChildResourcePermissionsWithDefault aufAccept. Dadurch wird der IAM-basierte Zugriff auf alle vorhandenen untergeordneten Ressourcen entfernt und der Katalog und seine Objekte können mithilfe von Lake Formation Formation-Zuschüssen verwaltet werden.

    aws glue update-catalog \
  --catalog-id "s3tablescatalog" \
  --catalog-input '{
    "FederatedCatalog": {
        "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
        "ConnectionName": "aws:s3tables"
    },
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "OverwriteChildResourcePermissionsWithDefault": "Accept",
    "AllowFullTableExternalDataAccess": "True"
  }'

  3. Schritt 3: Erteilen Sie Ihrem Datenteam Lake Formation Formation-Berechtigungen

    Gewähren Sie den Prinzipalen (Rollen, Benutzern oder Gruppen), die Zugriff benötigen, Lake Formation Formation-Berechtigungen. Um beispielsweise einer Rolle Lesezugriff auf die vollständige Tabelle zu gewähren, gehen Sie wie folgt vor:

    aws lakeformation grant-permissions \
  --principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
  --resource '{
    "Table": {
        "CatalogId": "AWSAccountID",
        "DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
        "TableWildcard": {}
    }
  }' \
  --permissions "SELECT" "DESCRIBE"

    Wiederholen Sie den Vorgang nach Bedarf für jede Kombination aus Prinzipal und Ressource.