Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Änderung der Zugriffskontrollen für die Integration von S3 Tables
Nachdem Sie Amazon S3-Tabellen mit dem integriert haben AWS Glue Data Catalog, können Sie ändern, wie der Zugriff auf Ihre Katalogressourcen gesteuert wird. In diesem Abschnitt erfahren Sie, wie Sie die Zugriffskontrolle je nach Ihrem aktuellen und gewünschten Zugriffskontrollmodell ändern können. Durch die Aktivierung von Lake Formation können Sie detaillierte Berechtigungen wie Sicherheit auf Spalten- und Zeilenebene durch Lake Formation Grants verwenden und Lake Formation temporäre Anmeldeinformationen im Namen von Prinzipalen über eine registrierte Rolle weitergeben. Wenn Sie die Zugriffskontrolle von AWS Lake Formation zu IAM ändern, wird die Zugriffskontrolle wieder auf die Standard-IAM-Richtlinien zurückgeführt. Dies kann sinnvoll sein, wenn für Ihre Workloads kein detaillierter Zugriff erforderlich ist und Sie es vorziehen, die Berechtigungen vollständig über IAM zu verwalten. Beide Migrationspfade beinhalten die Aktualisierung der Standardeinstellungen des Datenkatalogs, die Anpassung der Ressourcenregistrierungen bei Lake Formation und die Koordination von Genehmigungen, um Zugriffsunterbrechungen während der Umstellung zu vermeiden.
**Topics**
+ [Aktivieren Sie Lake Formation mit der Integration von S3 Tables mit Data Catalog](change-access-iam-to-lf.md)
+ [Ändern Sie die Zugriffskontrolle von AWS Lake Formation zu IAM](change-access-lf-to-iam.md)
# Aktivieren Sie Lake Formation mit der Integration von S3 Tables mit Data Catalog
In diesem Abschnitt wird der Workflow zur Migration der Zugriffskontrolle von IAM-Rechten zu IAM beschrieben, wobei AWS Lake Formation Zuschüsse für Amazon S3 S3-Tabellen in die integriert sind. AWS Glue Data Catalog
**Wichtig**
Durch die Aktivierung der AWS Lake Formation Zugriffskontrolle wird der gesamte bestehende IAM-basierte Zugriff auf Ihre S3 Tables-Ressourcen aufgehoben. Nach Abschluss von Schritt 1 verlieren Benutzer und Rollen, die zuvor über IAM-Berechtigungen auf Daten zugegriffen haben, sofort den Zugriff. Sie müssen Lake Formation Formation-Berechtigungen in Schritt 2 erteilen, bevor Benutzer erneut Daten abfragen können. Planen Sie diese Migration während eines Wartungsfensters und stimmen Sie sie mit Ihrem Datenteam ab.
## Voraussetzungen
Für read/write den Zugriff auf S3-Tabellen benötigen Principals zusätzlich zu den Lake Formation Formation-Berechtigungen auch die `lakeformation:GetDataAccess` IAM-Berechtigung. Mit dieser Berechtigung gewährt Lake Formation die Anforderung von temporären Anmeldeinformationen für den Zugriff auf die Daten.
## Verwenden AWS CLI
1. **Schritt 1: Bucket mithilfe der IAM-Rolle bei Lake Formation registrieren**
Registrieren Sie die S3 Tables-Ressource bei Lake Formation.
**Anmerkung**
Wenn Sie bereits über eine Rolle verfügen, stellen Sie sicher, dass der Hybridzugriff falsch ist.
```
aws lakeformation register-resource \
--resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
--role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
--with-federation
```
1. **Schritt 2: AWS Glue Katalog aktualisieren, um die Zugriffskontrolle für Lake Formation zu aktivieren**
Aktualisieren Sie den Katalog mit leer `CreateDatabaseDefaultPermissions` und `CreateTableDefaultPermissions` (gesetzt auf`[]`) und setzen `OverwriteChildResourcePermissionsWithDefault` auf`Accept`. Dadurch wird der IAM-basierte Zugriff auf alle vorhandenen untergeordneten Ressourcen entfernt und der Katalog und seine Objekte können mithilfe von Lake Formation Formation-Zuschüssen verwaltet werden.
```
aws glue update-catalog \
--catalog-id "s3tablescatalog" \
--catalog-input '{
"FederatedCatalog": {
"Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
"ConnectionName": "aws:s3tables"
},
"CreateDatabaseDefaultPermissions": [],
"CreateTableDefaultPermissions": [],
"OverwriteChildResourcePermissionsWithDefault": "Accept",
"AllowFullTableExternalDataAccess": "True"
}'
```
1. **Schritt 3: Erteilen Sie Ihrem Datenteam Lake Formation Formation-Berechtigungen**
Gewähren Sie den Prinzipalen (Rollen, Benutzern oder Gruppen), die Zugriff benötigen, Lake Formation Formation-Berechtigungen. Um beispielsweise einer Rolle Lesezugriff auf die vollständige Tabelle zu gewähren, gehen Sie wie folgt vor:
```
aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
--resource '{
"Table": {
"CatalogId": "AWSAccountID",
"DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
"TableWildcard": {}
}
}' \
--permissions "SELECT" "DESCRIBE"
```
Wiederholen Sie den Vorgang nach Bedarf für jede Kombination aus Prinzipal und Ressource.
# Ändern Sie die Zugriffskontrolle von AWS Lake Formation zu IAM
In diesem Abschnitt wird der Workflow zur Änderung der Zugriffskontrolle von AWS Lake Formation Zuweisungen zu IAM-Rechten für Amazon S3-Tabellen beschrieben, die in die AWS Glue Data Catalog integriert sind.
**Wichtig**
Wenn Sie die Zugriffskontrolle von AWS Lake Formation Grants auf IAM umstellen, wird der gesamte bestehende Lake Formation Formation-basierte Zugriff auf Ihre S3 Tables-Ressourcen aufgehoben. Nach Abschluss von Schritt 2 verlieren Benutzer und Rollen, die zuvor über Lake Formation Grants auf Daten zugegriffen haben, sofort den Zugriff. Sie müssen in Schritt 1 IAM-Zugriff gewähren, bevor Sie den Katalog aktualisieren können. Planen Sie diese Migration während eines Wartungsfensters und stimmen Sie sie mit Ihrem Datenteam ab.
**Wichtig**
Detaillierte Zugriffskontrollen, wie Zugriff auf Spaltenebene und Datenzellenfilter, mit Datenkatalogobjekten sind nur bei Verwendung verfügbar. AWS Lake Formation Bevor Sie mit der Migration der Zugriffskontrollen von AWS Lake Formation zu IAM fortfahren, überprüfen Sie Ihre bestehenden Lake Formation Formation-Grants anhand `aws lakeformation list-permissions` und stellen Sie fest, ob äquivalente IAM-Richtlinien den Zugriff bieten können, den Ihre Benutzer benötigen. Jeder Principal, der sich auf detaillierte Lake Formation Formation-Zuschüsse verlassen hat, benötigt nach der Migration der Zugriffskontrolle vollen IAM-Zugriff auf Tabellenebene.
## Voraussetzungen
Bevor Sie beginnen, stellen Sie Folgendes sicher:
+ Sie haben alle Lake Formation Formation-Zuschüsse identifiziert, die derzeit für die zu migrierenden Ressourcen gelten. Lauf`aws lakeformation list-permissions --resource-type TABLE`, um sie zu überprüfen.
+ Sie haben IAM-Richtlinien vorbereitet, die allen betroffenen Principals gleichwertigen Zugriff gewähren.
+ Die bei Lake Formation registrierte IAM-Rolle ist immer noch vorhanden `lakeformation:GetDataAccess` (während der hybriden Übergangsphase erforderlich).
## Verwenden AWS CLI
1. **Schritt 1: Erteilen Sie den Prinzipalen IAM-Berechtigungen**
Ordnen Sie den Benutzern oder Rollen, die Zugriff benötigen, IAM-Richtlinien zu. Die Richtlinie muss sowohl AWS Glue Metadatenberechtigungen als auch Datenberechtigungen für S3-Tabellen enthalten.
**Anmerkung**
Die folgende Beispielrichtlinie bietet nur Lesezugriff.
```
aws iam put-user-policy \
--user-name GlueIAMAccessUser \
--policy-name S3TablesIAMAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GlueMetadataAccess",
"Effect": "Allow",
"Action": [
"glue:GetCatalog",
"glue:GetDatabase",
"glue:GetTable"
],
"Resource": [
"arn:aws:glue:us-east-1:AWSAccountID:catalog/s3tablescatalog",
"arn:aws:glue:us-east-1:AWSAccountID:database/s3tablescatalog/table-bucket-name/namespace",
"arn:aws:glue:us-east-1:AWSAccountID:table/s3tablescatalog/table-bucket-name/namespace/*"
]
},
{
"Sid": "S3TablesDataAccess",
"Effect": "Allow",
"Action": [
"s3tables:GetTableBucket",
"s3tables:GetTable",
"s3tables:GetTableMetadataLocation",
"s3tables:GetTableData"
],
"Resource": [
"arn:aws:s3tables:us-east-1:AWSAccountID:bucket/table-bucket-name",
"arn:aws:s3tables:us-east-1:AWSAccountID:bucket/table-bucket-name/table/*"
]
}
]
}'
```
Stellen Sie sicher, dass alle betroffenen Benutzer und Rollen mit ihren IAM-Anmeldeinformationen auf die erwarteten Tabellen zugreifen können, bevor Sie fortfahren.
1. **Schritt 2: Aktualisieren Sie den Katalog, um die IAM-Standardberechtigungen wiederherzustellen**
Aktualisieren Sie den Katalog so `CreateDatabaseDefaultPermissions` und `CreateTableDefaultPermissions` gewähren `ALL` Sie ihm`IAM_ALLOWED_PRINCIPALS`. Auf einstellen`OverwriteChildResourcePermissionsWithDefault`, `Accept` damit die Änderung auf alle vorhandenen untergeordneten Ressourcen übertragen wird, nicht nur auf neu erstellte.
```
aws glue update-catalog \
--catalog-id "s3tablescatalog" \
--catalog-input '{
"FederatedCatalog": {
"Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
"ConnectionName": "aws:s3tables"
},
"CreateDatabaseDefaultPermissions": [{
"Principal": {"DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"},
"Permissions": ["ALL"]
}],
"CreateTableDefaultPermissions": [{
"Principal": {"DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"},
"Permissions": ["ALL"]
}],
"OverwriteChildResourcePermissionsWithDefault": "Accept"
}'
```
1. **Schritt 3: Die Ressource bei Lake Formation abmelden**
Sobald Sie bestätigt haben, dass der gesamte Zugriff über IAM-Richtlinien funktioniert und keine Principals von Lake Formation-Zuschüssen abhängig sind, können Sie die Ressource bei Lake Formation abmelden, um die Migration abzuschließen.
```
aws lakeformation deregister-resource \
--resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*"
```
**Anmerkung**
Nachdem Sie die Ressource deregistriert haben, entfernen Sie sie `lakeformation:GetDataAccess` aus den IAM-Prinzipalen, die sie nicht mehr benötigen.
Es ist kein Schritt erforderlich. `revoke-permissions`