View a markdown version of this page

Habilite la integración de Lake Formation con S3 Tables con Data Catalog - AWS Lake Formation
Requisitos previosUsando AWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilite la integración de Lake Formation con S3 Tables con Data Catalog

En esta sección se describe el flujo de trabajo para migrar el control de acceso de los privilegios de IAM a IAM con AWS Lake Formation concesiones para las tablas de Amazon S3 integradas en. AWS Glue Data Catalog

importante

Al habilitar el control de AWS Lake Formation acceso, se revocarán todos los accesos existentes basados en IAM a sus recursos de S3 Tables. Tras completar el paso 1, los usuarios y roles que anteriormente accedían a los datos mediante permisos de IAM perderán el acceso de forma inmediata. Debe conceder los permisos de Lake Formation en el paso 2 para que los usuarios puedan volver a consultar los datos. Planifique esta migración durante un período de mantenimiento y coordine con su equipo de datos.

Requisitos previos

Para read/write acceder a S3 Tables, además de los permisos de Lake Formation, los directores también necesitan el permiso de lakeformation:GetDataAccess IAM. Con este permiso, Lake Formation concede la solicitud de credenciales temporales para acceder a los datos.

Usando AWS CLI

  1. Paso 1: Registrar un depósito en Lake Formation mediante el rol de IAM

    Registre el recurso S3 Tables en Lake Formation.

    nota

    Si ya tiene un rol, asegúrese de que el acceso híbrido sea falso.

    aws lakeformation register-resource \
  --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
  --role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
  --with-federation

  2. Paso 2: Actualizar el AWS Glue catálogo para habilitar el control de acceso a Lake Formation

    Actualice el catálogo con los valores vacíos CreateDatabaseDefaultPermissions y CreateTableDefaultPermissions (configurados en[]) y OverwriteChildResourcePermissionsWithDefault configurados enAccept. Esto elimina el acceso basado en IAM de todos los recursos secundarios existentes y permite gestionar el catálogo y sus objetos mediante las subvenciones de Lake Formation.

    aws glue update-catalog \
  --catalog-id "s3tablescatalog" \
  --catalog-input '{
    "FederatedCatalog": {
        "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
        "ConnectionName": "aws:s3tables"
    },
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "OverwriteChildResourcePermissionsWithDefault": "Accept",
    "AllowFullTableExternalDataAccess": "True"
  }'

  3. Paso 3: Otorgue permisos de Lake Formation a su equipo de datos

    Otorgue permisos a Lake Formation a los directores (roles, usuarios o grupos) que necesiten acceso. Por ejemplo, para conceder acceso de lectura a una tabla completa a un rol:

    aws lakeformation grant-permissions \
  --principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
  --resource '{
    "Table": {
        "CatalogId": "AWSAccountID",
        "DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
        "TableWildcard": {}
    }
  }' \
  --permissions "SELECT" "DESCRIBE"

    Repita el procedimiento para cada combinación principal y de recursos según sea necesario.