View a markdown version of this page

Habilite la integración de Lake Formation con S3 Tables con Data Catalog - AWS Lake Formation
Requisitos previosUtilización AWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilite la integración de Lake Formation con S3 Tables con Data Catalog

En esta sección se describe el flujo de trabajo para migrar el control de acceso de los privilegios de IAM a IAM con AWS Lake Formation concesiones para las tablas de Amazon S3 integradas en. AWS Glue Data Catalog

importante

Al habilitar el control de AWS Lake Formation acceso, se revocarán todos los IAM-based accesos existentes a sus recursos de S3 Tables. Tras completar el paso 1, los usuarios y roles que anteriormente accedían a los datos mediante los permisos de IAM perderán el acceso de forma inmediata. Debe conceder los permisos de Lake Formation en el paso 2 para que los usuarios puedan volver a consultar los datos. Planifique esta migración durante un período de mantenimiento y coordine con su equipo de datos.

Requisitos previos

Para read/write acceder a S3 Tables, además de los permisos de Lake Formation, los directores también necesitan el permiso de lakeformation:GetDataAccess IAM. Con este permiso, Lake Formation concede la solicitud de credenciales temporales para acceder a los datos.

Utilización AWS CLI

  1. Paso 1: Registrar un depósito en Lake Formation mediante el rol de IAM

    Registre el recurso S3 Tables en Lake Formation.

    nota

    Si ya tiene un rol, asegúrese de que el acceso híbrido sea falso.

    aws lakeformation register-resource \
  --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
  --role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
  --with-federation

  2. Paso 2: Actualizar el AWS Glue catálogo para habilitar el control de acceso a Lake Formation

    Actualice el catálogo con el CreateDatabaseDefaultPermissions campo vacío y CreateTableDefaultPermissions (establecido en[]). Esto garantiza que las bases de datos y las tablas del catálogo se administren mediante las concesiones de Lake Formation en lugar de los permisos IAM-based predeterminados.

    aws glue update-catalog \
  --catalog-id "s3tablescatalog" \
  --catalog-input '{
    "FederatedCatalog": {
        "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
        "ConnectionName": "aws:s3tables"
    },
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "AllowFullTableExternalDataAccess": "True"
  }'

  3. Paso 3: Otorgue permisos de Lake Formation a su equipo de datos

    Otorgue permisos a Lake Formation a los directores (roles, usuarios o grupos) que necesiten acceso. Por ejemplo, para conceder acceso de lectura de tabla completa a un rol:

    aws lakeformation grant-permissions \
  --principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
  --resource '{
    "Table": {
        "CatalogId": "AWSAccountID",
        "DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
        "TableWildcard": {}
    }
  }' \
  --permissions "SELECT" "DESCRIBE"

    Repita el procedimiento para cada combinación principal y de recursos según sea necesario.