View a markdown version of this page

Cambie el control de acceso de AWS Lake Formation a IAM - AWS Lake Formation
Requisitos previosUsando AWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cambie el control de acceso de AWS Lake Formation a IAM

En esta sección se describe el flujo de trabajo para cambiar el control de acceso de AWS Lake Formation concesiones a privilegios de IAM para las tablas de Amazon S3 integradas con. AWS Glue Data Catalog

importante

Si cambias el control de acceso de AWS Lake Formation las subvenciones al IAM, se revocarán todos los accesos existentes basados en Lake Formation a tus recursos de S3 Tables. Después de completar el paso 2, los usuarios y roles que anteriormente accedieron a los datos a través de las subvenciones de Lake Formation perderán el acceso inmediatamente. Debe conceder el acceso a IAM en el paso 1 antes de actualizar el catálogo. Planifique esta migración durante un período de mantenimiento y coordine con su equipo de datos.

importante

Los controles de acceso detallados, como el acceso a nivel de columnas y los filtros de celdas de datos, junto con los objetos del catálogo de datos, están disponibles solo cuando se utilizan. AWS Lake Formation Antes de proceder a migrar los controles de acceso de IAM AWS Lake Formation a IAM, audite sus subvenciones actuales de Lake Formation aws lakeformation list-permissions y determine si las políticas de IAM equivalentes pueden proporcionar el acceso que necesitan sus usuarios. Cualquier director que dependiera de subvenciones detalladas de Lake Formation necesitará un acceso completo a la IAM a nivel de mesa después de migrar el control de acceso.

Requisitos previos

Antes de empezar, asegúrese de lo siguiente:

  • Has identificado todas las subvenciones de Lake Formation actualmente en vigor para los recursos que se están migrando. Corre aws lakeformation list-permissions --resource-type TABLE a revisarlas.

  • Ha preparado políticas de IAM que proporcionan un acceso equivalente a todos los directores afectados.

  • El rol de IAM registrado en Lake Formation aún lo tiene lakeformation:GetDataAccess (necesario durante el período de transición híbrida).

Usando AWS CLI

  1. Paso 1: Otorgar permisos de IAM a los directores

    Adjunte las políticas de IAM a los usuarios o roles a los que necesiten acceso. La política debe incluir tanto AWS Glue los permisos de metadatos como los permisos de datos de S3 Tables.

    nota

    El siguiente ejemplo de política solo proporciona acceso de lectura.

    aws iam put-user-policy \
  --user-name GlueIAMAccessUser \
  --policy-name S3TablesIAMAccessPolicy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GlueMetadataAccess",
            "Effect": "Allow",
            "Action": [
                "glue:GetCatalog",
                "glue:GetDatabase",
                "glue:GetTable"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:AWSAccountID:catalog/s3tablescatalog",
                "arn:aws:glue:us-east-1:AWSAccountID:database/s3tablescatalog/table-bucket-name/namespace",
                "arn:aws:glue:us-east-1:AWSAccountID:table/s3tablescatalog/table-bucket-name/namespace/*"
            ]
        },
        {
            "Sid": "S3TablesDataAccess",
            "Effect": "Allow",
            "Action": [
                "s3tables:GetTableBucket",
                "s3tables:GetTable",
                "s3tables:GetTableMetadataLocation",
                "s3tables:GetTableData"
            ],
            "Resource": [
                "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/table-bucket-name",
                "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/table-bucket-name/table/*"
            ]
        }
    ]
  }'

    Compruebe que todos los usuarios y roles afectados puedan acceder a las tablas esperadas con sus credenciales de IAM antes de continuar.

  2. Paso 2: Actualice el catálogo para restaurar los permisos predeterminados de IAM

    Actualice el catálogo para eso CreateDatabaseDefaultPermissions y CreateTableDefaultPermissions asígneloALL. IAM_ALLOWED_PRINCIPALS OverwriteChildResourcePermissionsWithDefaultAcceptConfigúrelo para que el cambio se propague a todos los recursos secundarios existentes, no solo a los recién creados.

    aws glue update-catalog \
  --catalog-id "s3tablescatalog" \
  --catalog-input '{
    "FederatedCatalog": {
        "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
        "ConnectionName": "aws:s3tables"
    },
    "CreateDatabaseDefaultPermissions": [{
        "Principal": {"DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"},
        "Permissions": ["ALL"]
    }],
    "CreateTableDefaultPermissions": [{
        "Principal": {"DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"},
        "Permissions": ["ALL"]
    }],
    "OverwriteChildResourcePermissionsWithDefault": "Accept"
  }'

  3. Paso 3: Anular el registro del recurso de Lake Formation

    Una vez que hayas confirmado que todos los accesos funcionan según las políticas de IAM y que los directores no dependen de las subvenciones de Lake Formation, puedes anular el registro del recurso de Lake Formation para completar la migración.

    aws lakeformation deregister-resource \
  --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*"
    nota

    Tras anular el registro del recurso, elimínelo de las entidades principales lakeformation:GetDataAccess de IAM que ya no lo necesiten.

No es necesario realizar ningún pasorevoke-permissions.