Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Integración de Amazon S3 Tables con AWS Glue Data Catalog y AWS Lake Formation
Las Tablas de Amazon S3 proporcionan almacenamiento S3 optimizado específicamente para cargas de trabajo de análisis, lo que mejora el rendimiento de las consultas y reduce los costos. Los datos de Tablas de S3 se almacenan en un nuevo tipo de bucket: un bucket de tablas, que almacena tablas como subrecursos. Las tablas de S3 incluyen compatibilidad integrada con el estándar Apache Iceberg, que permite consultar fácilmente datos tabulares en buckets de tablas de Amazon S3 mediante motores de consulta populares como Apache Spark.
Puede integrar Amazon S3 Tables AWS Glue Data Catalog mediante controles de acceso de IAM o con subvenciones de IAM y Lake Formation:
-
Control de acceso de IAM: utiliza políticas de IAM para controlar el acceso a las tablas y al catálogo de datos de S3. En este enfoque de control de acceso, se necesitan permisos de IAM tanto en los recursos de S3 Tables como en los objetos del catálogo de datos para acceder a los recursos.
-
Control de acceso a Lake Formation: utiliza AWS Lake Formation concesiones además de los permisos de AWS Glue IAM para controlar el acceso a las tablas S3 a través del catálogo de datos. En este modo, los directores requieren permisos de IAM para interactuar con el catálogo de datos, y las concesiones de Lake Formation determinan a qué recursos del catálogo (bases de datos, tablas, columnas, filas) puede acceder el director. Este modo admite tanto el control de acceso amplio (concesiones a nivel de base de datos y tabla) como el control de acceso detallado (seguridad a nivel de columna y fila). Cuando se configura un rol registrado y se habilita la venta de credenciales, no se requieren permisos de IAM de S3 Tables para el director, ya que Lake Formation vende las credenciales en nombre del principal mediante el rol registrado. El control de acceso de Lake Formation también admite la venta de credenciales para motores de análisis de terceros.
En esta sección se proporciona una guía para configurar la integración en los siguientes escenarios: AWS Lake Formation
-
Escenario A: Ha integrado las tablas y el catálogo de datos de S3 mediante los controles de acceso de IAM y ahora piensa AWS Lake Formation utilizarlos. Consulte Cambiar los controles de acceso para la integración de S3 Tables para obtener más información.
-
Escenario B: Planea integrar las tablas y el catálogo de datos de S3 utilizando su cuenta AWS Lake Formation y región, y actualmente no los tiene integrados en su cuenta y región. Comience con la Requisitos previos para integrar el catálogo de Tablas de Amazon S3 con el Catálogo de datos y Lake Formation sección y sigaHabilitación de la integración de Tablas de Amazon S3.
-
Escenario C: Ha integrado las tablas y el catálogo de datos de S3 mediante IAM AWS Lake Formation y ahora planea usarlo. Consulte Cambiar los controles de acceso para la integración de S3 Tables para obtener más información.
Asegúrese de seguir los pasos que se indican en la sección Integración de las tablas de S3 con los servicios de AWS análisis para disponer de los permisos adecuados para acceder a los recursos de la tabla AWS Glue Data Catalog y a los suyos, y para trabajar con los servicios de AWS análisis.
Temas
Cómo funciona la integración del Catálogo de datos y Lake Formation
Al integrar el catálogo de tablas de S3 con el Catálogo de datos y Lake Formation, el servicio AWS Glue crea un único catálogo federado denominado s3tablescatalog en el Catálogo de datos predeterminado de su cuenta específico de su Región de AWS. La integración mapea todos los recursos del bucket de tablas de Amazon S3 de su Región de AWS cuenta y del catálogo federado de la siguiente manera:
Los buckets de Tablas de Amazon S3 se convierten en un catálogo de varios niveles en el Catálogo de datos.
-
El espacio de nombres de Amazon S3 asociado está registrado como base de datos en el Catálogo de datos.
-
Las Tablas de Amazon S3 del bucket de tablas se convierten en tablas del Catálogo de datos.
Tras la integración con Lake Formation, puede crear tablas de Apache Iceberg en el catálogo de cubos de tablas y acceder a ellas mediante motores de AWS análisis integrados, como Amazon Athena Amazon EMR, así como motores de análisis de terceros.
Cuando también habilitas Lake Formation con la integración, se posibilita un control de acceso detallado. AWS Lake Formation Este enfoque de seguridad significa que, además de los permisos AWS Identity and Access Management (de IAM), debe conceder a su director de IAM con los permisos de Lake Formation en sus tablas antes de poder trabajar con ellos.
Hay dos tipos principales de permisos en AWS Lake Formation:
-
Los permisos de acceso a metadatos controlan la capacidad de crear, leer, actualizar y eliminar bases de datos de metadatos y tablas del Catálogo de datos.
-
Los permisos de acceso a los datos subyacentes controlan la capacidad de leer y escribir datos en las ubicaciones de Amazon S3 subyacentes a las que apuntan los recursos del Catálogo de datos.
Lake Formation utiliza una combinación de su propio modelo de permisos y el modelo de permisos de IAM para controlar el acceso a los recursos del Catálogo de datos y a los datos subyacentes.
-
Para que una solicitud de acceso a los recursos del Catálogo de datos o a los datos subyacentes se atienda correctamente, debe pasar las comprobaciones de permisos tanto de IAM como de Lake Formation.
-
Los permisos de IAM controlan el acceso a Lake Formation AWS Glue APIs y sus recursos, mientras que los permisos de Lake Formation controlan el acceso a los recursos del catálogo de datos, a las ubicaciones de Amazon S3 y a los datos subyacentes.
Los permisos de Lake Formation se aplican solo en la región en la que se concedieron, y la entidad principal debe estar autorizada por un administrador de lago de datos o de otra entidad principal con los permisos necesarios para que se le concedan permisos de Lake Formation.
