View a markdown version of this page

Aktifkan Lake Formation dengan integrasi Tabel S3 dengan Katalog Data - AWS Lake Formation
PrasyaratMenggunakan AWS CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan Lake Formation dengan integrasi Tabel S3 dengan Katalog Data

Bagian ini menjelaskan alur kerja untuk memigrasikan kontrol akses dari hak istimewa IAM ke IAM dengan AWS Lake Formation hibah untuk Tabel Amazon S3 yang terintegrasi dengan. AWS Glue Data Catalog

penting

Mengaktifkan kontrol AWS Lake Formation akses akan mencabut semua akses berbasis IAM yang ada ke sumber daya Tabel S3 Anda. Setelah menyelesaikan Langkah 1, pengguna dan peran yang sebelumnya mengakses data melalui izin IAM akan segera kehilangan akses. Anda harus memberikan izin Lake Formation di Langkah 2 sebelum pengguna dapat melakukan kueri data lagi. Rencanakan migrasi ini selama jendela pemeliharaan dan koordinasikan dengan tim data Anda.

Prasyarat

Untuk read/write akses ke Tabel S3, selain izin Lake Formation, kepala sekolah juga memerlukan izin IAM. lakeformation:GetDataAccess Dengan izin ini, Lake Formation memberikan permintaan kredensil sementara untuk mengakses data.

Menggunakan AWS CLI

  1. Langkah 1: Daftarkan bucket dengan Lake Formation menggunakan peran IAM

    Daftarkan sumber daya Tabel S3 dengan Lake Formation.

    catatan

    Jika Anda memiliki peran yang ada, pastikan akses hybrid salah.

    aws lakeformation register-resource \
  --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
  --role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
  --with-federation

  2. Langkah 2: Perbarui AWS Glue katalog untuk mengaktifkan kontrol akses Lake Formation

    Perbarui katalog dengan kosong CreateDatabaseDefaultPermissions dan CreateTableDefaultPermissions (atur ke[]) dan atur OverwriteChildResourcePermissionsWithDefault keAccept. Ini menghapus akses berbasis IAM dari semua sumber daya anak yang ada dan memungkinkan katalog dan objeknya dikelola menggunakan hibah Lake Formation.

    aws glue update-catalog \
  --catalog-id "s3tablescatalog" \
  --catalog-input '{
    "FederatedCatalog": {
        "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
        "ConnectionName": "aws:s3tables"
    },
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "OverwriteChildResourcePermissionsWithDefault": "Accept",
    "AllowFullTableExternalDataAccess": "True"
  }'

  3. Langkah 3: Berikan izin Lake Formation ke tim data Anda

    Berikan izin Lake Formation ke kepala sekolah (peran, pengguna, atau grup) yang memerlukan akses. Misalnya, untuk memberikan akses baca tabel lengkap ke peran:

    aws lakeformation grant-permissions \
  --principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
  --resource '{
    "Table": {
        "CatalogId": "AWSAccountID",
        "DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
        "TableWildcard": {}
    }
  }' \
  --permissions "SELECT" "DESCRIBE"

    Ulangi untuk setiap kombinasi prinsip dan sumber daya sesuai kebutuhan.