Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Integrasi Amazon S3 Tabel dengan dan AWS Glue Data Catalog AWS Lake Formation
Tabel Amazon S3 menyediakan penyimpanan S3 yang secara khusus dioptimalkan untuk beban kerja analitik, meningkatkan kinerja kueri sekaligus mengurangi biaya. Data dalam Tabel S3 disimpan dalam tipe bucket baru: bucket tabel, yang menyimpan tabel sebagai subresource. Tabel S3 memiliki dukungan bawaan untuk standar Apache Iceberg, yang memungkinkan Anda untuk dengan mudah menanyakan data tabel di bucket tabel Amazon S3 menggunakan mesin kueri populer seperti Apache Spark.
Anda dapat mengintegrasikan Tabel Amazon S3 dengan AWS Glue Data Catalog menggunakan kontrol akses IAM atau dengan hibah IAM dan Lake Formation:
-
Kontrol akses IAM: Menggunakan kebijakan IAM untuk mengontrol akses ke Tabel S3 dan Katalog Data. Dalam pendekatan kontrol akses ini, Anda memerlukan izin IAM pada sumber daya Tabel S3 dan objek Katalog Data untuk mengakses sumber daya.
-
Kontrol akses Lake Formation: Menggunakan AWS Lake Formation hibah selain izin AWS Glue IAM untuk mengontrol akses ke Tabel S3 melalui Katalog Data. Dalam mode ini, prinsipal memerlukan izin IAM untuk berinteraksi dengan Katalog Data, dan hibah Lake Formation menentukan sumber daya katalog (database, tabel, kolom, baris) yang dapat diakses prinsipal. Mode ini mendukung kontrol akses berbutir kasar (hibah tingkat database dan tingkat tabel) dan kontrol akses berbutir halus (keamanan tingkat kolom dan tingkat baris). Ketika peran terdaftar dikonfigurasi dan penjual kredensi diaktifkan, izin IAM Tabel S3 tidak diperlukan untuk kepala sekolah, karena Lake Formation menjual kredensil atas nama kepala sekolah menggunakan peran terdaftar. Kontrol akses Lake Formation juga mendukung penjual kredenal untuk mesin analitik pihak ketiga.
Bagian ini memberikan panduan untuk mengonfigurasi integrasi dengan AWS Lake Formation skenario berikut:
-
Skenario A: Anda mengintegrasikan Tabel S3 dan Katalog Data menggunakan kontrol akses IAM dan sekarang berencana untuk menggunakannya. AWS Lake Formation Lihat Mengubah kontrol akses untuk integrasi Tabel S3 untuk mempelajari selengkapnya.
-
Skenario B: Anda berencana untuk mengintegrasikan Tabel S3 dan Katalog Data menggunakan AWS Lake Formation dan tidak mengintegrasikannya di akun dan Wilayah Anda hari ini. Mulailah dengan Prasyarat untuk mengintegrasikan katalog tabel Amazon S3 dengan Katalog Data dan Lake Formation bagian dan ikutiMengaktifkan integrasi Tabel Amazon S3.
-
Skenario C: Anda mengintegrasikan Tabel S3 dan Katalog Data menggunakan AWS Lake Formation dan sekarang berencana untuk menggunakan IAM. Lihat Mengubah kontrol akses untuk integrasi Tabel S3 untuk mempelajari selengkapnya.
Pastikan Anda mengikuti langkah-langkah dalam Mengintegrasikan Tabel S3 dengan layanan AWS analitik sehingga Anda memiliki izin yang sesuai untuk mengakses dan sumber daya tabel Anda, AWS Glue Data Catalog dan untuk bekerja dengan AWS layanan analitik.
Topik
Cara kerja integrasi Katalog Data dan Lake Formation
Saat Anda mengintegrasikan katalog tabel S3 dengan Katalog Data dan Lake Formation, AWS Glue layanan akan membuat katalog federasi tunggal yang disebut s3tablescatalog dalam Katalog Data default akun Anda khusus untuk Anda. Wilayah AWS Integrasi memetakan semua sumber daya bucket tabel Amazon S3 di akun Anda dan Wilayah AWS di bawah katalog federasi dengan cara berikut:
Bucket tabel Amazon S3 menjadi katalog multi-level di Katalog Data.
-
Namespace Amazon S3 terkait terdaftar sebagai database di Katalog Data.
-
Tabel Amazon S3 di keranjang tabel menjadi tabel di Katalog Data.
Setelah terintegrasi dengan Lake Formation, Anda dapat membuat tabel Apache Iceberg di katalog bucket tabel, dan mengaksesnya melalui mesin AWS analitik terintegrasi seperti, Amazon Athena Amazon EMR serta mesin analitik pihak ketiga.
Saat Anda juga mengaktifkan Lake Formation dengan integrasi, ini memungkinkan kontrol akses berbutir halus. AWS Lake Formation Pendekatan keamanan ini berarti bahwa, selain izin AWS Identity and Access Management (IAM), Anda harus memberikan izin kepada kepala IAM Anda dengan izin Lake Formation di tabel Anda sebelum Anda dapat bekerja dengannya.
Ada dua jenis izin utama di AWS Lake Formation:
-
Izin akses metadata mengontrol kemampuan untuk membuat, membaca, memperbarui, dan menghapus database dan tabel metadata di Katalog Data.
-
Izin akses data yang mendasari mengontrol kemampuan untuk membaca dan menulis data ke lokasi Amazon S3 yang mendasari yang ditunjuk oleh sumber daya Katalog Data.
Lake Formation menggunakan kombinasi model izinnya sendiri dan model izin IAM untuk mengontrol akses ke sumber daya Katalog Data dan data yang mendasarinya:
-
Agar permintaan mengakses sumber daya Katalog Data atau data yang mendasarinya berhasil, permintaan harus lulus pemeriksaan izin oleh IAM dan Lake Formation.
-
Izin IAM mengontrol akses ke Lake Formation dan AWS Glue APIs dan resource, sedangkan izin Lake Formation mengontrol akses ke sumber daya Katalog Data, lokasi Amazon S3, dan data yang mendasarinya.
Izin Lake Formation hanya berlaku di Wilayah di mana mereka diberikan, dan kepala sekolah harus diberi wewenang oleh administrator danau data atau kepala sekolah lain dengan izin yang diperlukan untuk diberikan izin Lake Formation.
