Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memutakhirkan izin AWS Glue data ke model AWS Lake Formation
AWS Lake Formation izin mengaktifkan kontrol akses berbutir halus untuk data di danau data Anda. Anda dapat menggunakan model izin Lake Formation untuk mengelola AWS Glue Data Catalog objek dan lokasi data yang ada di Amazon Simple Storage Service (Amazon S3).
Model izin Lake Formation menggunakan izin kasar AWS Identity and Access Management (IAM) untuk akses layanan API. Lake Formation menggunakan [Pemfilteran data dan keamanan tingkat sel di Lake Formation](data-filtering.md) fungsionalitas untuk membatasi akses tabel di kolom, baris, dan tingkat sel untuk pengguna dan aplikasinya. Sebagai perbandingan, AWS Glue model memberikan akses data melalui kebijakan [IAM berbasis Identitas dan sumber daya](https://docs.aws.amazon.com/glue/latest/dg/security_iam_service-with-iam.html#security_iam_service-with-iam-id-based-policies).
Untuk beralih, ikuti langkah-langkah dalam panduan ini.
Untuk informasi selengkapnya, lihat [Ikhtisar izin Lake Formation](lf-permissions-overview.md).
## Tentang izin default
Untuk mempertahankan kompatibilitas mundur denganAWS Glue, secara default, AWS Lake Formation memberikan `Super` izin kepada `IAMAllowedPrincipals` grup pada semua sumber daya Katalog AWS Glue Data yang ada, dan memberikan `Super` izin pada sumber daya Katalog Data baru jika pengaturan **kontrol akses Use only IAM diaktifkan**. Hal ini secara efektif menyebabkan akses ke sumber daya Katalog Data dan lokasi Amazon S3 dikendalikan semata-mata oleh kebijakan AWS Identity and Access Management (IAM). `IAMAllowedPrincipals`Grup ini mencakup setiap pengguna IAM dan peran yang diizinkan mengakses objek Katalog Data Anda oleh kebijakan IAM Anda. `Super`Izin memungkinkan kepala sekolah untuk melakukan setiap operasi Lake Formation yang didukung pada database atau tabel yang diberikan.
Anda dapat mulai menggunakan Lake Formation untuk mengelola akses ke data Anda dengan mendaftarkan lokasi sumber daya Katalog Data yang ada di Lake Formation atau dengan menggunakan mode akses hybrid. Saat mendaftarkan lokasi Amazon S3 dalam mode akses hybrid, Anda dapat mengaktifkan izin Lake Formation dengan memilih prinsipal untuk database dan tabel di bawah lokasi tersebut.
Untuk memudahkan transisi izin data lake dari model IAM dan Amazon S3 ke izin Lake Formation, kami sarankan Anda untuk menggunakan mode akses hybrid untuk Katalog Data. Dengan mode akses hybrid, Anda memiliki jalur tambahan di mana Anda dapat mengaktifkan izin Lake Formation untuk kumpulan pengguna tertentu tanpa mengganggu pengguna atau beban kerja lain yang ada.
Untuk informasi selengkapnya, lihat [Mode akses hibrid](hybrid-access-mode.md).
Nonaktifkan pengaturan Katalog Data default untuk memindahkan semua pengguna tabel yang ada ke Lake Formation dalam satu langkah.
Untuk mulai menggunakan izin Lake Formation dengan database dan tabel Katalog AWS Glue Data yang ada, Anda harus melakukan hal berikut:
1. Tentukan izin IAM pengguna Anda yang ada untuk setiap database dan tabel.
1. Replikasi izin ini di Lake Formation.
1. Untuk setiap lokasi Amazon S3 yang berisi data:
1. Cabut `Super` izin dari `IAMAllowedPrincipals` grup pada setiap sumber daya Katalog Data yang mereferensikan lokasi tersebut.
1. Daftarkan lokasi dengan Lake Formation.
1. Bersihkan kebijakan IAM kontrol akses berbutir halus yang ada.
**penting**
Untuk menambahkan pengguna baru saat dalam proses transisi Katalog Data Anda, Anda harus menyiapkan AWS Glue izin granular di IAM seperti sebelumnya. Anda juga harus mereplikasi izin tersebut di Lake Formation seperti yang dijelaskan di bagian ini. Jika pengguna baru memiliki kebijakan IAM berbutir kasar yang dijelaskan dalam panduan ini, mereka dapat mencantumkan database atau tabel apa pun yang memiliki izin yang diberikan. `Super` `IAMAllowedPrincipals` Mereka juga dapat melihat metadata untuk sumber daya tersebut.
Ikuti langkah-langkah di bagian ini untuk meningkatkan ke model izin Lake Formation.
**Topics**
+ [Tentang izin default](#upgrade-glue-lake-formation-background)
+ [Langkah 1: Daftar izin pengguna dan peran yang ada](#upgrade-glue-lake-formation-step1)
+ [Langkah 2: Siapkan izin Lake Formation yang setara](#upgrade-glue-lake-formation-step2)
+ [Langkah 3: Berikan izin IAM kepada pengguna untuk menggunakan Lake Formation](#upgrade-glue-lake-formation-step3)
+ [Langkah 4: Alihkan penyimpanan data Anda ke model izin Lake Formation](#upgrade-glue-lake-formation-step4)
+ [Langkah 5: Amankan sumber daya Katalog Data baru](#upgrade-glue-lake-formation-step5)
+ [Langkah 6: Beri pengguna kebijakan IAM baru untuk akses data lake future](#upgrade-glue-lake-formation-step6)
+ [Langkah 7: Bersihkan kebijakan IAM yang ada](#upgrade-glue-lake-formation-step7)
## Langkah 1: Daftar izin pengguna dan peran yang ada
Untuk mulai menggunakan AWS Lake Formation izin dengan AWS Glue database dan tabel yang ada, Anda harus terlebih dahulu menentukan izin pengguna yang ada.
**penting**
Sebelum Anda mulai, pastikan bahwa Anda telah menyelesaikan tugas di[Memulai dengan Lake Formation](getting-started-setup.md).
**Topics**
+ [Menggunakan operasi API](#upgrade-glue-lake-formation-step1-api)
+ [Menggunakan Konsol Manajemen AWS](#upgrade-glue-lake-formation-step1-console)
+ [Menggunakan AWS CloudTrail](#upgrade-glue-lake-formation-step1-ct)
### Menggunakan operasi API
Gunakan operasi [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html)API AWS Identity and Access Management (IAM) untuk menentukan kebijakan IAM yang dilampirkan pada setiap prinsipal (pengguna atau peran). Dari kebijakan yang ditampilkan dalam hasil, Anda dapat menentukan izin IAM yang diberikan kepada prinsipal. Anda harus menjalankan API untuk setiap prinsipal secara terpisah.
**Example**
AWS CLI Contoh berikut mengembalikan kebijakan yang dilampirkan ke pengguna`glue_user1`.
```
aws iam list-policies-granting-service-access --arn arn:aws:iam::111122223333:user/glue_user1 --service-namespaces glue
```
Perintah mengembalikan hasil yang mirip dengan berikut ini.
```
{
"PoliciesGrantingServiceAccess": [
{
"ServiceNamespace": "glue",
"Policies": [
{
"PolicyType": "INLINE",
"PolicyName": "GlueUserBasic",
"EntityName": "glue_user1",
"EntityType": "USER"
},
{
"PolicyType": "MANAGED",
"PolicyArn": "arn:aws:iam::aws:policy/AmazonAthenaFullAccess",
"PolicyName": "AmazonAthenaFullAccess"
}
]
}
],
"IsTruncated": false
}
```
### Menggunakan Konsol Manajemen AWS
Anda juga dapat melihat informasi ini di konsol AWS Identity and Access Management (IAM), di tab **Access Advisor** di halaman **Ringkasan** pengguna atau peran:
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna** atau **Peran**.
1. Pilih nama dalam daftar untuk membuka halaman **Ringkasannya**, dan pilih tab **Access Advisor**.
1. Periksa setiap kebijakan untuk menentukan kombinasi database, tabel, dan tindakan yang setiap pengguna memiliki izin.
Ingatlah untuk memeriksa peran selain pengguna selama proses ini karena pekerjaan pemrosesan data Anda mungkin mengambil peran untuk mengakses data.
### Menggunakan AWS CloudTrail
Cara lain untuk menentukan izin yang ada adalah dengan mencari panggilan AWS Glue API di mana `additionaleventdata` bidang log berisi `insufficientLakeFormationPermissions` entri. AWS CloudTrail Entri ini mencantumkan database dan tabel tempat pengguna memerlukan izin Lake Formation untuk mengambil tindakan yang sama.
Ini adalah log akses data, sehingga mereka tidak dijamin untuk menghasilkan daftar lengkap pengguna dan izin mereka. Sebaiknya pilih rentang waktu yang luas untuk menangkap sebagian besar pola akses data pengguna Anda, misalnya, beberapa minggu atau bulan.
Untuk informasi selengkapnya, lihat [Melihat CloudTrail Acara dengan Riwayat Acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) di *Panduan AWS CloudTrail Pengguna*.
Selanjutnya, Anda dapat mengatur izin Lake Formation agar sesuai dengan izin. AWS Glue Lihat [Langkah 2: Siapkan izin Lake Formation yang setara](#upgrade-glue-lake-formation-step2).
## Langkah 2: Siapkan izin Lake Formation yang setara
Menggunakan informasi yang dikumpulkan[Langkah 1: Daftar izin pengguna dan peran yang ada](#upgrade-glue-lake-formation-step1), berikan AWS Lake Formation izin untuk mencocokkan AWS Glue izin. Gunakan salah satu metode berikut untuk melakukan hibah:
+ Gunakan konsol Lake Formation atau AWS CLI.
Lihat [Memberikan izin pada sumber daya Katalog Data](granting-catalog-permissions.md).
+ Gunakan operasi `GrantPermissions` atau `BatchGrantPermissions` API.
Lihat [Izin APIsMode akses hibrid APIs](aws-lake-formation-api-aws-lake-formation-api-permissions.md).
Untuk informasi selengkapnya, lihat [Ikhtisar izin Lake Formation](lf-permissions-overview.md).
Setelah mengatur izin Lake Formation, lanjutkan ke[Langkah 3: Berikan izin IAM kepada pengguna untuk menggunakan Lake Formation](#upgrade-glue-lake-formation-step3).
## Langkah 3: Berikan izin IAM kepada pengguna untuk menggunakan Lake Formation
Untuk menggunakan model AWS Lake Formation izin, kepala sekolah harus memiliki izin AWS Identity and Access Management (IAM) di Lake Formation. APIs
Buat kebijakan berikut di IAM dan lampirkan ke setiap pengguna yang membutuhkan akses ke data lake Anda. Sebutkan kebijakan `LakeFormationDataAccess`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccess",
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess"
],
"Resource": "*"
}
]
}
```
------
Selanjutnya, tingkatkan ke Lake Formation mengizinkan satu lokasi data pada satu waktu. Lihat [Langkah 4: Alihkan penyimpanan data Anda ke model izin Lake Formation](#upgrade-glue-lake-formation-step4).
## Langkah 4: Alihkan penyimpanan data Anda ke model izin Lake Formation
Tingkatkan ke Lake Formation mengizinkan satu lokasi data pada satu waktu. Untuk melakukan itu, ulangi seluruh bagian ini sampai Anda telah mendaftarkan semua jalur Amazon Simple Storage Service (Amazon S3) yang direferensikan oleh Katalog Data Anda.
**Topics**
+ [Verifikasi izin Lake Formation](#identify-catalog-resources)
+ [Mengamankan sumber daya Katalog Data yang ada](#upgrade-secure-resources)
+ [Aktifkan izin Lake Formation untuk lokasi Amazon S3](#upgrade-glue-lake-formation-turn-on-permissions)
### Verifikasi izin Lake Formation
Sebelum mendaftarkan lokasi, lakukan langkah verifikasi untuk memastikan bahwa kepala sekolah yang benar memiliki izin Lake Formation yang diperlukan, dan bahwa tidak ada izin Lake Formation yang diberikan kepada kepala sekolah yang seharusnya tidak memilikinya. Menggunakan operasi Lake Formation `GetEffectivePermissionsForPath` API, identifikasi sumber daya Katalog Data yang mereferensikan lokasi Amazon S3, bersama dengan prinsipal yang memiliki izin pada sumber daya tersebut.
AWS CLI Contoh berikut menampilkan database dan tabel Katalog Data yang mereferensikan bucket Amazon `products` S3.
```
aws lakeformation get-effective-permissions-for-path --resource-arn arn:aws:s3:::products --profile datalake_admin
```
Perhatikan `profile` opsinya. Kami menyarankan Anda menjalankan perintah sebagai administrator danau data.
Berikut ini adalah kutipan dari hasil yang dikembalikan.
```
{
"PermissionsWithGrantOption": [
"SELECT"
],
"Resource": {
"TableWithColumns": {
"Name": "inventory_product",
"ColumnWildcard": {},
"DatabaseName": "inventory"
}
},
"Permissions": [
"SELECT"
],
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1",
"DataLakePrincipalType": "IAM_USER"
}
},...
```
**penting**
Jika Katalog AWS Glue Data Anda dienkripsi, hanya `GetEffectivePermissionsForPath` mengembalikan database dan tabel yang dibuat atau dimodifikasi setelah ketersediaan umum Lake Formation.
### Mengamankan sumber daya Katalog Data yang ada
Selanjutnya, cabut `Super` izin dari `IAMAllowedPrincipals` setiap tabel dan database yang Anda identifikasi untuk lokasi tersebut.
**Awas**
Jika Anda memiliki otomatisasi yang membuat database dan tabel di Katalog Data, langkah-langkah berikut dapat menyebabkan pekerjaan otomatisasi dan hilir ekstrak, transformasi, dan pemuatan (ETL) gagal. Lanjutkan hanya setelah Anda memodifikasi proses yang ada atau memberikan izin Formasi Danau eksplisit ke kepala sekolah yang diperlukan. Untuk informasi tentang izin Lake Formation, lihat[Referensi izin Lake Formation](lf-permissions-reference.md).
**Untuk mencabut `Super` dari `IAMAllowedPrincipals` atas meja**
1. Buka AWS Lake Formation konsol di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Masuk sebagai administrator danau data.
1. Di panel navigasi, pilih **Tabel**.
1. Pada halaman **Tabel**, pilih tombol radio di sebelah tabel yang diinginkan.
1. Pada menu **Tindakan**, pilih **Cabut**.
1. **Dalam kotak dialog **Cabut izin**, di daftar **pengguna dan peran IAM**, gulir ke bawah ke judul **Grup**, dan pilih Prinsip. IAMAllowed**
1. Di bawah **izin Tabel**, pastikan **Super** dipilih, lalu pilih **Batalkan**.
**Untuk mencabut `Super` dari `IAMAllowedPrincipals` database**
1. Buka AWS Lake Formation konsol di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Masuk sebagai administrator danau data.
1. Di panel navigasi, pilih **Basis data**.
1. Pada halaman **Database**, pilih tombol radio di sebelah database yang diinginkan.
1. Di menu **Tindakan**, pilih **Edit**.
1. Pada halaman **Edit database**, hapus **Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini**, lalu pilih **Simpan**.
1. Kembali ke halaman **Database**, pastikan bahwa database masih dipilih, dan kemudian pada menu **Tindakan**, pilih **Cabut**.
1. **Dalam kotak dialog **Cabut izin**, di daftar **pengguna dan peran IAM**, gulir ke bawah ke judul **Grup**, dan pilih Prinsip. IAMAllowed**
1. Di bawah **Izin database**, pastikan **Super** dipilih, lalu pilih **Cabut**.
### Aktifkan izin Lake Formation untuk lokasi Amazon S3
Selanjutnya, daftarkan lokasi Amazon S3 dengan Lake Formation. Untuk melakukan ini, Anda dapat menggunakan proses yang dijelaskan dalam[Menambahkan lokasi Amazon S3 ke danau data Anda](register-data-lake.md). Atau, gunakan operasi `RegisterResource` API seperti yang dijelaskan dalam[Penjual kredensi APIs](aws-lake-formation-api-credential-vending.md).
**catatan**
Jika lokasi induk terdaftar, Anda tidak perlu mendaftarkan lokasi anak.
Setelah Anda menyelesaikan langkah-langkah ini dan menguji apakah pengguna Anda dapat mengakses data mereka, Anda telah berhasil meningkatkan ke izin Lake Formation. Lanjutkan dengan langkah selanjutnya,[Langkah 5: Amankan sumber daya Katalog Data baru](#upgrade-glue-lake-formation-step5).
## Langkah 5: Amankan sumber daya Katalog Data baru
Selanjutnya, amankan semua sumber daya Katalog Data baru dengan mengubah pengaturan Katalog Data default. Matikan opsi untuk menggunakan kontrol akses hanya AWS Identity and Access Management (IAM) untuk database dan tabel baru.
**Awas**
Jika Anda memiliki otomatisasi yang membuat database dan tabel di Katalog Data, langkah-langkah berikut dapat menyebabkan pekerjaan otomatisasi dan hilir ekstrak, transformasi, dan pemuatan (ETL) gagal. Lanjutkan hanya setelah Anda memodifikasi proses yang ada atau memberikan izin Formasi Danau eksplisit ke kepala sekolah yang diperlukan. Untuk informasi tentang izin Lake Formation, lihat[Referensi izin Lake Formation](lf-permissions-reference.md).
**Untuk mengubah pengaturan Katalog Data default**
1. Buka AWS Lake Formation konsol di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Masuk sebagai pengguna administratif IAM (pengguna `Administrator` atau pengguna lain dengan kebijakan `AdministratorAccess` AWS terkelola).
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Pada halaman **Pengaturan katalog data**, kosongkan kedua kotak centang, lalu pilih **Simpan**.
Langkah selanjutnya adalah memberi pengguna akses ke database atau tabel tambahan di masa depan. Lihat [Langkah 6: Beri pengguna kebijakan IAM baru untuk akses data lake future](#upgrade-glue-lake-formation-step6).
## Langkah 6: Beri pengguna kebijakan IAM baru untuk akses data lake future
Untuk memberi pengguna akses ke database atau tabel Katalog Data tambahan di masa mendatang, Anda harus memberi mereka kebijakan inline berbutir kasar AWS Identity and Access Management (IAM) berikut. Sebutkan kebijakan `GlueFullReadAccess`.
**penting**
Jika Anda melampirkan kebijakan ini ke pengguna sebelum mencabut `Super` dari setiap database dan tabel `IAMAllowedPrincipals` di Katalog Data Anda, pengguna tersebut dapat melihat semua metadata untuk sumber daya apa pun yang `Super` diberikan. `IAMAllowedPrincipals`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GlueFullReadAccess",
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartitions"
],
"Resource": "*"
}
]
}
```
------
**catatan**
Kebijakan inline yang ditetapkan dalam langkah ini dan langkah sebelumnya berisi izin IAM minimal. Untuk kebijakan yang disarankan untuk administrator data lake, analis data, dan persona lainnya, lihat. [Referensi personas Lake Formation dan izin IAM](permissions-reference.md)
Selanjutnya, lanjutkan ke[Langkah 7: Bersihkan kebijakan IAM yang ada](#upgrade-glue-lake-formation-step7).
## Langkah 7: Bersihkan kebijakan IAM yang ada
Setelah menyiapkan AWS Lake Formation izin dan membuat serta melampirkan kebijakan kontrol akses kasar AWS Identity and Access Management (IAM), selesaikan langkah terakhir berikut:
+ Hapus dari pengguna, grup, dan peran kebijakan IAM [kontrol akses berbutir halus](https://docs.aws.amazon.com/glue/latest/dg/using-identity-based-policies.html#glue-identity-based-policy-limitations.html) lama yang Anda replikasi di Lake Formation.
Dengan melakukan ini, Anda memastikan bahwa prinsipal tersebut tidak lagi memiliki akses langsung ke data di Amazon Simple Storage Service (Amazon S3). Anda kemudian dapat mengelola akses data lake untuk prinsipal tersebut sepenuhnya melalui Lake Formation.