Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Abilita l'integrazione di Lake Formation con S3 Tables con Data Catalog
Questa sezione descrive il flusso di lavoro per migrare il controllo degli accessi dai privilegi IAM a IAM con AWS Lake Formation concessioni per Amazon S3 Tables integrate con. AWS Glue Data Catalog
Importante
AWS Lake Formation L'abilitazione del controllo degli accessi revocherà tutti gli accessi esistenti basati su IAM alle risorse di S3 Tables. Dopo aver completato la Fase 1, gli utenti e i ruoli che in precedenza accedevano ai dati tramite le autorizzazioni IAM perderanno immediatamente l'accesso. È necessario concedere le autorizzazioni a Lake Formation nello Step 2 prima che gli utenti possano nuovamente interrogare i dati. Pianifica questa migrazione durante una finestra di manutenzione e coordinati con il tuo team addetto ai dati.
Prerequisiti
Per read/write accedere a S3 Tables, oltre alle autorizzazioni di Lake Formation, i principali necessitano anche dell'lakeformation:GetDataAccessautorizzazione IAM. Con questa autorizzazione, Lake Formation concede la richiesta di credenziali temporanee per accedere ai dati.
Usando AWS CLI
-
Passaggio 1: registra il bucket con Lake Formation utilizzando il ruolo IAM
Registra la risorsa S3 Tables con Lake Formation.
Nota
Se hai un ruolo esistente, assicurati che l'accesso ibrido sia falso.
aws lakeformation register-resource \ --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \ --role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \ --with-federation -
Passaggio 2: Aggiorna il AWS Glue catalogo per abilitare il controllo degli accessi a Lake Formation
Aggiorna il catalogo con un
CreateDatabaseDefaultPermissionscomando vuoto eCreateTableDefaultPermissions(impostato su[]) eOverwriteChildResourcePermissionsWithDefaultimpostato suAccept. Ciò rimuove l'accesso basato su IAM da tutte le risorse secondarie esistenti e consente di gestire il catalogo e i suoi oggetti utilizzando le sovvenzioni di Lake Formation.aws glue update-catalog \ --catalog-id "s3tablescatalog" \ --catalog-input '{ "FederatedCatalog": { "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*", "ConnectionName": "aws:s3tables" }, "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [], "OverwriteChildResourcePermissionsWithDefault": "Accept", "AllowFullTableExternalDataAccess": "True" }' -
Passaggio 3: concedi le autorizzazioni di Lake Formation al tuo team di dati
Concedi le autorizzazioni di Lake Formation ai principali (ruoli, utenti o gruppi) che necessitano di accesso. Ad esempio, per concedere l'accesso in lettura alla tabella completa a un ruolo:
aws lakeformation grant-permissions \ --principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole\ --resource '{ "Table": { "CatalogId": "AWSAccountID", "DatabaseName": "s3tablescatalog/table-bucket-name/namespace", "TableWildcard": {} } }' \ --permissions "SELECT" "DESCRIBE"Ripetere l'operazione per ogni combinazione principale e di risorse, se necessario.