View a markdown version of this page

Abilita l'integrazione di Lake Formation con S3 Tables con Data Catalog - AWS Lake Formation
PrerequisitiUsando AWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilita l'integrazione di Lake Formation con S3 Tables con Data Catalog

Questa sezione descrive il flusso di lavoro per migrare il controllo degli accessi dai privilegi IAM a IAM con AWS Lake Formation concessioni per Amazon S3 Tables integrate con. AWS Glue Data Catalog

Importante

AWS Lake Formation L'abilitazione del controllo degli accessi revocherà tutti gli accessi esistenti basati su IAM alle risorse di S3 Tables. Dopo aver completato la Fase 1, gli utenti e i ruoli che in precedenza accedevano ai dati tramite le autorizzazioni IAM perderanno immediatamente l'accesso. È necessario concedere le autorizzazioni a Lake Formation nello Step 2 prima che gli utenti possano nuovamente interrogare i dati. Pianifica questa migrazione durante una finestra di manutenzione e coordinati con il tuo team addetto ai dati.

Prerequisiti

Per read/write accedere a S3 Tables, oltre alle autorizzazioni di Lake Formation, i principali necessitano anche dell'lakeformation:GetDataAccessautorizzazione IAM. Con questa autorizzazione, Lake Formation concede la richiesta di credenziali temporanee per accedere ai dati.

Usando AWS CLI

  1. Passaggio 1: registra il bucket con Lake Formation utilizzando il ruolo IAM

    Registra la risorsa S3 Tables con Lake Formation.

    Nota

    Se hai un ruolo esistente, assicurati che l'accesso ibrido sia falso.

    aws lakeformation register-resource \
  --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
  --role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
  --with-federation

  2. Passaggio 2: Aggiorna il AWS Glue catalogo per abilitare il controllo degli accessi a Lake Formation

    Aggiorna il catalogo con un CreateDatabaseDefaultPermissions comando vuoto e CreateTableDefaultPermissions (impostato su[]) e OverwriteChildResourcePermissionsWithDefault impostato suAccept. Ciò rimuove l'accesso basato su IAM da tutte le risorse secondarie esistenti e consente di gestire il catalogo e i suoi oggetti utilizzando le sovvenzioni di Lake Formation.

    aws glue update-catalog \
  --catalog-id "s3tablescatalog" \
  --catalog-input '{
    "FederatedCatalog": {
        "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
        "ConnectionName": "aws:s3tables"
    },
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "OverwriteChildResourcePermissionsWithDefault": "Accept",
    "AllowFullTableExternalDataAccess": "True"
  }'

  3. Passaggio 3: concedi le autorizzazioni di Lake Formation al tuo team di dati

    Concedi le autorizzazioni di Lake Formation ai principali (ruoli, utenti o gruppi) che necessitano di accesso. Ad esempio, per concedere l'accesso in lettura alla tabella completa a un ruolo:

    aws lakeformation grant-permissions \
  --principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
  --resource '{
    "Table": {
        "CatalogId": "AWSAccountID",
        "DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
        "TableWildcard": {}
    }
  }' \
  --permissions "SELECT" "DESCRIBE"

    Ripetere l'operazione per ogni combinazione principale e di risorse, se necessario.