Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Modifica dei controlli di accesso per l'integrazione con S3 Tables
Dopo aver integrato Amazon S3 Tables con AWS Glue Data Catalog, puoi modificare il modo in cui viene controllato l'accesso alle risorse del catalogo. Questa sezione spiega come modificare il controllo degli accessi in base al modello di controllo degli accessi attuale e desiderato. L'abilitazione di Lake Formation consente di utilizzare autorizzazioni dettagliate come la sicurezza a livello di colonna e di riga tramite le sovvenzioni di Lake Formation e consente a Lake Formation di vendere credenziali temporanee per conto dei mandanti tramite un ruolo registrato. La modifica del controllo degli accessi da IAM AWS Lake Formation a riporta il controllo degli accessi alle policy IAM standard, il che può essere appropriato se i carichi di lavoro non richiedono un accesso granulare e si preferisce gestire le autorizzazioni interamente tramite IAM. Entrambi i percorsi di migrazione prevedono l'aggiornamento delle impostazioni predefinite del Data Catalog, la modifica delle registrazioni delle risorse con Lake Formation e il coordinamento delle concessioni di autorizzazioni per evitare interruzioni di accesso durante la transizione.
**Topics**
+ [Abilita l'integrazione di Lake Formation con S3 Tables con Data Catalog](change-access-iam-to-lf.md)
+ [Cambia il controllo degli accessi da AWS Lake Formation a IAM](change-access-lf-to-iam.md)
# Abilita l'integrazione di Lake Formation con S3 Tables con Data Catalog
Questa sezione descrive il flusso di lavoro per migrare il controllo degli accessi dai privilegi IAM a IAM con AWS Lake Formation concessioni per Amazon S3 Tables integrate con. AWS Glue Data Catalog
**Importante**
AWS Lake Formation L'abilitazione del controllo degli accessi revocherà tutti gli accessi esistenti basati su IAM alle risorse di S3 Tables. Dopo aver completato la Fase 1, gli utenti e i ruoli che in precedenza accedevano ai dati tramite le autorizzazioni IAM perderanno immediatamente l'accesso. È necessario concedere le autorizzazioni a Lake Formation nello Step 2 prima che gli utenti possano nuovamente interrogare i dati. Pianifica questa migrazione durante una finestra di manutenzione e coordinati con il tuo team addetto ai dati.
## Prerequisiti
Per read/write accedere a S3 Tables, oltre alle autorizzazioni di Lake Formation, i principali necessitano anche dell'`lakeformation:GetDataAccess`autorizzazione IAM. Con questa autorizzazione, Lake Formation concede la richiesta di credenziali temporanee per accedere ai dati.
## Usando AWS CLI
1. **Passaggio 1: registra il bucket con Lake Formation utilizzando il ruolo IAM**
Registra la risorsa S3 Tables con Lake Formation.
**Nota**
Se hai un ruolo esistente, assicurati che l'accesso ibrido sia falso.
```
aws lakeformation register-resource \
--resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
--role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
--with-federation
```
1. **Passaggio 2: Aggiorna il AWS Glue catalogo per abilitare il controllo degli accessi a Lake Formation**
Aggiorna il catalogo con un `CreateDatabaseDefaultPermissions` comando vuoto e `CreateTableDefaultPermissions` (impostato su`[]`) e `OverwriteChildResourcePermissionsWithDefault` impostato su`Accept`. Ciò rimuove l'accesso basato su IAM da tutte le risorse secondarie esistenti e consente di gestire il catalogo e i suoi oggetti utilizzando le sovvenzioni di Lake Formation.
```
aws glue update-catalog \
--catalog-id "s3tablescatalog" \
--catalog-input '{
"FederatedCatalog": {
"Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
"ConnectionName": "aws:s3tables"
},
"CreateDatabaseDefaultPermissions": [],
"CreateTableDefaultPermissions": [],
"OverwriteChildResourcePermissionsWithDefault": "Accept",
"AllowFullTableExternalDataAccess": "True"
}'
```
1. **Passaggio 3: concedi le autorizzazioni di Lake Formation al tuo team di dati**
Concedi le autorizzazioni di Lake Formation ai principali (ruoli, utenti o gruppi) che necessitano di accesso. Ad esempio, per concedere l'accesso in lettura alla tabella completa a un ruolo:
```
aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
--resource '{
"Table": {
"CatalogId": "AWSAccountID",
"DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
"TableWildcard": {}
}
}' \
--permissions "SELECT" "DESCRIBE"
```
Ripetere l'operazione per ogni combinazione principale e di risorse, se necessario.
# Cambia il controllo degli accessi da AWS Lake Formation a IAM
Questa sezione descrive il flusso di lavoro per modificare il controllo degli accessi dalle AWS Lake Formation concessioni ai privilegi IAM per le tabelle Amazon S3 integrate con. AWS Glue Data Catalog
**Importante**
La modifica del controllo degli accessi dalle AWS Lake Formation sovvenzioni a IAM revocherà tutti gli accessi esistenti basati su Lake Formation alle risorse S3 Tables. Dopo aver completato la Fase 2, gli utenti e i ruoli che in precedenza avevano avuto accesso ai dati tramite le sovvenzioni di Lake Formation perderanno immediatamente l'accesso. È necessario concedere l'accesso a IAM nella fase 1 prima di aggiornare il catalogo. Pianifica questa migrazione durante una finestra di manutenzione e coordinati con il tuo team addetto ai dati.
**Importante**
I controlli di accesso dettagliati, come l'accesso a livello di colonna e i filtri delle celle di dati, con oggetti Data Catalog sono disponibili solo quando vengono utilizzati. AWS Lake Formation Prima di procedere alla migrazione dei controlli di accesso da IAM, verifica AWS Lake Formation le sovvenzioni esistenti di Lake Formation utilizzando `aws lakeformation list-permissions` e determina se policy IAM equivalenti possono fornire l'accesso di cui i tuoi utenti hanno bisogno. Qualsiasi ente che si sia basato su sovvenzioni dettagliate di Lake Formation richiederà l'accesso IAM completo a livello di tabella dopo la migrazione del controllo degli accessi.
## Prerequisiti
Prima di iniziare, assicurati quanto segue:
+ Hai identificato tutte le sovvenzioni di Lake Formation attualmente in vigore per le risorse in fase di migrazione. Corri `aws lakeformation list-permissions --resource-type TABLE` a esaminarle.
+ Hai preparato delle policy IAM che forniscono un accesso equivalente a tutti i principali soggetti interessati.
+ Il ruolo IAM registrato presso Lake Formation è ancora valido `lakeformation:GetDataAccess` (necessario durante il periodo di transizione ibrida).
## Usando AWS CLI
1. **Fase 1: concedere le autorizzazioni IAM ai dirigenti**
Allega le policy IAM agli utenti o ai ruoli che necessitano di accesso. La policy deve includere sia le autorizzazioni per i AWS Glue metadati che le autorizzazioni per i dati di S3 Tables.
**Nota**
La politica di esempio seguente fornisce solo l'accesso in lettura.
```
aws iam put-user-policy \
--user-name GlueIAMAccessUser \
--policy-name S3TablesIAMAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GlueMetadataAccess",
"Effect": "Allow",
"Action": [
"glue:GetCatalog",
"glue:GetDatabase",
"glue:GetTable"
],
"Resource": [
"arn:aws:glue:us-east-1:AWSAccountID:catalog/s3tablescatalog",
"arn:aws:glue:us-east-1:AWSAccountID:database/s3tablescatalog/table-bucket-name/namespace",
"arn:aws:glue:us-east-1:AWSAccountID:table/s3tablescatalog/table-bucket-name/namespace/*"
]
},
{
"Sid": "S3TablesDataAccess",
"Effect": "Allow",
"Action": [
"s3tables:GetTableBucket",
"s3tables:GetTable",
"s3tables:GetTableMetadataLocation",
"s3tables:GetTableData"
],
"Resource": [
"arn:aws:s3tables:us-east-1:AWSAccountID:bucket/table-bucket-name",
"arn:aws:s3tables:us-east-1:AWSAccountID:bucket/table-bucket-name/table/*"
]
}
]
}'
```
Verifica che tutti gli utenti e i ruoli interessati possano accedere alle tabelle previste utilizzando le proprie credenziali IAM prima di procedere.
1. **Passaggio 2: aggiorna il catalogo per ripristinare le autorizzazioni predefinite di IAM**
Aggiorna il catalogo in questo modo `CreateDatabaseDefaultPermissions` e `CreateTableDefaultPermissions` concedi `ALL` a`IAM_ALLOWED_PRINCIPALS`. Imposta `Accept` in `OverwriteChildResourcePermissionsWithDefault` modo che la modifica si propaghi a tutte le risorse secondarie esistenti, non solo a quelle appena create.
```
aws glue update-catalog \
--catalog-id "s3tablescatalog" \
--catalog-input '{
"FederatedCatalog": {
"Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
"ConnectionName": "aws:s3tables"
},
"CreateDatabaseDefaultPermissions": [{
"Principal": {"DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"},
"Permissions": ["ALL"]
}],
"CreateTableDefaultPermissions": [{
"Principal": {"DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"},
"Permissions": ["ALL"]
}],
"OverwriteChildResourcePermissionsWithDefault": "Accept"
}'
```
1. **Fase 3: Annullare la registrazione della risorsa da Lake Formation**
Dopo aver verificato che tutti gli accessi funzionano secondo le policy IAM e che nessun committente dipende dalle sovvenzioni di Lake Formation, puoi annullare la registrazione della risorsa da Lake Formation per completare la migrazione.
```
aws lakeformation deregister-resource \
--resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*"
```
**Nota**
Dopo aver annullato la registrazione della risorsa, rimuovi `lakeformation:GetDataAccess` dai principali IAM che non ne hanno più bisogno.
Non è richiesto alcun `revoke-permissions` passaggio.