As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Habilite a integração do Lake Formation com o S3 Tables com o Data Catalog
Esta seção descreve o fluxo de trabalho para migrar o controle de acesso dos privilégios do IAM para o IAM com AWS Lake Formation concessões para tabelas do Amazon S3 integradas ao. AWS Glue Data Catalog
Importante
A ativação do controle de AWS Lake Formation acesso revogará todo o acesso existente baseado em IAM aos seus recursos do S3 Tables. Depois de concluir a Etapa 1, os usuários e funções que acessaram dados anteriormente por meio de permissões do IAM perderão o acesso imediatamente. Você deve conceder permissões ao Lake Formation na Etapa 2 antes que os usuários possam consultar os dados novamente. Planeje essa migração durante uma janela de manutenção e coordene com sua equipe de dados.
Pré-requisitos
Para read/write acessar as tabelas do S3, além das permissões do Lake Formation, os diretores também precisam da permissão do lakeformation:GetDataAccess IAM. Com essa permissão, o Lake Formation concede a solicitação de credenciais temporárias para acessar os dados.
Usando AWS CLI
-
Etapa 1: registrar o bucket no Lake Formation usando a função IAM
Registre o recurso S3 Tables no Lake Formation.
nota
Se você já tem uma função, certifique-se de que o acesso híbrido seja falso.
aws lakeformation register-resource \ --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \ --role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \ --with-federation -
Etapa 2: Atualizar o AWS Glue catálogo para ativar o controle de acesso do Lake Formation
Atualize o catálogo com
CreateDatabaseDefaultPermissionseCreateTableDefaultPermissions(definido como[]) vazio e definido comoOverwriteChildResourcePermissionsWithDefaultAccept. Isso remove o acesso baseado em IAM de todos os recursos secundários existentes e permite que o catálogo e seus objetos sejam gerenciados usando subsídios do Lake Formation.aws glue update-catalog \ --catalog-id "s3tablescatalog" \ --catalog-input '{ "FederatedCatalog": { "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*", "ConnectionName": "aws:s3tables" }, "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [], "OverwriteChildResourcePermissionsWithDefault": "Accept", "AllowFullTableExternalDataAccess": "True" }' -
Etapa 3: conceder permissões do Lake Formation à sua equipe de dados
Conceda permissões do Lake Formation aos diretores (funções, usuários ou grupos) que precisam de acesso. Por exemplo, para conceder acesso de leitura de tabela completa a uma função:
aws lakeformation grant-permissions \ --principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole\ --resource '{ "Table": { "CatalogId": "AWSAccountID", "DatabaseName": "s3tablescatalog/table-bucket-name/namespace", "TableWildcard": {} } }' \ --permissions "SELECT" "DESCRIBE"Repita o procedimento para cada combinação principal e de recursos, conforme necessário.