As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilite a integração do Lake Formation com o S3 Tables com o Data Catalog
<a name="change-access-iam-to-lf"></a>

Esta seção descreve o fluxo de trabalho para migrar o controle de acesso dos privilégios do IAM para o IAM com AWS Lake Formation concessões para tabelas do Amazon S3 integradas ao. AWS Glue Data Catalog

**Importante**  
A ativação do controle de AWS Lake Formation acesso revogará todo o acesso existente baseado em IAM aos seus recursos do S3 Tables. Depois de concluir a Etapa 1, os usuários e funções que acessaram dados anteriormente por meio de permissões do IAM perderão o acesso imediatamente. Você deve conceder permissões ao Lake Formation na Etapa 2 antes que os usuários possam consultar os dados novamente. Planeje essa migração durante uma janela de manutenção e coordene com sua equipe de dados.

## Pré-requisitos
<a name="w2aac13c29b7b7"></a>

Para read/write acessar as tabelas do S3, além das permissões do Lake Formation, os diretores também precisam da permissão do `lakeformation:GetDataAccess` IAM. Com essa permissão, o Lake Formation concede a solicitação de credenciais temporárias para acessar os dados.

## Usando AWS CLI
<a name="w2aac13c29b7b9"></a>

1. **Etapa 1: registrar o bucket no Lake Formation usando a função IAM**

   Registre o recurso S3 Tables no Lake Formation.
**nota**  
Se você já tem uma função, certifique-se de que o acesso híbrido seja falso.

   ```
   aws lakeformation register-resource \
     --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
     --role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
     --with-federation
   ```

1. **Etapa 2: Atualizar o AWS Glue catálogo para ativar o controle de acesso do Lake Formation**

   Atualize o catálogo com `CreateDatabaseDefaultPermissions` e `CreateTableDefaultPermissions` (definido como`[]`) vazio e definido como `OverwriteChildResourcePermissionsWithDefault``Accept`. Isso remove o acesso baseado em IAM de todos os recursos secundários existentes e permite que o catálogo e seus objetos sejam gerenciados usando subsídios do Lake Formation.

   ```
   aws glue update-catalog \
     --catalog-id "s3tablescatalog" \
     --catalog-input '{
       "FederatedCatalog": {
           "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
           "ConnectionName": "aws:s3tables"
       },
       "CreateDatabaseDefaultPermissions": [],
       "CreateTableDefaultPermissions": [],
       "OverwriteChildResourcePermissionsWithDefault": "Accept",
       "AllowFullTableExternalDataAccess": "True"
     }'
   ```

1. **Etapa 3: conceder permissões do Lake Formation à sua equipe de dados**

   Conceda permissões do Lake Formation aos diretores (funções, usuários ou grupos) que precisam de acesso. Por exemplo, para conceder acesso de leitura de tabela completa a uma função:

   ```
   aws lakeformation grant-permissions \
     --principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
     --resource '{
       "Table": {
           "CatalogId": "AWSAccountID",
           "DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
           "TableWildcard": {}
       }
     }' \
     --permissions "SELECT" "DESCRIBE"
   ```

   Repita o procedimento para cada combinação principal e de recursos, conforme necessário.