As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Convertendo um AWS Glue recurso em um recurso híbrido
Siga estas etapas para registrar uma localização do Amazon S3 no modo de acesso híbrido e integrar novos usuários do Lake Formation sem interromper o acesso aos dados dos usuários existentes do catálogo de dados.
Descrição do cenário - O local dos dados não está registrado no Lake Formation, e o acesso dos usuários ao banco de dados e às tabelas do catálogo de dados é determinado pelas políticas de permissões do IAM para o Amazon S3 e ações do AWS Glue .
Por padrão, o grupo `IAMAllowedPrincipals` tem permissões `Super` em todas as tabelas do banco de dados.
**Para ativar o modo de acesso híbrido para um local de dados que não está registrado no Lake Formation**
1.
**Registre um local do Amazon S3 para ativar o modo de acesso híbrido.**
------
#### [ Console ]
1. Faça login no [console do Lake Formation](https://console.aws.amazon.com/lakeformation/) como administrador do data lake.
1. No painel de navegação, escolha **Localizações do data lake** em **Administração**.
1. Escolha **Registrar localizações**.
![\[Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/hybrid-access-register-s3.png)
1. Na janela **Registrar localização**, escolha o caminho do **Amazon S3** que você deseja registrar no Lake Formation.
1. Para o **perfil do IAM**, escolha a função `AWSServiceRoleForLakeFormationDataAccess` vinculada ao serviço (a padrão) ou um perfil personalizado do IAM que atenda aos requisitos em [Requisitos para funções usadas para registrar locais](registration-role.md).
1. Escolha o **Modo de acesso híbrido** para aplicar políticas refinadas de controle de acesso do Lake Formation às entidades principais e bancos de dados e tabelas do catálogo de dados que apontam para a localização registrada.
Escolha Lake Formation para permitir que o Lake Formation autorize solicitações de acesso ao local registrado.
1. Escolha **Registrar local**.
------
#### [ AWS CLI ]
Veja a seguir um exemplo para registrar um local de dados no Lake Formation HybridAccessEnabled com:true/false. O valor padrão do parâmetro `HybridAccessEnabled` é falso. Substitua o caminho, o nome da função e o ID da AWS conta do Amazon S3 por valores válidos.
```
aws lakeformation register-resource --cli-input-json file:file path
json:
{
"ResourceArn": "arn:aws:s3:::s3-path",
"UseServiceLinkedRole": false,
"RoleArn": "arn:aws:iam::<123456789012>:role/",
"HybridAccessEnabled": true
}
```
------
1.
**Conceda permissões e opte pelas entidades principais para usar as permissões do Lake Formation para recursos no modo de acesso híbrido**
Antes de aceitar entidades principais e recursos no modo de acesso híbrido, verifique se existem permissões `Super` ou `All` para o grupo `IAMAllowedPrincipals` nos bancos de dados e tabelas que têm localização registrada no Lake Formation no modo de acesso híbrido.
**nota**
Você não pode conceder ao grupo `IAMAllowedPrincipals` permissão para `All tables` em um banco de dados. Você precisa selecionar cada tabela separadamente no menu suspenso e conceder permissões. Além disso, ao criar tabelas no banco de dados, você pode optar por usar `Use only IAM access control for new tables in new databases` em **Configurações do Catálogo de Dados**. Essa opção concede permissão `Super` ao grupo `IAMAllowedPrincipals` automaticamente quando você cria novas tabelas no banco de dados.
------
#### [ Console ]
1. No console do Lake Formation, em **Data Catalog**, escolha **Catálogos**, **Bancos de dados** ou **Tabelas**.
1. Selecione um catálogo, um banco de dados ou uma tabela na lista e escolha **Conceder** no menu **Ações**.
1. Escolha entidades principais para conceder permissões no banco de dados, tabelas e colunas usando o método de recurso nomeado ou tags do LF.
Como alternativa, escolha **Permissões de dados**, selecione as entidades principais para conceder permissões na lista e escolha **Conceder**.
Para obter mais detalhes sobre a concessão de permissões de dados, consulte [Conceder permissões nos recursos do Catálogo de Dados](granting-catalog-permissions.md).
**nota**
Se você estiver concedendo a permissão Criar tabela a uma entidade principal, também precisará conceder permissões de localização de dados (`DATA_LOCATION_ACCESS`) à entidade principal. Essa permissão não é necessária para atualizar tabelas.
Para obter mais informações, consulte [Conceder permissões de localização de dados](granting-location-permissions.md).
1. Quando você usa o **Método de recurso nomeado** para conceder permissões, a opção de optar por entidades principais e recursos está disponível na seção inferior da página **Conceder permissão de dados**.
Escolha **Tornar as permissões do Lake Formation efetivas imediatamente** para habilitar as permissões do Lake Formation para as entidades principais e recursos.
![\[A opção de escolher o modo de acesso híbrido para o recurso do Data Catalog.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/hybrid-access-grant-option.png)
1. Selecione **Conceder**.
Quando você opta pela entidade principal A na tabela A que está apontando para um local de dados, ela permite que a entidade principal A tenha acesso ao local dessa tabela usando as permissões do Lake Formation se o local dos dados estiver registrado no modo híbrido.
------
#### [ AWS CLI ]
A seguir está um exemplo de como optar por uma entidade principal e uma tabela no modo de acesso híbrido. Substitua o nome da função, o ID da conta da AWS , o nome do banco de dados e o nome da tabela por valores válidos.
```
aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
json:
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/"
},
"Resource": {
"Table": {
"CatalogId": "<123456789012>",
"DatabaseName": "",
"Name": ""
}
}
}
```
------
1. Se você escolher tags do LF para conceder permissões, você pode optar por entidades principais para usar as permissões do Lake Formation em uma etapa separada. Você pode fazer isso escolhendo o **Modo de acesso híbrido** em **Permissões** na barra de navegação esquerda.
1. Na seção inferior da página do **Modo de acesso híbrido**, escolha **Adicionar para adicionar** recursos e entidades principais ao modo de acesso híbrido.
1. Na página **Adicionar recursos e entidades principais**, escolha os catálogos, os bancos de dados e as tabelas registrados no modo de acesso híbrido.
Você pode escolher `All tables` em um banco de dados para conceder acesso.
![\[A interface para adicionar catálogos, bancos de dados e tabelas no modo de acesso híbrido.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/hybrid-access-opt-in.png)
1. Escolha entidades principais para aceitarem o uso das permissões do Lake Formation no modo de acesso híbrido.
+ **Entidade principais**: é possível escolher usuários e perfis do IAM na mesma conta ou em outra conta. Você também pode escolher usuários e grupos SAML.
+ **Atributos**: selecione atributos para conceder permissões com base em atributos.
![\[A interface para adicionar entidades principais e recursos com uma expressão de atributo.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/abac-hybrid-access.png)
+ Insira o par de chave-valor para criar uma concessão com base em atributos. Analise a expressão da política Cedar no console. Para acessar mais informações sobre Cedar, consulte [O que é Cedar? \$1 Referência GuideLink de linguagem da Cedar Policy](https://docs.cedarpolicy.com/).
+ Escolha **Adicionar**.
Todos os IAM roles/users com atributos correspondentes recebem acesso.
1. Escolha **Adicionar**.