As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Alterando os controles de acesso para integração com tabelas do S3
Depois de integrar as tabelas do Amazon S3 com o AWS Glue Data Catalog, você pode alterar a forma como o acesso aos recursos do seu catálogo é controlado. Esta seção mostra como alterar o controle de acesso dependendo do modelo de controle de acesso atual e desejado. A ativação do Lake Formation permite que você use permissões refinadas, como segurança em nível de coluna e linha, por meio de subsídios do Lake Formation, e permite que o Lake Formation forneça credenciais temporárias em nome dos diretores por meio de uma função registrada. Alterar o controle de acesso de AWS Lake Formation para IAM retorna o controle de acesso às políticas padrão do IAM, o que pode ser apropriado se suas cargas de trabalho não exigirem acesso refinado e você preferir gerenciar as permissões inteiramente por meio do IAM. Ambos os caminhos de migração envolvem a atualização dos padrões do Catálogo de Dados, o ajuste dos registros de recursos com o Lake Formation e a coordenação de concessões de permissões para evitar interrupções no acesso durante a transição.
**Topics**
+ [Habilite a integração do Lake Formation com o S3 Tables com o Data Catalog](change-access-iam-to-lf.md)
+ [Alterar o controle de acesso de AWS Lake Formation para IAM](change-access-lf-to-iam.md)
# Habilite a integração do Lake Formation com o S3 Tables com o Data Catalog
Esta seção descreve o fluxo de trabalho para migrar o controle de acesso dos privilégios do IAM para o IAM com AWS Lake Formation concessões para tabelas do Amazon S3 integradas ao. AWS Glue Data Catalog
**Importante**
A ativação do controle de AWS Lake Formation acesso revogará todo o acesso existente baseado em IAM aos seus recursos do S3 Tables. Depois de concluir a Etapa 1, os usuários e funções que acessaram dados anteriormente por meio de permissões do IAM perderão o acesso imediatamente. Você deve conceder permissões ao Lake Formation na Etapa 2 antes que os usuários possam consultar os dados novamente. Planeje essa migração durante uma janela de manutenção e coordene com sua equipe de dados.
## Pré-requisitos
Para read/write acessar as tabelas do S3, além das permissões do Lake Formation, os diretores também precisam da permissão do `lakeformation:GetDataAccess` IAM. Com essa permissão, o Lake Formation concede a solicitação de credenciais temporárias para acessar os dados.
## Usando AWS CLI
1. **Etapa 1: registrar o bucket no Lake Formation usando a função IAM**
Registre o recurso S3 Tables no Lake Formation.
**nota**
Se você já tem uma função, certifique-se de que o acesso híbrido seja falso.
```
aws lakeformation register-resource \
--resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
--role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
--with-federation
```
1. **Etapa 2: Atualizar o AWS Glue catálogo para ativar o controle de acesso do Lake Formation**
Atualize o catálogo com `CreateDatabaseDefaultPermissions` e `CreateTableDefaultPermissions` (definido como`[]`) vazio e definido como `OverwriteChildResourcePermissionsWithDefault``Accept`. Isso remove o acesso baseado em IAM de todos os recursos secundários existentes e permite que o catálogo e seus objetos sejam gerenciados usando subsídios do Lake Formation.
```
aws glue update-catalog \
--catalog-id "s3tablescatalog" \
--catalog-input '{
"FederatedCatalog": {
"Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
"ConnectionName": "aws:s3tables"
},
"CreateDatabaseDefaultPermissions": [],
"CreateTableDefaultPermissions": [],
"OverwriteChildResourcePermissionsWithDefault": "Accept",
"AllowFullTableExternalDataAccess": "True"
}'
```
1. **Etapa 3: conceder permissões do Lake Formation à sua equipe de dados**
Conceda permissões do Lake Formation aos diretores (funções, usuários ou grupos) que precisam de acesso. Por exemplo, para conceder acesso de leitura de tabela completa a uma função:
```
aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
--resource '{
"Table": {
"CatalogId": "AWSAccountID",
"DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
"TableWildcard": {}
}
}' \
--permissions "SELECT" "DESCRIBE"
```
Repita o procedimento para cada combinação principal e de recursos, conforme necessário.
# Alterar o controle de acesso de AWS Lake Formation para IAM
Esta seção descreve o fluxo de trabalho para alterar o controle de acesso de AWS Lake Formation concessões para privilégios do IAM para tabelas do Amazon S3 integradas ao. AWS Glue Data Catalog
**Importante**
Alterar o controle de acesso das AWS Lake Formation concessões para o IAM revogará todo o acesso existente baseado no Lake Formation aos seus recursos do S3 Tables. Depois de concluir a Etapa 2, os usuários e funções que acessaram dados anteriormente por meio de subsídios do Lake Formation perderão imediatamente o acesso. Você deve conceder acesso ao IAM na Etapa 1 antes de atualizar o catálogo. Planeje essa migração durante uma janela de manutenção e coordene com sua equipe de dados.
**Importante**
Controles de acesso refinados, como acesso em nível de coluna e filtros de células de dados, com objetos do Catálogo de Dados estão disponíveis somente quando usados. AWS Lake Formation Antes de continuar migrando os controles de acesso do IAM AWS Lake Formation para o IAM, audite suas concessões existentes do Lake Formation usando `aws lakeformation list-permissions` e determine se políticas equivalentes do IAM podem fornecer o acesso de que seus usuários precisam. Qualquer diretor que dependesse de subsídios refinados do Lake Formation exigirá acesso completo ao IAM em nível de tabela após migrar o controle de acesso.
## Pré-requisitos
Antes de começar, certifique-se do seguinte:
+ Você identificou todos os subsídios do Lake Formation atualmente em vigor para os recursos que estão sendo migrados. Corra `aws lakeformation list-permissions --resource-type TABLE` para revisá-los.
+ Você preparou políticas do IAM que fornecem acesso equivalente para todos os principais afetados.
+ A função do IAM registrada no Lake Formation ainda existe `lakeformation:GetDataAccess` (necessária durante o período de transição híbrida).
## Usando AWS CLI
1. **Etapa 1: conceder permissões do IAM aos diretores**
Anexe políticas do IAM aos usuários ou funções que precisam de acesso. A política deve incluir permissões de AWS Glue metadados e permissões de dados de tabelas do S3.
**nota**
O exemplo de política a seguir fornece somente acesso de leitura.
```
aws iam put-user-policy \
--user-name GlueIAMAccessUser \
--policy-name S3TablesIAMAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GlueMetadataAccess",
"Effect": "Allow",
"Action": [
"glue:GetCatalog",
"glue:GetDatabase",
"glue:GetTable"
],
"Resource": [
"arn:aws:glue:us-east-1:AWSAccountID:catalog/s3tablescatalog",
"arn:aws:glue:us-east-1:AWSAccountID:database/s3tablescatalog/table-bucket-name/namespace",
"arn:aws:glue:us-east-1:AWSAccountID:table/s3tablescatalog/table-bucket-name/namespace/*"
]
},
{
"Sid": "S3TablesDataAccess",
"Effect": "Allow",
"Action": [
"s3tables:GetTableBucket",
"s3tables:GetTable",
"s3tables:GetTableMetadataLocation",
"s3tables:GetTableData"
],
"Resource": [
"arn:aws:s3tables:us-east-1:AWSAccountID:bucket/table-bucket-name",
"arn:aws:s3tables:us-east-1:AWSAccountID:bucket/table-bucket-name/table/*"
]
}
]
}'
```
Verifique se todos os usuários e funções afetados podem acessar as tabelas esperadas usando suas credenciais do IAM antes de continuar.
1. **Etapa 2: atualizar o catálogo para restaurar as permissões padrão do IAM**
Atualize o catálogo para isso `CreateDatabaseDefaultPermissions` e `CreateTableDefaultPermissions` `ALL` conceda `IAM_ALLOWED_PRINCIPALS` a. `OverwriteChildResourcePermissionsWithDefault`Defina para `Accept` que a alteração se propague para todos os recursos secundários existentes, não apenas para os recém-criados.
```
aws glue update-catalog \
--catalog-id "s3tablescatalog" \
--catalog-input '{
"FederatedCatalog": {
"Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
"ConnectionName": "aws:s3tables"
},
"CreateDatabaseDefaultPermissions": [{
"Principal": {"DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"},
"Permissions": ["ALL"]
}],
"CreateTableDefaultPermissions": [{
"Principal": {"DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"},
"Permissions": ["ALL"]
}],
"OverwriteChildResourcePermissionsWithDefault": "Accept"
}'
```
1. **Etapa 3: Cancele o registro do recurso do Lake Formation**
Depois de confirmar que todo o acesso está funcionando por meio das políticas do IAM e que nenhum diretor depende dos subsídios do Lake Formation, você pode cancelar o registro do recurso no Lake Formation para concluir a migração.
```
aws lakeformation deregister-resource \
--resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*"
```
**nota**
Depois de cancelar o registro do recurso, remova `lakeformation:GetDataAccess` do IAM os diretores que não precisam mais dele.
Nenhuma `revoke-permissions` etapa é necessária.