As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Adicionar uma localização do Amazon S3 ao seu data lake
Para adicionar um local de dados como armazenamento em seu data lake, você *registra* o local (localização do **data lake**) com AWS Lake Formation. Em seguida, você pode usar as permissões do Lake Formation para um controle de acesso refinado a AWS Glue Data Catalog objetos que apontam para esse local e para os dados subjacentes no local.
O Lake Formation também permite registrar uma localização de dados no modo de acesso híbrido e fornece a flexibilidade de habilitar seletivamente as permissões do Lake Formation para bancos de dados e tabelas em seu catálogo de dados. Com o modo de acesso híbrido, você tem um caminho incremental que permite definir permissões do Lake Formation para um conjunto específico de usuários sem interromper as políticas de permissão de outros usuários ou workloads existentes.
Para obter mais informações sobre como configurar o modo de acesso híbrido, consulte [Modo de acesso híbrido](hybrid-access-mode.md)
Quando você registra um local, esse caminho do Amazon S3 e todas as pastas sob esse caminho são registrados.
Por exemplo, digamos que você tenha uma organização de caminhos do Amazon S3 como a seguinte:
`/mybucket/accounting/sales/`
Se você se registrar `S3://mybucket/accounting`, a pasta `sales` também será registrada e sob o gerenciamento do Lake Formation.
Para obter mais informações sobre o registro de locais, consulte [Underlying data access control](access-control-underlying-data.md#underlying-data-access-control).
**nota**
As permissões do Lake Formation são recomendadas para dados estruturados (organizados em tabelas com linhas e colunas). Se os dados contiverem dados não estruturados baseados em objetos, pense em usar o recurso Concessão de Acesso do Amazon S3 para gerenciar o acesso aos dados.
**Topics**
+ [Requisitos para funções usadas para registrar locais](registration-role.md)
+ [Registrando uma localização do Amazon S3](register-location.md)
+ [Registrando uma localização criptografada do Amazon S3](register-encrypted.md)
+ [Registrando uma localização do Amazon S3 em outra conta AWS](register-cross-account.md)
+ [Registrando uma localização criptografada do Amazon S3 em todas as contas AWS](register-cross-encrypted.md)
+ [Cancelar o registro de uma localização do Amazon S3](unregister-location.md)
# Requisitos para funções usadas para registrar locais
Você deve especificar uma função AWS Identity and Access Management (IAM) ao registrar uma localização do Amazon Simple Storage Service (Amazon S3). AWS Lake Formation assume essa função ao acessar os dados nesse local.
Você pode usar um dos seguintes tipos de perfil para registrar um local:
+ A função vinculada ao serviço do Lake Formation. Esse perfil concede as permissões necessárias no local. O uso desse perfil é a maneira mais simples de registrar o local. Para obter mais informações, consulte [Usar perfis vinculados ao serviço para o Lake Formation](service-linked-roles.md) e [Limitações de perfis vinculadas a serviços](service-linked-role-limitations.md).
+ Um perfil definido pelo usuário. Use um perfil definido pelo usuário quando precisar conceder mais permissões do que o perfil vinculado ao serviço fornece.
Você deve usar um perfil definido pelo usuário nas seguintes circunstâncias:
+ Ao registrar um local em outra conta.
Para obter mais informações, consulte [Registrando uma localização do Amazon S3 em outra conta AWS](register-cross-account.md) e [Registrando uma localização criptografada do Amazon S3 em todas as contas AWS](register-cross-encrypted.md).
+ Se você usou uma CMK AWS gerenciada (`aws/s3`) para criptografar a localização do Amazon S3.
Para obter mais informações, consulte [Registrando uma localização criptografada do Amazon S3](register-encrypted.md).
+ Se você planeja acessar o local usando o Amazon EMR.
Se você já registrou um local com o perfil vinculado ao serviço e deseja começar a acessar o local com o Amazon EMR, você deve cancelar o registro do local e registrá-lo novamente com um perfil definido pelo usuário. Para obter mais informações, consulte [Cancelar o registro de uma localização do Amazon S3](unregister-location.md).
# Usar perfis vinculados ao serviço para o Lake Formation
AWS Lake Formation usa uma função *vinculada ao serviço AWS Identity and Access Management * (IAM). Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Lake Formation. A função vinculada ao serviço é predefinida pelo Lake Formation e inclui todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Um perfil vinculado ao serviço facilita a configuração do Lake Formation porque você não precisa criar um perfil e adicionar manualmente as permissões necessárias. O Lake Formation define as permissões de seu perfil vinculado ao serviço e, a menos que definido de outra forma, apenas o Lake Formation pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Este perfil vinculado ao serviço confia nos seguintes serviços para assumir a função:
+ `lakeformation.amazonaws.com`
Quando você usa um perfil vinculado ao serviço na conta A para registrar uma localização do Amazon S3 que é de propriedade da conta B, a política de bucket do Amazon S3 (uma política baseada em recursos) na conta B deve conceder permissões de acesso ao perfil vinculado ao serviço na conta A.
Para acessar informações sobre o uso de perfis vinculados a serviços para registrar um local de dados, consulte [Limitações de perfis vinculadas a serviços](service-linked-role-limitations.md).
**nota**
As políticas de controle de serviço (SCPs) não afetam as funções vinculadas ao serviço.
Para obter mais informações, consulte [Políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *guia AWS Organizations do usuário*.
## Permissões de perfil vinculado ao serviço para o Lake Formation
O Lake Formation usa o perfil vinculado ao serviço chamado `AWSServiceRoleForLakeFormationDataAccess`. Essa função fornece um conjunto de permissões do Amazon Simple Storage Service (Amazon S3) que permitem que o serviço integrado Lake Formation ( Amazon Athena como) acesse locais registrados. Ao registrar um local de data lake, você deve fornecer uma função que tenha as read/write permissões necessárias do Amazon S3 nesse local. Em vez de criar um perfil com as permissões necessárias para o Amazon S3, você pode usar esse perfil vinculado ao serviço.
Na primeira vez que você nomeia o perfil vinculado ao serviço como o perfil com o qual registrar um caminho, o perfil vinculado ao serviço e uma nova política do IAM são criadas em seu nome. O Lake Formation adiciona o caminho à política embutida e o anexa ao perfil vinculado ao serviço. Quando você registra caminhos subsequentes com o perfil vinculado ao serviço, o Lake Formation adiciona o caminho à política existente.
Enquanto estiver conectado como administrador do data lake, registre um local do data lake. Em seguida, no console do IAM, pesquise o perfil `AWSServiceRoleForLakeFormationDataAccess` e visualize as políticas anexadas.
Por exemplo, depois de registrar o local `s3://my-kinesis-test/logs`, o Lake Formation cria a seguinte política embutida e a anexa a `AWSServiceRoleForLakeFormationDataAccess`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::my-kinesis-test/logs/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my-kinesis-test"
]
}
]
}
```
------
## Criar um perfil vinculado a serviços para o Lake Formation
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você registra um local do Amazon S3 com o Lake Formation na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o Lake Formation cria a função vinculada ao serviço para você.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você registra uma localização do Amazon S3 com o Lake Formation, o Lake Formation cria o perfil vinculado ao serviço para você outra vez.
Também é possível usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso do **Lake Formation**. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do `lakeformation.amazonaws.com` serviço. Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
## Editar um perfil vinculado a serviços para o Lake Formation
O Lake Formation não permite que você edite o perfil vinculado ao serviço `AWSServiceRoleForLakeFormationDataAccess`. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluir um perfil vinculado a serviços para o Lake Formation
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**nota**
Se o serviço Lake Formation estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do Lake Formation usados pelo Lake Formation**
+ Se você usou o perfil vinculado ao serviço para registrar localizações do Amazon S3 com o Lake Formation, antes de excluí-lo, será necessário cancelar o registro da localização e registrá-la novamente usando um perfil personalizado.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função `AWSServiceRoleForLakeFormationDataAccess` vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
A seguir estão os requisitos para um perfil definido pelo usuário:
+ Ao criar o novo perfil, na página **Criar perfil** do console do IAM, escolha **Serviço da AWS ** e, em seguida, em **Escolha um caso de uso**, escolha **Lake Formation**.
Se você criar o perfil usando um caminho diferente, certifique-se de que o perfil tenha uma relação de confiança com `lakeformation.amazonaws.com`. Para acessar mais informações, consulte [Modificar uma política de confiança de perfil (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
+ A função deve ter uma política em linha que conceda ao Amazon read/write S3 permissões no local. A seguir está uma política típica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket"
]
}
]
}
```
------
+ Adicione a política de confiança a seguir ao perfil do IAM para permitir que o serviço Lake Formation assuma o perfil e forneça credenciais temporárias aos mecanismos de analytics integrados.
Para incluir o contexto do usuário do IAM Identity Center nos CloudTrail registros, a política de confiança deve ter a permissão para a `sts:SetContext` ação.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataCatalogViewDefinerAssumeRole1",
"Effect": "Allow",
"Principal": {
"Service": [
"lakeformation.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
+ O administrador do data lake que registra o local deve ter a permissão `iam:PassRole` sobre o perfil.
A seguir está uma política embutida que concede essa permissão. **Substitua por um número de AWS conta válido e ** substitua pelo nome da função.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PassRolePermissions",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/"
]
}
]
}
```
------
+ Para permitir que o Lake Formation adicione CloudWatch registros em Logs e publique métricas, adicione a seguinte política em linha.
**nota**
A gravação no CloudWatch Logs incorre em uma cobrança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Sid1",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*",
"arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
]
}
]
}
```
------
# Registrando uma localização do Amazon S3
Você deve especificar uma função AWS Identity and Access Management (IAM) ao registrar uma localização do Amazon Simple Storage Service (Amazon S3). O Lake Formation assume essa função quando concede credenciais temporárias a AWS serviços integrados que acessam os dados naquele local.
**Importante**
Evite registrar um bucket do Amazon S3 que tenha o **Solicitante paga** ativado. Para buckets registrados no Lake Formation, a função usada para registrar o bucket é sempre vista como solicitante. Se o bucket for acessado por outra AWS conta, o proprietário do bucket será cobrado pelo acesso aos dados se a função pertencer à mesma conta do proprietário do bucket.
Você pode usar o AWS Lake Formation console, a API Lake Formation ou AWS Command Line Interface (AWS CLI) para registrar uma localização no Amazon S3.
**Antes de começar**
Analise os [requisitos da função usada para registrar o local](registration-role.md).
**Para registrar uma localização (console)**
**Importante**
Os procedimentos a seguir pressupõem que a localização do Amazon S3 esteja na mesma AWS conta do Catálogo de Dados e que os dados na localização não estejam criptografados. Outras seções deste capítulo abrangem o registro de várias contas e o registro de locais criptografados.
1. Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Faça login como administrador do data lake ou como usuário com a permissão `lakeformation:RegisterResource` do IAM.
1. No painel de navegação, em **Administração** selecione **Localizações do data lake**.
1. Escolha **Registrar localização** e, em seguida, escolha **Procurar** para selecionar um caminho do Amazon Simple Storage Service (Amazon S3).
1. (Opcional, mas altamente recomendado) Selecione **Revisar permissões de local** para ver uma lista de todos os recursos existentes no local selecionado do Amazon S3 e as permissões.
Registrar o local selecionado pode fazer com que seus usuários do Lake Formation tenham acesso aos dados que já estão nesse local. A visualização dessa lista ajuda a garantir que os dados existentes permaneçam seguros.
1. Para o **perfil do IAM**, escolha a função `AWSServiceRoleForLakeFormationDataAccess` vinculada ao serviço (a padrão) ou um perfil personalizado do IAM que atenda aos requisitos em [Requisitos para funções usadas para registrar locais](registration-role.md).
É possível atualizar um local registrado ou outros detalhes somente ao registrá-lo usando um perfil personalizado do IAM. Para editar um local registrado usando um perfil vinculado ao serviço, é necessário cancelar o registro do local e registrá-lo novamente.
1. Escolha a opção **Ativar Federação do Catálogo de Dados** para permitir que o Lake Formation assuma uma função e forneça credenciais temporárias aos AWS serviços integrados para acessar tabelas em bancos de dados federados. Se um local estiver registrado no Lake Formation e você quiser usar o mesmo local para uma tabela em um banco de dados federado, será necessário registrar o mesmo local com a opção **Habilitar federação do catálogo de dados**.
1. Escolha o **Modo de acesso híbrido** para não ativar as permissões do Lake Formation por padrão. Ao registrar o local do Amazon S3 no modo de acesso híbrido, você pode habilitar as permissões do Lake Formation optando por entidades principais para bancos de dados e tabelas nesse local.
Para obter mais informações sobre como configurar o modo de acesso híbrido, consulte [Modo de acesso híbrido](hybrid-access-mode.md).
1. Selecione **Registrar local**.
**Para registrar um local (AWS CLI)**
1.
**Registrar o novo local no Lake Formation**
Este exemplo usa um perfil vinculado ao serviço para registrar o local. Em vez disso, você pode usar o argumento `--role-arn` para fornecer sua própria função.
**Substitua por um caminho válido do Amazon S3, o número da conta por uma AWS conta válida e ** por uma função do IAM que tenha permissões para registrar um local de dados.
**nota**
Não será possível editar propriedades de um local registrado se ele estiver registrado usando um perfil vinculado ao serviço.
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--use-service-linked-role
```
O exemplo a seguir usa um perfil personalizado para registrar o local.
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/
```
1.
**Como atualizar o local registrado no Lake Formation**
Será possível editar um local registrado somente se ele estiver registrado usando um perfil personalizado do IAM. Para um local registrado com um perfil vinculado ao serviço, é necessário cancelar o registro do local e registrá-lo novamente. Para obter mais informações, consulte [Cancelar o registro de uma localização do Amazon S3](unregister-location.md).
```
aws lakeformation update-resource \
--role-arn arn:aws:iam::<123456789012>:role/\
--resource-arn arn:aws:s3:::
```
```
aws lakeformation update-resource \
--resource-arn arn:aws:s3::: \
--use-service-linked-role
```
1.
**Registrar um local de dados no modo de acesso híbrido com federação**
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/ \
--hybrid-access-enabled
```
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/ \
--with-federation
```
```
aws lakeformation update-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/ \
--hybrid-access-enabled
```
Para obter mais informações, consulte Operação [RegisterResource](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_RegisterResource.html)da API.
**nota**
Depois de registrar uma localização no Amazon S3, qualquer AWS Glue tabela apontando para a localização (ou qualquer uma de suas localizações secundárias) retornará o valor do `IsRegisteredWithLakeFormation` parâmetro como `true` na `GetTable` chamada. Há uma limitação conhecida de que as operações da API do catálogo de dados, como `GetTables` e `SearchTables`, não atualizam o valor do parâmetro `IsRegisteredWithLakeFormation` e retornam o padrão, que é falso. É recomendável usar a API `GetTable` para visualizar o valor correto do parâmetro `IsRegisteredWithLakeFormation`.
# Registrando uma localização criptografada do Amazon S3
O Lake Formation se integra com [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) (AWS KMS) para permitir que você configure com mais facilidade outros serviços integrados para criptografar e descriptografar dados em locais do Amazon Simple Storage Service (Amazon S3).
Tanto o cliente é gerenciado AWS KMS keys Chaves gerenciadas pela AWS quanto o suporte. Atualmente, o lado do cliente encryption/decryption é compatível somente com o Athena.
Você deve especificar uma função AWS Identity and Access Management (IAM) ao registrar uma localização no Amazon S3. Para locais criptografados do Amazon S3, a função deve ter permissão para criptografar e descriptografar dados com o. Ou a política de chaves do AWS KMS key KMS deve conceder permissões sobre a chave da função.
**Importante**
Evite registrar um bucket do Amazon S3 que tenha o **Solicitante paga** ativado. Para buckets registrados no Lake Formation, a função usada para registrar o bucket é sempre vista como solicitante. Se o bucket for acessado por outra AWS conta, o proprietário do bucket será cobrado pelo acesso aos dados se a função pertencer à mesma conta do proprietário do bucket.
O Lake Formation usa um perfil vinculado a serviços para registrar seus locais de dados. No entanto, esse perfil tem várias [limitações](service-linked-role-limitations.md). Devido a essas restrições, recomendamos criar e usar um perfil personalizado do IAM para ter maior flexibilidade e controle. O perfil personalizado que você cria para registrar o local deve atender aos requisitos especificados em [Requisitos para funções usadas para registrar locais](registration-role.md).
**Importante**
Se você usou um Chave gerenciada pela AWS para criptografar a localização do Amazon S3, você não pode usar a função vinculada ao serviço Lake Formation. Você deve usar um papel personalizado e adicionar permissões do IAM na chave do perfil. Os detalhes são fornecidos posteriormente nesta seção.
Os procedimentos a seguir explicam como registrar um local do Amazon S3 criptografado com uma chave gerenciada pelo cliente ou uma Chave gerenciada pela AWS.
+ [Registrar um local criptografado com uma chave gerenciada pelo cliente](#proc-register-cust-cmk)
+ [Registrando um local criptografado com um Chave gerenciada pela AWS](#proc-register-aws-cmk)
**Antes de começar**
Analise os [requisitos da função usada para registrar o local](registration-role.md).
**Para registrar uma localização do Amazon S3 criptografada com uma chave gerenciada pelo cliente**
**nota**
Se a chave KMS ou a localização do Amazon S3 não estiverem na AWS mesma conta do catálogo de dados, siga as instruções [Registrando uma localização criptografada do Amazon S3 em todas as contas AWS](register-cross-encrypted.md) em vez disso.
1. Abra o AWS KMS console em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) e faça login como um usuário administrativo AWS Identity and Access Management (IAM) ou como um usuário que pode modificar a política de chaves da chave KMS usada para criptografar o local.
1. No painel de navegação, selecione **Chaves gerenciadas pelo cliente** e selecione o nome da chave do KMS desejada.
1. Na página de detalhes da chave KMS, escolha a guia **Política de chaves** e, em seguida, faça o seguinte para adicionar sua função personalizada ou a função vinculada ao serviço Lake Formation como usuário da chave KMS:
+ **Se a visualização padrão estiver sendo exibida** (com as seções **Administradores** de **chaves, Exclusão** de **chaves, Usuários** de chaves e **Outras AWS contas**), na seção **Usuários principais**, adicione sua função personalizada ou a função vinculada ao serviço Lake Formation. `AWSServiceRoleForLakeFormationDataAccess`
+ **Se a política de chaves (JSON) estiver sendo exibida** – edite a política para adicionar sua função personalizada ou a função `AWSServiceRoleForLakeFormationDataAccess` vinculada ao serviço Lake Formation ao objeto “Permitir o uso da chave”, conforme mostrado no exemplo a seguir.
**nota**
Se esse objeto estiver ausente, adicione-o com as permissões mostradas no exemplo. O exemplo usa a função vinculada ao serviço.
```
...
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
"arn:aws:iam::111122223333:user/keyuser"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
...
```
1. Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Faça login como administrador do data lake ou como usuário com a permissão `lakeformation:RegisterResource` do IAM.
1. No painel de navegação, em **Administração** em **Locais de data lake**.
1. Escolha **Registrar localização** e, em seguida, escolha **Procurar** para selecionar um caminho do Amazon Simple Storage Service (Amazon S3).
1. (Opcional, mas altamente recomendado) Escolha **Revisar permissões de localização** para ver uma lista de todos os recursos existentes no local selecionado do Amazon S3 e suas permissões.
Registrar o local selecionado pode fazer com que seus usuários do Lake Formation tenham acesso aos dados que já estão nesse local. A visualização dessa lista ajuda a garantir que os dados existentes permaneçam seguros.
1. Para o **perfil do IAM**, escolha a função `AWSServiceRoleForLakeFormationDataAccess` vinculada ao serviço (a padrão) ou sua função personalizada que atenda a [Requisitos para funções usadas para registrar locais](registration-role.md).
1. Escolha **Registrar local**.
Para saber mais sobre a função vinculada ao serviço do , consulte [Permissões de perfil vinculado ao serviço para o Lake Formation](service-linked-roles.md#service-linked-role-permissions).
**Para registrar uma localização do Amazon S3 criptografada com um Chave gerenciada pela AWS**
**Importante**
Se a localização do Amazon S3 não estiver na mesma AWS conta do catálogo de dados, siga as instruções em [Registrando uma localização criptografada do Amazon S3 em todas as contas AWS](register-cross-encrypted.md) vez disso.
1. Crie um perfil do IAM para usar para registrar o local. Certifique-se de que ele atenda aos requisitos listados em [Requisitos para funções usadas para registrar locais](registration-role.md).
1. Adicione a seguinte política em linha à função. Ele concede permissões sobre a chave da função. A especificação `Resource` deve designar o nome do recurso da Amazon (ARN) da Chave gerenciada pela AWS. Você pode obter o ARN no AWS KMS console. Para obter o ARN correto, certifique-se de fazer login no AWS KMS console com a mesma AWS conta e região usadas para criptografar o Chave gerenciada pela AWS local.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
Você pode usar aliases de chave do KMS em vez do ID da chave: `arn:aws:kms:region:account-id:key/alias/your-key-alias`.
Para obter mais informações, consulte [Aliases na AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) seção do Guia do AWS Key Management Service desenvolvedor.
1. Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Faça login como administrador do data lake ou como usuário com a permissão `lakeformation:RegisterResource` do IAM.
1. No painel de navegação, em **Administração** em **Locais de data lake**.
1. Escolha **Registrar localização** e, em seguida, escolha **Procurar** para selecionar um caminho do Amazon S3.
1. (Opcional, mas altamente recomendado) Escolha **Revisar permissões de localização** para ver uma lista de todos os recursos existentes no local selecionado do Amazon S3 e suas permissões.
Registrar o local selecionado pode fazer com que seus usuários do Lake Formation tenham acesso aos dados que já estão nesse local. A visualização dessa lista ajuda a garantir que os dados existentes permaneçam seguros.
1. Em **Perfil do IAM**, escolha a função que você criou na Etapa 1.
1. Escolha **Registrar local**.
# Registrando uma localização do Amazon S3 em outra conta AWS
AWS Lake Formation permite que você registre localizações do Amazon Simple Storage Service (Amazon S3) em todas as contas. AWS Por exemplo, se AWS Glue Data Catalog estiver na conta A, um usuário na conta A poderá registrar um bucket do Amazon S3 na conta B.
Registrar um bucket do Amazon S3 AWS na conta B usando AWS Identity and Access Management uma função (IAM) AWS na conta A requer as seguintes permissões:
+ O papel na conta A deve conceder permissões no bucket na conta B.
+ A política de bucket na conta B deve conceder permissões de acesso à função na conta A.
**Importante**
Evite registrar um bucket do Amazon S3 que tenha o **Solicitante paga** ativado. Para buckets registrados no Lake Formation, a função usada para registrar o bucket é sempre vista como solicitante. Se o bucket for acessado por outra AWS conta, o proprietário do bucket será cobrado pelo acesso aos dados se a função pertencer à mesma conta do proprietário do bucket.
Você não pode usar a função vinculada ao serviço Lake Formation para registrar um local em outra conta. Em vez disso, é necessário usar uma função definida pelo usuário. A função deve atender aos requisitos do [Requisitos para funções usadas para registrar locais](registration-role.md). Para saber mais sobre a função vinculada ao serviço do , consulte [Permissões de perfil vinculado ao serviço para o Lake Formation](service-linked-roles.md#service-linked-role-permissions).
**Antes de começar**
Analise os [requisitos da função usada para registrar o local](registration-role.md).
**Para registrar um local em outra AWS conta**
**nota**
Se o local estiver criptografado, siga as instruções em [Registrando uma localização criptografada do Amazon S3 em todas as contas AWS](register-cross-encrypted.md) vez disso.
O procedimento a seguir pressupõe que uma entidade principal na conta 1111-2222-3333, que contém o catálogo de dados, queira registrar o bucket `awsexamplebucket1` do Amazon S3, que está na conta 1234-5678-9012.
1. Na conta 1111-2222-3333, faça login Console de gerenciamento da AWS e abra o console do IAM em. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Crie uma nova função ou visualize uma função existente que atenda aos requisitos de [Requisitos para funções usadas para registrar locais](registration-role.md). Certifique-se de que a função concede permissões do Amazon S3 em `awsexamplebucket1`.
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/). Faça login com a conta 1234-5678-9012.
1. Na lista **Nome do bucket**, escolha o nome do bucket, `awsexamplebucket1`.
1. Escolha **Permissões**.
1. Na página **Permissões**, escolha **Política de bucket**.
1. No **Editor de políticas do bucket**, cole a política a seguir. Substitua ** pelo nome da sua função.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::awsexamplebucket1"
},
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource":"arn:aws:s3:::awsexamplebucket1/*"
}
]
}
```
------
1. Escolha **Salvar**.
1. Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Faça login na conta 1111-2222-3333 como administrador do data lake ou como usuário com permissões suficientes para registrar locais.
1. No painel de navegação, em **Administração** em **Locais de data lake**.
1. Na página **Locais de data lake**, selecione **Registrar local**.
1. Na **página Registrar localização**, para o **caminho do Amazon S3**, insira o nome `s3://awsexamplebucket1` do bucket.
**nota**
Você deve digitar o nome do bucket porque os buckets de várias contas não aparecem na lista quando você escolhe **Procurar**.
1. Para o **perfil do IAM**, escolha seu perfil.
1. Escolha **Registrar local**.
# Registrando uma localização criptografada do Amazon S3 em todas as contas AWS
AWS Lake Formation se integra com [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) para permitir que você configure com mais facilidade outros serviços integrados para criptografar e descriptografar dados em locais do Amazon Simple Storage Service (Amazon S3).
Tanto as chaves gerenciadas pelo cliente quanto Chaves gerenciadas pela AWS as são suportadas. O lado do cliente não encryption/decryption é suportado.
**Importante**
Evite registrar um bucket do Amazon S3 que tenha o **Solicitante paga** ativado. Para buckets registrados no Lake Formation, a função usada para registrar o bucket é sempre vista como solicitante. Se o bucket for acessado por outra AWS conta, o proprietário do bucket será cobrado pelo acesso aos dados se a função pertencer à mesma conta do proprietário do bucket.
Esta seção explica como registrar uma localização do Amazon S3 nas seguintes circunstâncias:
+ Os dados no local do Amazon S3 são criptografados com uma chave KMS criada no AWS KMS.
+ A localização do Amazon S3 não está na mesma AWS conta do. AWS Glue Data Catalog
+ A chave KMS está ou não na mesma AWS conta do Catálogo de Dados.
O registro de um bucket do Amazon S3 AWS KMS criptografado AWS na conta B usando AWS Identity and Access Management uma função (IAM) AWS na conta A requer as seguintes permissões:
+ O papel na conta A deve conceder permissões no bucket na conta B.
+ A política de bucket na conta B deve conceder permissões de acesso à função na conta A.
+ Se a chave KMS estiver na conta B, a política de chaves deverá conceder acesso à função na conta A, e a função na conta A deverá conceder permissões na chave KMS.
No procedimento a seguir, você cria uma função na AWS conta que contém o Catálogo de Dados (conta A na discussão anterior). Em seguida, você usa essa função para registrar o local. O Lake Formation assume essa função ao acessar dados subjacentes no Amazon S3. A função assumida tem as permissões necessárias na chave do KMS. Como resultado, você não precisa conceder permissões na chave KMS às entidades principais que acessam dados subjacentes com trabalhos de ETL ou com serviços integrados, como o Amazon Athena.
**Importante**
Você não pode usar a função vinculada ao serviço Lake Formation para registrar um local em outra conta. Em vez disso, é necessário usar uma função definida pelo usuário. A função deve atender aos requisitos do [Requisitos para funções usadas para registrar locais](registration-role.md). Para saber mais sobre a função vinculada ao serviço do , consulte [Permissões de perfil vinculado ao serviço para o Lake Formation](service-linked-roles.md#service-linked-role-permissions).
**Antes de começar**
Analise os [requisitos da função usada para registrar o local](registration-role.md).
**Para registrar uma localização criptografada do Amazon S3 em todas as contas AWS**
1. Na mesma AWS conta do Catálogo de dados, faça login Console de gerenciamento da AWS e abra o console do IAM em[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Crie uma nova função ou visualize uma função existente que atenda aos requisitos de [Requisitos para funções usadas para registrar locais](registration-role.md). Certifique-se de que a função inclua uma política que concede permissões do Amazon S3 no local.
1. Se a chave KMS não estiver na mesma conta do Catálogo deDados, adicione à função uma política em linha que conceda as permissões necessárias na chave KMS. Veja abaixo um exemplo de política . Substitua Região e ID da conta pela região e o número da conta da chave do KMS. **Substitua pelo ID da chave.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/"
}
]
}
```
------
1. No console do Amazon S3, adicione uma política de bucket concedendo as permissões do Amazon S3 necessárias para a função. A seguir há um exemplo de política de bucket. Substitua o ID da AWS conta pelo número da conta do Catálogo de Dados, pelo nome da sua função e ** pelo nome do bucket. **
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::"
},
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource":"arn:aws:s3:::/*"
}
]
}
```
------
1. Em AWS KMS, adicione a função como usuário da chave KMS.
1. Abra o AWS KMS console em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms). Em seguida, faça login como usuário administrador ou como usuário que pode modificar a política de chaves da chave KMS usada para criptografar o local.
1. No painel de navegação, selecione **Chaves gerenciadas pelo cliente** e selecione o nome da chave do KMS.
1. Na página de detalhes da chave KMS, na guia **Política de chaves**, se a visualização JSON da política de chaves não estiver sendo exibida, escolha **Alternar para visualização de política**.
1. Na seção **Política de chaves**, escolha **Editar** e adicione o nome do recurso da Amazon (ARN) da função ao objeto `Allow use of the key`, conforme mostrado no exemplo a seguir.
**nota**
Se esse objeto estiver ausente, adicione-o com as permissões mostradas no exemplo.
```
...
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam:::role/"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
...
```
Para obter mais informações, consulte [Permitir que usuários de outras contas usem uma chave KMS](https://docs.amazonaws.cn/en_us/kms/latest/developerguide/key-policy-modifying-external-accounts.html) no *Guia do desenvolvedor do AWS Key Management Service *.
1. Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Faça login na conta AWS do catálogo de dados como administrador do data lake.
1. No painel de navegação, em **Administração** em **Locais de data lake**.
1. Escolha **Registrar local**.
1. Na **página Registrar localização**, para **caminho do Amazon S3**, insira o caminho da localização como **s3://**/****. **Substitua pelo nome do bucket e ** pelo resto do caminho do local.
**nota**
Você deve digitar o caminho porque os buckets entre contas não aparecem na lista quando você escolhe **Procurar**.
1. Para o **perfil do IAM**, escolha a função na Etapa 2.
1. Escolha **Registrar local**.
# Cancelar o registro de uma localização do Amazon S3
Você pode cancelar o registro de uma localização do Amazon Simple Storage Service (Amazon S3) se não quiser mais que ela seja gerenciada pelo Lake Formation. O cancelamento do registro de um local não afeta as permissões de localização de dados do Lake Formation concedidas nesse local. Você pode registrar novamente um local que você cancelou e as permissões de localização de dados permanecerão em vigor. Você pode usar uma função diferente para registrar novamente o local.
**Para cancelar o registro de um local (console)**
1. Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Faça login como administrador do data lake ou como usuário com a permissão `lakeformation:RegisterResource` do IAM.
1. No painel de navegação, em **Administração** em **Locais de data lake**.
1. Selecione um local e, no menu **Ações**, escolha **Remover**.
1. Quando solicitada a confirmação, escolha **Remover**.