Einrichten von AWS Lake Formation - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten von AWS Lake Formation

Führen Sie zum Einrichten von Lake Formation die folgenden Schritte aus:

Anfängliche AWS-Konfigurations-Tasks abschließen

Um zu verwendenAWS Lake Formationmüssen Sie zuerst die folgenden Schritte ausführen:

Registrieren Sie sich für AWS

Wenn du dich anmeldestAWS, IhreAWS-Kontoist automatisch für alle Services in angemeldetAWS, einschließlichLake Formationaus. Berechnet werden Ihnen aber nur die Services, die Sie nutzen.

Wenn Sie bereits ein AWS-Konto haben, wechseln Sie zur nächsten Aufgabe. Wenn Sie kein AWS-Konto haben, führen Sie die folgenden Schritte zum Erstellen eines Kontos aus.

So erstellen Sie ein AWS-Konto

  1. Öffnen Sie https://portal.aws.amazon.com/billing/signup.

  2. Folgen Sie den Online-Anweisungen.

    Der Anmeldeprozess beinhaltet auch einen Telefonanruf und die Eingabe eines Verifizierungscodes über die Telefontastatur.

Notieren Sie die AWS-Kontonummer. Sie benötigen sie im nächsten Schritt.

Erstellen eines IAM-Administratorbenutzers

Dienstleistungen inAWSwie Lake Formation erfordern, dass Sie Anmeldeinformationen eingeben, wenn Sie auf sie zugreifen, damit der Service bestimmen kann, ob Sie über die Berechtigung für den Zugriff auf dessen Ressourcen verfügen. Wir empfehlen nicht, auf zuzugreifenAWSverwenden Sie die Anmeldeinformationen für IhreAWSKonto. Stattdessen empfehlen wir, AWS Identity and Access Management (IAM) zu verwenden. Sie können einen IAM-Benutzer erstellen und den Benutzer einer IAM-Gruppe mit Administrator-Berechtigungen hinzufügen oder diesem Benutzer Administrator-Berechtigungen gewähren. Sie können dann darauf zugreifenAWSmithilfe der Anmeldeinformationen für den IAM-Benutzer.

Wenn du dich angemeldet hastAWSaber noch keinen eigenen administrativen IAM-Benutzer für sich selbst erstellt haben, können Sie dies mit der IAM-Konsole tun. Wenn Sie nicht mit der Verwendung der Konsole vertraut sind, erhalten Sie unter Arbeiten mit der AWS Management Console eine Übersicht.

So erstellen Sie einen Administratorbenutzer für sich selbst und fügen ihn einer Administratorengruppe hinzu (Konsole)

  1. Melden Sie sich bei der IAM-Konsole als Kontoinhaber an, indem Sie Root user (Stammbenutzer) auswählen und die E-Mail-Adresse Ihres AWS-Konto eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

    Anmerkung

    Wir empfehlen ausdrücklich, die bewährten Verfahren mithilfe des Administrator-IAM-Benutzers unten zu verwenden und die Anmeldeinformationen des Stammbenutzers an einem sicheren Ort auzubewahren. Melden Sie sich als Stammbenutzer an, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen.

  2. Wählen Sie im Navigationsbereich Users und dann Add User.

  3. Geben Sie unter User Name (Benutzername) den Text Administrator ein.

  4. Aktivieren Sie das Kontrollkästchen neben AWS Management Console access (Konsolenzugriff). Wählen Sie dann Custom password (Benutzerdefiniertes Passwort) aus und geben Sie danach ein neues Passwort in das Textfeld ein.

  5. (Optional) Standardmäßig erfordert AWS, dass der neue Benutzer bei der ersten Anmeldung ein neues Passwort erstellt. Sie können das Kontrollkästchen neben User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen) deaktivieren, damit der neue Benutzer sein Kennwort nach der Anmeldung zurücksetzen kann.

  6. Wählen Sie Weiter. Berechtigungen.

  7. Wählen Sie unter Set permissions (Berechtigungen festlegen) die Option Add user to group (Benutzer der Gruppe hinzufügen) aus.

  8. Wählen Sie Create group (Gruppe erstellen) aus.

  9. Geben Sie im Dialogfeld Create group (Gruppe erstellen) unter Group name (Gruppenname) den Wert Administrators ein.

  10. Wählen Sie Filter policies (Filterrichtlinien) und anschließend AWSmanaged - job function (verwaltet – Auftragsfunktion) aus, um den Tabelleninhalt zu filtern.

  11. Aktivieren Sie in der Richtlinienliste das Kontrollkästchen fürAdministratorAccessaus. Wählen Sie dann Create group (Gruppe erstellen) aus.

    Anmerkung

    Sie müssen den Zugriff der IAM-Benutzer und -Rollen auf die Fakturierung aktivieren, bevor Sie die AdministratorAccess-Berechtigungen verwenden können, um auf die AWS Billing and Cost Management-Konsole zuzugreifen. Befolgen Sie hierzu die Anweisungen in Schritt 1 des Tutorials zum Delegieren des Zugriffs auf die Abrechnungskonsole.

  12. Kehren Sie zur Gruppenliste zurück und aktivieren Sie das Kontrollkästchen der neuen Gruppe. Möglicherweise müssen Sie Refresh (Aktualisieren) auswählen, damit die Gruppe in der Liste angezeigt wird.

  13. Wählen Sie Weiter. Tags.

  14. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Markierungen als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von IAM-Entitäten im IAM-Benutzerhandbuch.

  15. Wählen Sie Weiter. Prüfenum die Liste der Gruppenmitgliedschaften anzuzeigen, die dem neuen Benutzer hinzugefügt werden soll. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.

Mit diesen Schritten können Sie weitere Gruppen und Benutzer erstellen und Ihren Benutzern Zugriff auf Ihre AWS-Konto-Ressourcen gewähren. Weitere Informationen dazu, wie Sie die Berechtigungen eines Benutzers auf bestimmte AWS-Ressourcen mithilfe von Richtlinien beschränken, finden Sie unter Zugriffsverwaltung und Beispielrichtlinien und Beispielrichtlinien.

Anmelden als IAM-Benutzer

Melden Sie sich bei der IAM-Konsole an, indem Sie IAM-Benutzer auswählen und Ihre AWS-Konto-ID oder Ihren Konto-Alias eingeben. Geben Sie auf der nächsten Seite Ihren IAM-Benutzernamen und Ihr Passwort ein.

Anmerkung

Zu Ihrer Bequemlichkeit verwendet die AWS-Anmeldeseite ein Browser-Cookie, um Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu speichern. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie den Anmeldeseite unter der Schaltfläche aus, um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS-Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzeranmeldeseite für Ihr Konto weitergeleitet zu werden.

Erstellen einer IAM-Rolle für Workflows

mitAWS Lake Formationkönnen Sie Ihre Daten mitWorkflowsdie ausgeführt werden vonAWS Glue-Crawler. Ein Workflow definiert die Datenquelle und den Zeitplan für den Import von Daten in Ihren Data Lake. Sie können Workflows ganz einfach mit demBlaupausenoder Vorlagen, die Lake Formation zur Verfügung stellt.

Wenn Sie einen Workflow erstellen, müssen Sie ihm einenAWS Identity and Access Management(IAM) -Rolle, die Lake Formation die erforderlichen Berechtigungen gewährt, um die Daten aufzunehmen.

Das folgende Verfahren setzt Vertrautheit mit IAM voraus.

So erstellen Sie eine IAM-Rolle für Workflows

  1. Öffnen Sie die IAM-Konsole unterhttps://console.aws.amazon.com/iamund melden Sie sich als IAM-Administratorbenutzer an, den Sie in erstellt habenErstellen eines IAM-Administratorbenutzersoder als IAM-Benutzer mit demAdministratorAccess AWSVerwaltete Richtlinie.

  2. Wählen Sie im Navigationsbereich und dann aus.Rollen, dannRolle erstellen einer eineraus.

  3. Auf derRolle erstellen einer einer-Seite aus.AWSBedienungund wählen Sie dannGlueaus. Wählen Sie Next (Weiter).

  4. Auf derHinzufügen von Berechtigungenauf die Seite, suchen Sie nach demAWSGlueServiceRoleverwaltete Richtlinie und aktivieren Sie das Kontrollkästchen neben der Richtlinie in der Liste. Sie müssen die für erfüllenRolle erstellen einer einerAssistent, Benennen der RolleLakeFormationWorkflowRoleaus. Zum Abschluss wählen SieRolle erstellen einer eineraus.

  5. Zurück auf derRollen-Seite, suchen Sie nachLakeFormationWorkflowRoleund wählen Sie den Rollennamen aus.

  6. Über die RolleÜbersicht-Seite, unter derBerechtigungenund wählen Sie aus.Hinzufügen einer Inline-Richtlinieund fügen Sie die folgende Inline-Richtlinie hinzu. Ein vorgeschlagener Name für die Richtlinie lautetLakeFormationWorkflowaus.

    Wichtig

    Ersetzen Sie in der folgenden Richtlinie<account-id>mit einer gültigenAWS-KontoNummer.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "lakeformation:GrantPermissions" ], "Resource": "*" }, { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": [ "arn:aws:iam::<account-id>:role/LakeFormationWorkflowRole" ] } ] }

    Im Folgenden finden Sie eine kurze Beschreibung der Berechtigungen in dieser Richtlinie:

    • lakeformation:GetDataAccessermöglicht Jobs, die vom Workflow erstellt wurden, an den Zielspeicherort zu schreiben.

    • lakeformation:GrantPermissionsermöglicht es dem Workflow, dieSELECTBerechtigung für Zieltabellen.

    • iam:PassRoleermöglicht dem Service die Annahme der RolleLakeFormationWorkflowRoleum Crawler und Jobs (Instanzen von Workflows) zu erstellen und die Rolle den erstellten Crawlern und Jobs zuzuordnen.

  7. Überprüfen Sie, ob die RolleLakeFormationWorkflowRolehat zwei Richtlinien angefügt.

  8. Wenn Sie Daten aufnehmen, die sich außerhalb des Data Lake-Standorts befinden, fügen Sie eine Inline-Richtlinie hinzu, die Berechtigungen zum Lesen der Quelldaten gewährt.

Erstellen Sie einen Data Lake-Administrator

Data Lake-Administratoren sind zunächst die einzigenAWS Identity and Access Management(IAM) Benutzer oder Rollen, die Lake Formation Formation-Berechtigungen für Datenspeicherorte und Datenkatalogressourcen für jeden Prinzipal (einschließlich sich selbst) gewähren können. Weitere Informationen zu Data Lake-Administratorfunktionen finden Sie unterImplizite Lake-Formation-Berechtigungenaus. Standardmäßig können Sie mit Lake Formation bis zu 30 Data Lake-Administratoren erstellen.

Sie können einen Data Lake-Administrator mit der Lake Formation Formation-Konsole oder demPutDataLakeSettingsBetrieb der Lake Formation API.

Die folgenden Berechtigungen sind erforderlich, um einen Data Lake-Administrator zu erstellen. DieAdministratorDer IAM-Benutzer hat diese Berechtigungen implizit.

  • lakeformation:PutDataLakeSettings

  • lakeformation:GetDataLakeSettings

Wenn Sie einem Benutzer dieAWSLakeFormationDataAdmin-Richtlinie, dass der Benutzer keine zusätzlichen Lake Formation-Administratorbenutzer erstellen kann.

So erstellen Sie einen Data Lake-Administrator (Konsole)

  1. Wenn der IAM-Benutzer, der Data Lake-Administrator werden soll, noch nicht existiert, verwenden Sie die IAM-Konsole, um ihn zu erstellen. Andernfalls zeigen Sie den vorhandenen IAM-Benutzer an, der der Data Lake-Administrator sein soll.

    Anmerkung

    Es wird empfohlen, keinen IAM-Administratorbenutzer auszuwählen (Benutzer mit demAdministratorAccess AWSverwaltete Richtlinie), um der Data Lake-Administrator zu sein.

    Fügen Sie das Folgende anAWSverwaltete Richtlinien für den Benutzer:

    Richtlinien Zwingend erforderlich Hinweise
    AWSLakeFormationDataAdmin zwingend erforderlich Grundlegende Data Lake-Administratorrechte.
    AWSGlueConsoleFullAccess, CloudWatchLogsReadOnlyAccess Optional Fügen Sie diese Richtlinien hinzu, wenn der Data Lake-Administrator die aus Lake Formation-Blueprints erstellten Workflows beheben soll. Diese Richtlinien ermöglichen es dem Data Lake-Administrator, Informationen zur Problembehandlung imAWS Glue-Konsole und dieAmazon CloudWatch Logsconsole. Weitere Informationen zu Workflows finden Sie unter.Daten mithilfe von Workflows in Lake Formation importierenaus.
    AWSLakeFormationCrossAccountManager Optional Fügen Sie diese Richtlinie hinzu, damit der Data Lake-Administrator kontoübergreifende Berechtigungen für Data Catalog-Ressourcen gewähren und entziehen kann. Weitere Informationen finden Sie unter Kontoübergreifender Zugriff in Lake Formation.
    AmazonAthenaFullAccess Optional Fügen Sie diese Richtlinie hinzu, wenn der Data Lake-Administrator Abfragen inAmazon Athenaaus.
  2. Fügen Sie die folgende Inline-Richtlinie hinzu, die dem Data Lake-Administrator die Berechtigung zum Erstellen der mit dem Lake Formation Service verknüpften Rolle gewährt. Ein vorgeschlagener Name für die Richtlinie lautetLakeFormationSLRaus.

    Die serviceverknüpfte Rolle ermöglicht es dem Data Lake-Administrator, Amazon S3 S3-Standorte einfacher bei Lake Formation zu registrieren. Weitere Informationen zur serviceverknüpften Lake Formation Formation-Rolle finden Sie unterVerwenden von serviceverknüpften Rollen für die Lake Formationaus.

    Wichtig

    Ersetzen Sie in allen folgenden Richtlinien die Option<account-id>mit einer gültigenAWS-Kontonummer.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "lakeformation.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::<account-id>:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess" } ] }
  3. (Optional) Fügen Sie Folgendes anPassRoleInerichtlinie für den -Benutzer. Diese Richtlinie ermöglicht es dem Data Lake-Administrator, Workflows zu erstellen und auszuführen. Dieiam:PassRole-Berechtigung ermöglicht dem Workflow die Übernahme der RolleLakeFormationWorkflowRoleCrawler und Jobs zu erstellen und die Rolle den erstellten Crawlern und Jobs zuzuordnen. Ein vorgeschlagener Name für die Richtlinie lautetUserPassRoleaus.

    Wichtig

    Ersetzen<account-id>mit einer gültigenAWS-Kontonummer.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/LakeFormationWorkflowRole" ] } ] }
  4. (Optional) Fügen Sie diese zusätzliche Inline-Richtlinie bei, wenn Ihr Konto kontoübergreifende Lake Formation Formation-Berechtigungen erteilt oder erhält. Diese Richtlinie ermöglicht es dem Data Lake-Administrator, diese anzuzeigen und zu akzeptierenAWS Resource Access Manager(AWS RAM) Einladungen zum Teilen von Ressourcen. Für Data Lake-Administratoren in derAWS OrganizationsVerwaltungskonto enthält die Richtlinie eine Berechtigung, um kontoübergreifende Zuschüsse an Organisationen zu ermöglichen. Weitere Informationen finden Sie unter Kontoübergreifender Zugriff in Lake Formation.

    Ein vorgeschlagener Name für die Richtlinie lautetRAMAccessaus.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ec2:DescribeAvailabilityZones", "ram:EnableSharingWithAwsOrganization" ], "Resource": "*" } ] }
  5. Öffnen SieAWS Lake Formation-Konsole beihttps://console.aws.amazon.com/lakeformation/und melden Sie sich als IAM-Administratorbenutzer an, den Sie in erstellt habenErstellen eines IAM-Administratorbenutzersoder als ein beliebiger IAM-Administratorbenutzer.

  6. Wenn einWillkommen bei bei Lake Formationangezeigt wird, wählen Sie den IAM-Benutzer aus, den Sie in Schritt 1 erstellt oder ausgewählt haben, und wählen Sie dannMelden Sie sich in der &console; an und öffnen Sie die Seite &ConsolePageURL;.aus.

  7. Wenn Sie keinWillkommen bei bei Lake Formationund führen Sie dann die folgenden Schritte aus, um einen Lake Formation Administrator zu konfigurieren.

    1. Wählen Sie im Navigationsbereich unterBerechtigungen, wählenAdministrative Rollen und Aufgabenaus. In derData-Lake-Administratorenauf der Konsolenseite, wählen SieWählen Sie Administratorenaus.

    2. In derData-Lake-Administratoren verwalten(Dialogfeld), fürIAM-Benutzer und -Rollenden IAM-Benutzer aus, den Sie in Schritt 1 erstellt oder ausgewählt haben, und wählen Sie dannSaveaus.

Ändern des Standard-Berechtigungsmodells

Lake Formation beginnt mit den Einstellungen „Nur IAM-Zugriffskontrolle verwenden“, die aus Gründen der Kompatibilität mit vorhandenen aktiviert sindAWS Glue Data CatalogVerhalten. Wir empfehlen, dass Sie diese Einstellungen deaktivieren, um eine feinkörnige und tagbasierte Zugriffskontrolle mit Lake Formation Formation-Berechtigungen zu ermöglichen.

Weitere Informationen finden Sie unter Ändern der Standardsicherheitseinstellungen für Ihren Data Lake.

Wichtig

Wenn Sie bereitsAWS Glue Data CatalogDatenbanken und Tabellen nicht den Anweisungen in diesem Abschnitt folgen. Folgen Sie stattdessen den Anweisungen in Upgraden vonAWS GlueDatenberechtigungen für dieAWS Lake FormationModell.

Warnung

Wenn Sie über eine Automatisierung verfügen, die Datenbanken und Tabellen im Datenkatalog erstellt, können die folgenden Schritte dazu führen, dass die Automatisierungs- und Downstream-Aufträge zum Extrahieren, Transformieren und Laden (ETL) fehlschlagen. Fahren Sie erst fort, nachdem Sie entweder Ihre vorhandenen Prozesse geändert oder den erforderlichen Principals explizite Lake Formation Formation-Berechtigungen erteilt haben. Weitere Informationen zu den Lake Formation Formation-Berechtigungen finden Sie unterReferenz für Lake-Formation-Berechtigungenaus.

So ändern Sie die Standardeinstellungen für den Datenkatalog

  1. Fahren Sie auf der Lake-Formation-Konsole unterhttps://console.aws.amazon.com/lakeformation/aus. Stellen Sie sicher, dass Sie als IAM-Administratorbenutzer angemeldet sind, den Sie in erstellt habenErstellen eines IAM-Administratorbenutzersoder als IAM-Benutzer mit demAdministratorAccess AWSVerwaltete Richtlinie.

  2. Ändern Sie die Einstellungen für den Datenkatalog:

    1. Wählen Sie im Navigationsbereich unterDatenkatalog, wählenEinstellungenaus.

    2. Deaktivieren Sie beide Kontrollkästchen und wählen SieSaveaus.

      
              Das Dialogfeld Datenkatalogeinstellungen hat den Untertitel „Standardberechtigungen für neu erstellte Datenbanken und Tabellen“ und verfügt über zwei Kontrollkästchen, die im Text beschrieben werden.
  3. RevokkeIAMAllowedPrincipalsBerechtigung für Datenbankersteller.

    1. Wählen Sie im Navigationsbereich unterBerechtigungen, wählenAdministrative Rollen und Aufgabenaus.

    2. In derAdministrative Rollen und Aufgaben-Konsolenseite, in derErsteller von Datenbankendie Option aus.IAMAllowedPrincipalsgruppieren und wählenRevokkeaus.

      DieRevokkeDas Dialogfeld „Berechtigungen“ wird angezeigt und zeigt, dassIAMAllowedPrincipalshat dasDatenbank erstellenBerechtigung.

    3. Klicken Sie aufRevokkeaus.

Erstellen Sie weitere Lake Formation Formation-Benutzer

Erstellen Sie einen IAM-Benutzer, der Zugriff auf den Data Lake inAWS Lake Formationaus. Dieser Benutzer hat die Mindestberechtigungen, um den Data Lake abzufragen.

So erstellen Sie einen Benutzer ohne Administratorrechte mit Zugriff auf Lake Formation Formation-Daten

  1. Öffnen Sie die IAM-Konsole unterhttps://console.aws.amazon.com/iamund melden Sie sich als IAM-Administratorbenutzer an, den Sie in erstellt habenErstellen eines IAM-Administratorbenutzersoder als IAM-Benutzer mit demAdministratorAccess AWSVerwaltete Richtlinie.

  2. Klicken Sie aufBenutzer, und dannHinzufügen von Benutzernaus.

  3. Geben Sie einen Namen für den Benutzer ein und wählen Sie dann die OptionPasswort -AWS Management ConsoleZugriffZugriffsmethode. Konfigurieren Sie die Anforderungen für das Benutzerkennwort Optional können Sie festlegen, dass aktiviert wirdZugangsschlüssel - Programmatischer Zugrifffür diesen Benutzer.

    Wählen Sie Next: Permissions aus.

  4. Wählen Sie unter Set permissions (Berechtigungen festlegen) die Option Attach existing policies directly (Vorhandene Richtlinien direkt anfügen) aus. Geben Sie ein.AthenaimRichtlinien für Filterfiltern-Textfeld. Aktivieren Sie in der Ergebnisliste das Kästchen fürAmazonAthenaFullAccessaus.

  5. Wählen Sie das SymbolRichtlinie erstellenSchaltfläche. Wählen Sie auf der Seite Create policy (Richtlinie erstellen)JSONRegisterkarte. Kopieren Sie den Code und fügen Sie diesen in den Richtlinien-Editor ein

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "glue:GetTable", "glue:GetTables", "glue:SearchTables", "glue:GetDatabase", "glue:GetDatabases", "glue:GetPartitions", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:GetLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags" ], "Resource": "*" } ] }
  6. Wählen Sie das SymbolWeiter-Button unten, bis Sie die fürRichtlinie überprüfenangezeigten. Geben Sie einen Namen für die Richtlinie ein, z.B.DatalakeUserBasicaus. Klicken Sie aufRichtlinie erstellenund schließen Sie dann die Registerkarte Richtlinien oder das Browserfenster.

  7. Zurück im IAMBenutzer hinzufügen eines BenutzersFenster, geben Sie eindatalakeimRichtlinie für FilterSuchfeld. Wenn die neu erstellte Richtlinie nicht in der Ergebnisliste angezeigt wird, wählen Sie die Schaltfläche Aktualisieren oder Seite neu laden. Markieren Sie das Kästchen fürDatalakeUserBasicPolitik.

  8. Klicken Sie aufWeiter: tagsundWeiter: Bewertungaus.

  9. Auf der Seite Review Seite sollten Sie sehen, dass sowohl dieDatalakeUserBasicRichtlinie und dieAmazonAthenaFullAccessRichtlinien wurden für den Benutzer ausgewählt. Klicken Sie aufBenutzer erstellenum die Einrichtung abzuschließen.

Konfigurieren Sie einen Amazon S3 S3-Speicherort für Ihren Data Lake

Um Lake Formation zur Verwaltung und Sicherung der Daten in Ihrem Data Lake zu verwenden, müssen Sie zuerst einen Amazon S3 S3-Standort registrieren. Wenn Sie einen Speicherort registrieren, werden dieser Amazon S3-Pfad und alle Ordner unter diesem Pfad registriert, sodass Lake Formation Berechtigungen auf Speicherebene durchsetzen kann. Wenn der Benutzer Daten von einer integrierten Engine wie Amazon Athena anfordert, bietet Lake Formation Datenzugriff, anstatt die Benutzerberechtigungen zu verwenden.

Wenn Sie einen Standort registrieren, geben Sie eine IAM-Rolle an, die Lese-/Schreibberechtigungen für diesen Standort gewährt. Lake Formation übernimmt diese Rolle bei der Bereitstellung temporärer Anmeldeinformationen für integrierteAWSDienste, die Zugriff auf Daten am registrierten Amazon S3 S3-Standort anfordern. Sie können entweder die servicegebundene Lake Formation Formation-Rolle (Service-Linked Role, SLR) angeben oder eine eigene Rolle erstellen.

Verwenden Sie in folgenden Fällen eine benutzerdefinierte Rolle:

Die ausgewählte Rolle muss über die erforderlichen Berechtigungen verfügen, wie unter beschriebenAnforderungen an Rollen, die zur Registrierung von Standorten verwendet werdenaus. Eine Anleitung zur Registrierung eines Amazon S3 S3-Speicherorts finden Sie unterHinzufügen eines Amazon-S3-Standorts zu Ihrem Data Lakeaus.

Vorbereitung auf die Verwendung gesteuerter Tabellen und Sicherheit auf Zeilenebene

Die von Lake Formation gesteuerten Tabellen, Filterung auf Zeilenebene und Speicheroptimierungsfunktionen erfordern zusätzliche Konfiguration, bevor sie verwendet werden können.

Vorbereitung auf die Verwendung kontrollierter Tabellen

Um gesteuerte Tabellen in Lake Formation zu erstellen, müssen Sie zunächst einen Amazon S3 S3-Standort in Lake Formation registrieren und eine Rolle angeben, die alle erforderlichen Berechtigungen enthält, wie zuvor unter beschriebenKonfigurieren Sie einen Amazon S3 S3-Speicherort für Ihren Data Lakeaus. Anschließend müssen Sie dem Benutzer oder der Rolle, die mit gesteuerten Tabellen interagiert, Berechtigungen erteilen. Weitere Informationen zu Datenzugriffsberechtigungen finden Sie unterDie zugrunde liegende Datenzugriffskontrolle.

Um eine gesteuerte Tabelle zu erstellen, muss der Benutzer ein Data Lake-Administrator oder ein Benutzer mit den folgenden Berechtigungen sein:

  • Die der der der derCREATE_TABLEBerechtigung für die Zieldatenbank

    • DieAWS Identity and Access Management(IAM) -Berechtigungglue:CreateTable

    • Berechtigungen für Datenspeicherorte inLake Formation, wie in beschriebenBerechtigungen für den Datenspeicherortaus. Datenstandortberechtigungen steuern die Möglichkeit, Datenkatalogressourcen zu erstellen oder zu ändern, die auf bestimmte Amazon S3 S3-Standorte verweisen.

    Um auf Daten in einer gesteuerten Tabelle zuzugreifen, benötigt der Prinzipal SELECT-Berechtigungen für die gesteuerte Tabelle und IAM-Berechtigungen zum Aufrufen von:

    lakeformation:StartQueryPlanning lakeformation:GetQueryState lakeformation:GetWorkUnits
 lakeformation:GetWorkUnitResults
 lakeformation:StartTransaction
 lakeformation:CommitTransaction
 lakeformation:CancelTransaction lakeformation:ExtendTransaction

So erstellen Sie eine Rolle und weisen Benutzern eine Rolle zum Erstellen und Verwenden gesteuerter Tabellen zu

  1. Öffnen Sie die IAM-Konsole unterhttps://console.aws.amazon.com/iamund melden Sie sich als IAM-Administratorbenutzer an, den Sie in erstellt habenErstellen eines IAM-Administratorbenutzersoder als IAM-Benutzer mit demAdministratorAccess AWSVerwaltete Richtlinie.

  2. Wählen Sie im Navigationsbereich und dann aus.Rollen, dannRolle erstellen einer eineraus.

  3. In derAnfügen von Berechtigungswählen Sie aus.Richtlinie erstellenaus. Erstellen Sie im neu geöffneten Browserfenster eine neue Richtlinie, die Sie mit Ihrer Rolle verwenden können.

    1. Wählen Sie auf der Seite Create policy (Richtlinie erstellen) die Registerkarte JSON aus. Kopieren Sie den JSON-Code in das Feld Richtlinien-Editor.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetTable", "glue:GetPartitions", "glue:UpdateTable" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lakeformation:StartQueryPlanning", "lakeformation:GetQueryState", "lakeformation:GetWorkUnits", "lakeformation:GetWorkUnitResults", "lakeformation:GetQueryStatistics", "lakeformation:StartTransaction", "lakeformation:CommitTransaction", "lakeformation:CancelTransaction", "lakeformation:ExtendTransaction", "lakeformation:DescribeTransaction", "lakeformation:ListTransactions", "lakeformation:GetTableObjects", "lakeformation:UpdateTableObjects", "lakeformation:DeleteObjectsOnCancel" ], "Resource": "*" } ] }

      Im Folgenden finden Sie eine kurze Beschreibung der Berechtigungen in dieser Richtlinie:

      • lakeformation:StartQueryPlanningermöglicht Prinzipalen, Anforderungen zur Verarbeitung einer Abfrageanweisung zu senden.

      • lakeformation:GetQueryStateermöglicht Prinzipalen, den Status einer zuvor gesendeten Abfrage anzuzeigen.

      • lakeformation:GetWorkUnitsermöglicht Principals das Abrufen der Arbeitseinheiten, die von derStartQueryPlanningverwenden.

      • lakeformation:GetWorkUnitResultsermöglicht Prinzipalen das Anzeigen der Arbeitseinheiten, die sich aus der Abfrage ergeben.

      • lakeformation:GetQueryStatisticsermöglicht Prinzipalen das Abrufen von Statistiken über die Planung und Ausführung einer Abfrage.

      • lakeformation:StartTransactionermöglicht Principals und Jobs das Starten einer Transaktion.

      • lakeformation:CommitTransactionermöglicht Principals und Jobs das Festschreiben von Transaktionen.

      • lakeformation:CancelTransactionermöglicht Principals und Jobs, eine Transaktion vor dem Commit zu stoppen.

      • lakeformation:ExtendTransactionermöglicht Principals und Jobs anzuzeigen, dass die angegebene Transaktion noch aktiv ist und nicht abgebrochen werden sollte.

      • lakeformation:DescribeTransactionermöglicht Principals und Jobs, Informationen über eine Transaktion aufzulisten.

      • lakeformation:ListTransactionsermöglicht Principals und Jobs das Anzeigen von Metadaten zu Transaktionen und deren Status.

      • lakeformation:GetTableObjectsermöglicht Principals und Jobs, die im Data Lake gespeicherten Tabellenobjekte aufzulisten.

      • lakeformation:UpdateTableObjectsermöglicht Principals und Jobs, die im Data Lake gespeicherten Tabellenobjekte zu aktualisieren.

      • lakeformation:DeleteObjectsOnCancelermöglicht Principals und Jobs, eine Liste von Amazon S3 S3-Objekten anzugeben, die während der aktuellen Transaktion geschrieben werden und die automatisch gelöscht werden können, wenn die Transaktion abgebrochen wird.

    2. Für Benutzer, die die Einstellungen für Datenkomprimierung und Garbagecollection für gesteuerte Tabellen verwalten müssen, fügen Sie der obigen Richtlinie die folgenden Berechtigungen hinzu:

      "lakeformation:UpdateTableStorageOptimizer", "lakeformation:ListTableStorageOptimizers"
    3. Wählen Sie Next: Tags (Weiter: Tags) aus.

    4. Sie können einen optionalen Tag hinzufügen und dannWeiter: Prüfen.

    5. Geben Sie auf der Seite Review Policy (Richtlinie überprüfen) einen Namen für die Richtlinie ein, z. B.LakeFormationGovernedTablesund wählen Sie aus.Richtlinie erstellenaus.

    6. Sie können dieses Fenster schließen und zumRolle erstellen einer einerangezeigten.

  4. Auf derRolle erstellen einer einerund wählen Sie die Schaltfläche „Refresh“ und suchen Sie nach demLakeFormationGovernedTables-Richtlinie, die Sie im vorherigen Schritt erstellt haben. Aktivieren Sie das Kontrollkästchen neben der Richtlinie in der Liste.

  5. Schließen Sie das ausRolle erstellen einer einerWizard, indem SieWeiterbis du das erreichstPrüfenangezeigten. Geben Sie einen Namen für die Rolle ein, z. B.LakeFormationTransactionsRoleaus. Zum Abschluss wählen SieRolle erstellen einer eineraus.

  6. Zurück auf derRollen-Seite, suchen Sie nachLakeFormationTransactionsRoleund wählen Sie den Rollennamen aus.

  7. Über die RolleÜbersicht-Seite, unter derBerechtigungen, stellen Sie sicher, dass die Rolle über dasLakeFormationGovernedTablesRichtlinie anfügen.

Sie können diese Rolle jetzt den Prinzipalen zuweisen, die mit gesteuerten Tabellen arbeiten.

Bereiten Sie sich auf die automatische Datenkomprimierung mit geregelten Tabellen vor

Um die Datenkomprimierung für kontrollierte Tabellen zu konfigurieren, muss der Prinzipal die folgenden Bedingungen erfüllen:

  • Seien Sie der Benutzer, der die Tabelle erstellt hat, oder ein Data Lake-Administratorbenutzer

  • Hatte dasglue:UpdateTable,glue:GetTableund der Lake FormationALTERErlaubnis auf dem Tisch

Darüber hinaus muss die Rolle, die bei der Registrierung des Amazon S3 Data Lake-Standorts bei Lake Formation verwendet wird, die folgenden Berechtigungen enthalten, um die Datenkomprimierung verwenden zu können:

  • s3:PutObject und lakeformation:UpdateTableObjects

  • lakeformation:StartTransaction,lakeformation:CommitTransaction,lakeformation:CancelTransaction,lakeformation:DeleteObjectsOnCancel, undlogs:CreateLogGroup,logs:CreateLogStream,logs:PutLogEvents, zu "arn:aws:logs:*:*<**ACCOUNT ID**>*:log-group:/aws-lakeformation-acceleration/compaction/logs:*" wie im folgenden Beispiel.

    { "Statement": [ { "Effect":"Allow", "Action":[ "s3:PutObject" ], "Resource": "arn:aws:s3:::<bucket>/<prefix>/*" }, { "Effect":"Allow", "Action":[ "lakeformation:StartTransaction", "lakeformation:CommitTransaction", "lakeformation:CancelTransaction", "lakeformation:DeleteObjectsOnCancel" ], "Resource": "*" }, { "Effect":"Allow", "Action":[ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*<**ACCOUNT ID**>*:log-group:/aws-lakeformation-acceleration/compaction/logs:*" } ] }
  • Wenn der Datenkatalog verschlüsselt ist,AWS KMSwichtige Richtlinie muss eine Vertrauensbeziehung mit beinhaltenlakeformation.amazonaws.comwie das folgende Beispiel.

    { "Effect": "Allow", "Principal": { "Service": [ "lakeformation.amazonaws.com" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:DescribeKey" ], "Resource": "*" }

Vorbereitung auf die Verwendung von Sicherheit auf Zeilenebene

Wenn Sie Lake Formation Formation-Berechtigungen für eine Datenkatalogtabelle erteilen, können Sie Datenfilterspezifikationen einbeziehen, um den Zugriff auf bestimmte Daten in Abfrageergebnissen und innerhalb vonAWS GlueETL-Aufträgen. Lake Formation verwendet Datenfilterung, um Sicherheit auf Spaltenebene, Sicherheit auf Zeilenebene und Sicherheit auf Zellebene zu erreichen. Sie können Sicherheit auf Spalten-, Zeilen- und Zellenebene implementieren, indem Sie benannteDatenfilterund einen Datenfilter angeben, wenn Sie dieSELECTLake Formation Erlaubnis auf Tischen. Wenn Sie einen Datenfilter erstellen, stellen Sie eine Gruppe von Spalten und einen Filterausdruck für Zeilen bereit, die eingeschlossen werden müssen. Auf diese Weise können Sie den Zugriff auf bestimmte Daten in Abfrageergebnissen und in in Lake Formation integrierten Engines wie Athena undAWS GlueETL-Aufträgen.

Weitere Informationen zu Datenfiltern finden Sie unterDatenfilterung und Sicherheit auf Zellebene in Lake Formationaus.

So konfigurieren Sie die Sicherheit auf Zeilenebene für eine Tabelle

  1. Identifizieren Sie die Inhalte, auf die Sie den Zugriff einschränken möchten, und erstellen Sie Datenfilter. Eine Anleitung zum Erstellen von Datenfiltern finden Sie unterErstellen eines Datenfiltersaus.

  2. GrantDESCRIBEBerechtigung für den Datenfilter für Benutzer, die den Datenfilter anzeigen können.

    Wenn Sie einen Datenfilter erstellen, können nur Sie ihn anzeigen. Damit andere Prinzipale einen Datenfilter anzeigen und verwenden können, können Sie denDESCRIBEErlaubnis dazu.

  3. Geben Sie den Datenfilter an, wenn Sie dieSELECTLake Formation Erlaubnis auf Tischen für Schulleiter.

  4. Weisen Sie den Prinzipalen, die die Tabelle mithilfe von Filtern auf Zellenebene abfragen, IAM-Berechtigungen zu. Principals, die Tabellen mit Filterung auf Zellenebene abfragen, müssen über die folgenden IAM-Berechtigungen verfügen:

    lakeformation:StartQueryPlanning lakeformation:GetQueryState lakeformation:GetWorkUnits lakeformation:GetWorkUnitResults

(Optional) Datenfilterung auf Amazon EMR-Clustern zulassen

Wenn Sie beabsichtigen, Daten in Ihrem Data Lake mit Amazon EMR zu analysieren und zu verarbeiten, müssen Sie sich dafür entscheiden, Amazon EMR-Clustern den Zugriff auf von Lake Formation verwaltete Daten zu ermöglichen. Wenn Sie sich nicht anmelden, können Amazon EMR-Cluster nicht auf Daten an Amazon-S3-Standorten zugreifen, die bei Lake Formation registriert sind.

Lake Formation unterstützt Berechtigungen auf Spaltenebene, um den Zugriff auf bestimmte Spalten in einer Tabelle einzuschränken. Integrierte Analysedienste wieAmazon Athena, Amazon Redshift Spectrum und Amazon EMR rufen ungefilterte Tabellenmetadaten aus demAWS Glue Data Catalogaus. Das eigentliche Filtern von Spalten in Abfrageantworten liegt in der Verantwortung des integrierten Dienstes. EMR-Cluster werden nicht vollständig vonAWSaus. Daher liegt es in der Verantwortung der EMR-Administratoren, die Cluster ordnungsgemäß zu sichern, um unbefugten Zugriff auf Daten zu verhindern.

Indem Sie die Datenfilterung auf dem EMR-Cluster zulassen, bestätigen Sie, dass Sie den Cluster ordnungsgemäß gesichert haben.

So melden Sie sich an, um Datenfilterung in Amazon EMR-Clustern zuzulassen (Konsole)

  1. Fahren Sie auf der Lake-Formation-Konsole unterhttps://console.aws.amazon.com/lakeformation/aus. Stellen Sie sicher, dass Sie als Principal angemeldet sind, der über die IAM-Berechtigung für die Lake Formation verfügtPutDataLakeSettingsAPI-Operation. Der IAM-Administratorbenutzer, den Sie inErstellen eines IAM-Administratorbenutzershat diese Berechtigung.

  2. Wählen Sie im Navigationsbereich unterBerechtigungen, wählenFiltern von externen Datenaus.

  3. Auf derFiltern von externen Datendie folgenden Schritte aus:

    1. aktivierenAmazon EMR-Clustern ermöglichen, von Lake Formation verwaltete Daten zu filternaus.

    2. FürAWSKonto-IDsdie -Konto-IDs vonAWSKonten mit Amazon EMR-Clustern, die Datenfilterung durchführen sollen. Drücken SieGeben Sie ein.nach jeder Konto-ID.

    3. Wählen Sie Save (Speichern) aus.

(Optional) Gewähren des Zugriffs auf den Datenkatalog-Verschlüsselungsschlüssel

Wenn das SymbolAWS Glue Data Catalogist verschlüsselt, grantAWS Identity and Access Management(IAM) -Berechtigungen fürAWS KMSSchlüssel für alle Prinzipale, die Lake Formation Formation-Berechtigungen für Data Catalog-Datenbanken und -Tabellen erteilen müssen.

Weitere Informationen finden Sie im AWS Key Management Service-Entwicklerhandbuch.