Registrierung einer Abfrage-Engine eines Drittanbieters

Bevor eine Query-Engine eines Drittanbieters die API Anwendungsintegrationsoperationen verwenden kann, müssen Sie der Abfrage-Engine explizit die Berechtigungen zum Aufrufen der API Operationen in Ihrem Namen gewähren. Dies erfolgt in wenigen Schritten:

Sie müssen die AWS Konten und IAM Sitzungs-Tags angeben, für die die Berechtigung zum Aufrufen der API Anwendungsintegrationsvorgänge über die AWS Lake Formation Konsole, das AWS CLI oder dasAPI/erforderlich istSDK.
Wenn die Drittanbieter-Abfrage-Engine die Ausführungsrolle in Ihrem Konto übernimmt, muss die Abfrage-Engine ein Sitzungs-Tag anhängen, das bei Lake Formation registriert ist und die Drittanbieter-Engine darstellt. Lake Formationverwendet dieses Tag, um zu überprüfen, ob die Anfrage von einer zugelassenen Engine stammt. Weitere Informationen zu Sitzungs-Tags finden Sie unter Sitzungs-Tags im IAM Benutzerhandbuch.

Wenn Sie eine Ausführungsrolle für die Query Engine eines Drittanbieters einrichten, müssen Sie in der IAM Richtlinie über die folgenden Mindestberechtigungen verfügen:


{
  "Version": "2012-10-17",
  "Statement": {"Effect": "Allow",
    "Action": [
      "lakeformation:GetDataAccess",      
      "glue:GetTable",
      "glue:GetTables",
      "glue:GetDatabase",
      "glue:GetDatabases",
      "glue:CreateDatabase",
      "glue:GetUserDefinedFunction",
      "glue:GetUserDefinedFunctions",
      "glue:GetPartition",
      "glue:GetPartitions"
    ],
    "Resource": "*"
  }
}

Richten Sie eine Rollenvertrauensrichtlinie für die Ausführungsrolle der Abfrage-Engine ein, um genau kontrollieren zu können, welches Schlüssel-Wert-Paar für das Sitzungs-Tag an diese Rolle angehängt werden kann. Im folgenden Beispiel darf dieser Rolle nur der Sitzungs-Tag-Schlüssel "LakeFormationAuthorizedCaller" und der Sitzungs-Tag-Wert "engine1" angehängt werden, und es ist kein anderes Sitzungstag-Schlüssel-Wert-Paar zulässig.
```
{
    "Sid": "AllowPassSessionTags",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/query-execution-role"
    },
    "Action": "sts:TagSession",
    "Condition": {
    "StringLike": {
        "aws:RequestTag/LakeFormationAuthorizedCaller": "engine1"        }
    }
}
```

Wenn der AssumeRole API VorgangSTS: LakeFormationAuthorizedCaller aufgerufen wird, um Anmeldeinformationen für die Abfrageengine abzurufen, muss das Sitzungs-Tag in der AssumeRole Anforderung enthalten sein. Die zurückgegebenen temporären Anmeldeinformationen können verwendet werden, um Anfragen zur Lake Formation Anwendungsintegration API zu stellen.

Lake FormationFür API Anwendungsintegrationsvorgänge muss es sich bei dem aufrufenden Principal um eine IAM Rolle handeln. Die IAM Rolle muss ein Sitzungs-Tag mit einem vordefinierten Wert enthalten, mit dem registriert wurdeLake Formation. Mit diesem Tag kann Lake Formation überprüft werden, ob die Rolle, die zum Aufrufen der API Anwendungsintegrationsvorgänge verwendet wird, dazu berechtigt ist.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Lake FormationArbeitsablauf für Anwendungsintegrationsvorgänge API

Aktivieren von Berechtigungen für eine Abfrage-Engine eines Drittanbieters zum Aufrufen von API Anwendungsintegrationsvorgängen