Acceder a un conjunto AWS Data Exchange de datos que contenga el acceso a los datos de Amazon S3 - AWS Data Exchange Guía del usuario

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceder a un conjunto AWS Data Exchange de datos que contenga el acceso a los datos de Amazon S3

Descripción general para los receptores

AWS Data Exchange para Amazon S3 permite a los destinatarios acceder a archivos de datos de terceros directamente desde los buckets de Amazon S3 de los propietarios de los datos.

Como destinatario, una vez que tenga derecho a un conjunto de datos AWS Data Exchange para Amazon S3, puede iniciar el análisis de datos con Servicios de AWS Amazon Athena, SageMaker Feature Store o Amazon EMR directamente utilizando los datos del propietario de los datos en sus depósitos de Amazon S3.

Considere lo siguiente:

  • Los propietarios de datos tienen la opción de habilitar El solicitante paga, una característica de Amazon S3, en el bucket de Amazon S3 que aloja los datos ofrecidos. Si está habilitada, los destinatarios pagan para leer, usar, transferir, exportar o copiar los datos a los depósitos de theirAmazon S3. Para obtener más información, consulte Uso de buckets de pago por solicitante para transferencias de almacenamiento y uso en la Guía del usuario de Amazon Simple Storage Service.

  • Cuando acepta una concesión de datos a un producto de datos AWS Data Exchange de Amazon S3, aprovisiona AWS Data Exchange automáticamente un punto de acceso de Amazon S3 y actualiza sus políticas de recursos para concederle acceso de solo lectura. Los puntos de acceso de Amazon S3 son una característica de Amazon S3 que simplifica el intercambio de datos en un bucket de Amazon S3. Para obtener más información, consulte Administración de acceso a datos con puntos de acceso de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

  • Antes de utilizar el punto de acceso Amazon S3, el nombre de recurso de Amazon (ARN) o el alias para acceder a los datos compartidos, debe actualizar sus IAM permisos. Puede comprobar que el rol actual y su política asociada permiten GetObject y ListBucket llaman al bucket de Amazon S3 del proveedor y al punto de acceso Amazon S3 proporcionado por él AWS Data Exchange.

En las siguientes secciones se describe el proceso completo de acceso a un AWS Data Exchange conjunto de datos de Amazon S3 después de aceptar una concesión de datos mediante la AWS Data Exchange consola.

Puede ejecutar consultas para analizar los datos in situ sin tener que configurar sus propios buckets de Amazon S3, copiar archivos de datos en buckets de Amazon S3 ni pagar las tarifas de almacenamiento asociadas. Puede acceder a los mismos objetos de Amazon S3 que mantiene el propietario de datos, lo que le permite utilizar los datos más recientes disponibles.

Con una concesión de datos, puede hacer lo siguiente:

  • Analice los datos sin configurar depósitos individuales de Amazon S3, copiar archivos ni pagar tarifas de almacenamiento.

  • Acceda a los datos más recientes del proveedor tan pronto como el propietario los actualice.

Para visualizar conjuntos de datos, versiones y activos

  1. Abra el navegador web e inicie sesión en la consola de AWS Data Exchange.

  2. En el panel de navegación de la izquierda, en Mis datos, elija Conjuntos de datos con derechos.

  3. En Conjuntos de datos con derechos, elija el conjunto de datos.

  4. Consulte la Información general sobre el conjunto de datos.

    nota

    Los datos proporcionados se almacenan en el bucket de Amazon S3 del propietario. Al acceder a estos datos, serás responsable del coste de la solicitud y de los datos descargados del bucket de Amazon S3 del propietario, a menos que el propietario especifique lo contrario.

  5. Antes de empezar, su rol debe tener IAM permisos para usar el acceso a datos de Amazon S3 autorizado. En la página de descripción general del conjunto de datos, en la pestaña Acceso a datos de Amazon S3, seleccione Verificar IAM permisos para determinar si su función tiene los permisos correctos para acceder a sus datos.

  6. Si tiene los IAM permisos necesarios, seleccione Siguiente en el mensaje IAMde política que aparece. Si no tiene los permisos necesarios, siga las instrucciones para integrar la JSON política en el usuario o rol.

  7. Revise sus ubicaciones compartidas para ver el depósito de Amazon S3 o los prefijos y objetos compartidos por el propietario de los datos. Revise la información de acceso a los datos del punto de acceso de Amazon S3 para determinar si el propietario de datos ha activado El solicitante paga.

  8. Elija Buscar ubicaciones compartidas de Amazon S3 para ver y explorar el depósito de Amazon S3, los prefijos y los objetos compartidos del propietario de los datos.

  9. Utilice el alias del Punto de acceso en cualquier lugar donde utilice los nombres de bucket de Amazon S3 para acceder a los datos autorizados mediante programación. Para obtener más información, consulte Uso de puntos de acceso con operaciones de Amazon S3 compatibles en la Guía del usuario de Amazon Simple Storage Service.

  10. (Opcional) Cuando obtenga el derecho a un conjunto de datos de acceso a datos de Amazon S3 que contenga datos cifrados con los del propietario de los datos AWS KMS key, podrá ver la KMS clave ARN en su consola. AWS Data Exchange crea una AWS KMS concesión en la clave para que pueda acceder a los datos cifrados. Debe obtener kms:Decrypt IAM permiso AWS KMS key para leer los datos cifrados del punto de acceso Amazon S3 del que ha obtenido el derecho. Puede elegir entre las siguientes declaraciones de IAM política:

    1. IAMpolítica que permite a los usuarios descifrar o cifrar datos con cualquier KMS clave.

      {
    "Version": "2012-10-17",
    "Statement": [{

        "Effect": "Allow",
        "Action": ["kms:Decrypt"],
        "Resource": ["*"]
    }
  ]
}

    2. IAMpolítica que permite a los usuarios especificar la KMS clave exacta ARNs visible en la consola del destinatario.

      {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": [
            "<KMS key Arn from recipient's console>
        ]
    }
  ]
}
nota

AWS KMS La operación puede tardar hasta 5 minutos en lograr una coherencia final con las concesiones. Es posible que no tenga acceso al conjunto de datos de acceso a los datos de Amazon S3 hasta que se complete. Para obtener más información, consulte las subvenciones AWS KMS en la Guía para desarrolladores de AWS KMS key Management Service.