Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
DataZone Integración de Amazon con el modo híbrido de AWS Lake Formation
Amazon DataZone está integrado con el modo híbrido AWS Lake Formation. Esta integración te permite publicar y compartir fácilmente tus tablas de AWS Glue a través de Amazon DataZone sin necesidad de registrarlas primero en AWS Lake Formation. El modo híbrido te permite empezar a gestionar los permisos de tus tablas de AWS Glue a través de AWS Lake Formation y, al mismo tiempo, conservar los permisos de IAM existentes en estas tablas.
Para empezar, puedes activar la configuración de registro de ubicación de datos en el DefaultDataLakeblueprint de la consola de DataZone administración de Amazon.
Habilite la integración con el modo híbrido de AWS Lake Formation
-
Ve a la DataZone consola de Amazon en https://console.aws.amazon.com/datazone
e inicia sesión con las credenciales de tu cuenta. -
Elija Ver dominios y elija el dominio en el que desee habilitar la integración con el modo híbrido de AWS Lake Formation.
-
En la página de detalles del dominio, vaya a la pestaña Blueprints.
-
En la lista de esquemas, elija el DefaultDataLakeesquema.
-
Asegúrese de que el DefaultDataLake esquema esté activado. Si no está activado, sigue los pasos que se indican Habilita los blueprints integrados en la AWS cuenta propietaria del dominio de Amazon DataZone para activarlo en tu AWS cuenta.
-
En la página de DefaultDataLake detalles, abre la pestaña Aprovisionamiento y selecciona el botón Editar en la esquina superior derecha de la página.
-
En Registro de ubicaciones de datos, active la casilla para habilitar el registro de ubicaciones de datos.
-
Para la función de administración de ubicaciones de datos, puede crear una nueva función de IAM o seleccionar una función de IAM existente. Amazon DataZone utiliza esta función para gestionar el acceso de lectura y escritura a los depósitos de Amazon S3 elegidos para Data Lake mediante el modo de acceso híbrido AWS Lake Formation. Para obtener más información, consulte AmazonDataZone<region>S3 Manage- -< > domainId.
-
Si lo desea, puede optar por excluir determinadas ubicaciones de Amazon S3 si no desea que Amazon DataZone las registre automáticamente en modo híbrido. Para ello, complete los siguientes pasos:
-
Pulse el botón de alternancia para excluir ubicaciones específicas de Amazon S3.
-
Proporcione el URI del bucket de Amazon S3 que desea excluir.
-
Para añadir depósitos adicionales, selecciona Añadir ubicación de S3.
nota
Amazon DataZone solo permite excluir una ubicación raíz de S3. Cualquier ubicación de S3 que se encuentre dentro de la ruta de una ubicación raíz de S3 se excluirá automáticamente del registro.
-
Elija Guardar cambios.
-
Una vez que haya habilitado la configuración de registro de ubicaciones de datos en su AWS cuenta, cuando un consumidor de datos se suscriba a una tabla de AWS Glue gestionada mediante permisos de IAM, Amazon DataZone registrará primero las ubicaciones de Amazon S3 de esta tabla en modo híbrido y, a continuación, concederá acceso al consumidor de datos gestionando los permisos de la tabla a través de AWS Lake Formation. Esto garantiza que los permisos de IAM disponibles sigan existiendo con los permisos de AWS Lake Formation recién otorgados, sin interrumpir ningún flujo de trabajo existente.
Cómo gestionar las ubicaciones cifradas de Amazon S3 al habilitar la integración del modo híbrido de AWS Lake Formation en Amazon DataZone
Si utiliza una ubicación de Amazon S3 cifrada con una clave de KMS gestionada o AWS gestionada por el cliente, la función AmazonDataZoneS3Manage debe tener el permiso para cifrar y descifrar datos con la clave de KMS, o la política de claves de KMS debe conceder permisos sobre la clave de la función.
Si su ubicación de Amazon S3 está cifrada con una clave AWS gestionada, añada la siguiente política en línea al AmazonDataZoneDataLocationManagementrol:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<AWS managed key ARN>" } ]
Si su ubicación de Amazon S3 está cifrada con una clave gestionada por el cliente, haga lo siguiente:
-
Abra la consola de AWS KMS en https://console.aws.amazon.com/kms
e inicie sesión como usuario administrativo de AWS Identity and Access Management (IAM) o como usuario que puede modificar la política de claves de la clave de KMS utilizada para cifrar la ubicación. -
En el panel de navegación, elija Claves administradas por el cliente y, a continuación, el nombre de la clave de KMS deseada.
-
En la página de detalles de la clave KMS, elija la pestaña Política de claves y, a continuación, siga una de las instrucciones siguientes para añadir su rol personalizado o el rol vinculado al servicio de Lake Formation como usuario de la clave KMS:
-
Si aparece la vista predeterminada (con las secciones Administradores de claves, Eliminación de claves, Usuarios clave y Otras AWS cuentas), en la sección Usuarios clave, agregue la AmazonDataZoneDataLocationManagementfunción.
-
Si aparece la política clave (JSON), edítela para añadir una AmazonDataZoneDataLocationManagementfunción al objeto «Permitir el uso de la clave», como se muestra en el siguiente ejemplo
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
nota
Si la clave de KMS o la ubicación de Amazon S3 no se encuentran en la misma AWS cuenta que el catálogo de datos, siga las instrucciones que se indican en Registrar una ubicación de Amazon S3 cifrada en todas AWS las cuentas.
