Modo de acceso híbrido - AWS Lake Formation
Casos de uso comunes del modo de acceso híbrido

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Modo de acceso híbrido

AWS Lake Formation el modo de acceso híbrido admite dos rutas de permisos a las mismas AWS Glue Data Catalog bases de datos y tablas.
 En la primera opción, Lake Formation te permite seleccionar directores específicos y concederles permisos de Lake Formation para acceder a bases de datos y tablas si optas por participar. La segunda vía permite a todos los demás responsables acceder a estos recursos a través de las políticas principales de IAM predeterminadas para Amazon S3 y AWS Glue sus acciones.

Al registrar una ubicación de Amazon S3 en Lake Formation, tiene la opción de aplicar los permisos de Lake Formation para todos los recursos de esta ubicación o utilizar el modo de acceso híbrido. El modo de acceso híbrido solo aplica los permisos CREATE_TABLE, CREATE_PARTITION y UPDATE_TABLE de forma predeterminada. Cuando una ubicación de Amazon S3 se encuentra en el modo híbrido, puede habilitar los permisos de Lake Formation optando por entidades principales para bases de datos y tablas de esa ubicación.


Así, el modo de acceso híbrido proporciona la flexibilidad necesaria para habilitar de forma selectiva Lake Formation para bases de datos y tablas de su Catálogo de datos para un conjunto específico de usuarios sin interrumpir el acceso para otros usuarios o cargas de trabajo existentes.

Para ver las consideraciones y limitaciones, consulte Consideraciones y limitaciones del modo de acceso híbrido .

Términos y definiciones

A continuación se detallan las definiciones de los recursos del Catálogo de datos según la configuración de los permisos de acceso:

Recurso de Lake Formation

Un recurso registrado con Lake Formation. Los usuarios necesitan permisos de Lake Formation para acceder al recurso.

AWS Glue recurso

Un recurso que no está registrado con Lake Formation. Los usuarios solo necesitan permisos de IAM para acceder al recurso porque tiene permisos de grupo IAMAllowedPrincipals. Los permisos de Lake Formation no se aplican.

Para obtener más información sobre los permisos de grupo de IAMAllowedPrincipals, consulte Permisos de metadatos.

Recursos híbridos

Recursos registrados en modo de acceso híbrido. En función de los usuarios que accedan al recurso, este cambia dinámicamente entre ser un recurso de Lake Formation o un recurso de AWS Glue .

Casos de uso comunes del modo de acceso híbrido

Puede utilizar el modo de acceso híbrido para proporcionar acceso en escenarios de uso compartido de datos de una sola cuenta y entre cuentas:

Escenarios de una sola cuenta

  • Convertir un AWS Glue recurso en un recurso híbrido: en este escenario, actualmente no está utilizando Lake Formation, pero desea adoptar los permisos de Lake Formation para las bases de datos y tablas de Data Catalog. Al registrar la ubicación de Amazon S3 en modo de acceso híbrido, puede conceder permisos de Lake Formation a los usuarios que opten por acceder a bases de datos y tablas específicas que apunten a esa ubicación.

  • Convierta un recurso de Lake Formation en un recurso híbrido: actualmente, utiliza los permisos de Lake Formation para controlar el acceso a una base de datos del catálogo de datos, pero desea proporcionar acceso a nuevos directores mediante los permisos de IAM para Amazon S3 y AWS Glue sin interrumpir los permisos de Lake Formation existentes.

    Al actualizar el registro de una ubicación de datos al modo de acceso híbrido, las nuevas entidades principales pueden acceder a la base de datos del Catálogo de datos que apunta a la ubicación de Amazon S3 mediante las políticas de permisos de IAM sin interrumpir los permisos de Lake Formation de los usuarios existentes.

    Antes de actualizar el registro de ubicación de datos para habilitar el modo de acceso híbrido, primero debe seleccionar las entidades principales que acceden ahora al recurso con permisos de Lake Formation.
 Esto tiene como objetivo evitar una posible interrupción del flujo de trabajo actual.
 También debe conceder permiso de Super sobre las tablas de la base de datos al grupo IAMAllowedPrincipal.

Escenarios de uso compartido de datos entre cuentas

  • Comparta AWS Glue recursos mediante el modo de acceso híbrido: en este escenario, la cuenta del productor tiene tablas en una base de datos que actualmente se comparten con una cuenta de consumidor mediante políticas de permisos de IAM para Amazon S3 y AWS Glue acciones. La ubicación de los datos de la base de datos no está registrada en Lake Formation.

    Antes de registrar la ubicación de los datos en el modo de acceso híbrido, debe actualizar la configuración de la versión entre cuentas a la versión 4. La versión 4 proporciona las nuevas políticas de AWS RAM permisos necesarias para compartir entre cuentas cuando el IAMAllowedPrincipal grupo tiene Super permiso sobre el recurso. Para los recursos con permisos de grupo IAMAllowedPrincipal, puede conceder permisos de Lake Formation a cuentas externas y optar por que utilicen los permisos de Lake Formation. El administrador del lago de datos de la cuenta receptora puede conceder permisos de Lake Formation a entidades principales de la cuenta y optar por ellos para aplicar los permisos de Lake Formation.

  • Compartir recursos de Lake Formation utilizando el modo de acceso híbrido: en la actualidad, la cuenta de productor tiene tablas en una base de datos que se comparten con una cuenta de consumidor que aplica los permisos de Lake Formation. La ubicación de los datos de la base de datos no está registrada en Lake Formation.

    En este caso, puede actualizar el registro de ubicación de Amazon S3 al modo de acceso híbrido y compartir los datos de Amazon S3 y los metadatos del Catálogo de datos mediante las políticas de bucket de Amazon S3 y las políticas de recursos del Catálogo de datos con las entidades principales de la cuenta del consumidor. Debe volver a conceder los permisos existentes de Lake Formation y optar por las entidades principales antes de actualizar el registro de la ubicación de Amazon S3. También debe conceder permiso de Super sobre las tablas de la base de datos al grupo IAMAllowedPrincipals.

Temas