Requisitos previos para configurar el modo de acceso híbrido - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para configurar el modo de acceso híbrido

Los siguientes son los requisitos previos para configurar el modo de acceso híbrido:

nota

Recomendamos que un administrador de Lake Formation registre la ubicación de Amazon S3 en modo de acceso híbrido y opte por entidades principales y recursos.

  1. Otorgue el permiso de ubicación de datos (DATA_LOCATION_ACCESS) para crear recursos del Catálogo de datos que apunten a las ubicaciones de Amazon S3. Los permisos de ubicación de datos controlan la capacidad de crear bases de datos y tablas de Data Catalog que apuntan a ubicaciones concretas de Amazon S3.

  2. Para compartir los recursos del Catálogo de datos con otra cuenta en modo de acceso híbrido (sin eliminar los permisos de IAMAllowedPrincipals de grupo del recurso), debe actualizar la configuración de la versión entre cuentas a la Versión 4. Para actualizar la versión mediante la consola de Lake Formation, elija la Versión 4 en la configuración de la versión entre cuentas en la página de configuración del Catálogo de datos.

    También puede usar el put-data-lake-settings AWS CLI comando para establecer el CROSS_ACCOUNT_VERSION parámetro en la versión 4:

    aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<111122223333>:user/<user-name>" } ], "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [], "Parameters": { "CROSS_ACCOUNT_VERSION": "4" } }
  3. 
Para conceder permisos entre cuentas en el modo de acceso híbrido, el otorgante debe tener los IAM permisos y los servicios necesarios. AWS Glue AWS RAM La política AWS gestionada AWSLakeFormationCrossAccountManager concede los permisos necesarios.
 Para permitir el intercambio de datos entre cuentas en el modo de acceso híbrido, hemos actualizado la política AWSLakeFormationCrossAccountManager gestionada añadiendo dos IAM permisos nuevos:

    • RAM: ListResourceSharePermissions

    • RAM: AssociateResourceSharePermission

    nota

    Si no utilizas la política AWS gestionada para el rol de otorgante, añade las políticas anteriores a tus políticas personalizadas.

Ubicación del bucket de Amazon S3 y acceso de los usuarios

Al crear una base de datos o una tabla en AWS Glue Data Catalog, puede especificar la ubicación del depósito de Amazon S3 de los datos subyacentes y registrarlos en Lake Formation. En las tablas siguientes se describe cómo funcionan los permisos para AWS Glue los usuarios (principales) de Lake Formation en función de la ubicación de datos de Amazon S3 de la tabla o base de datos.

Ubicación de Amazon S3 registrada en Lake Formation
Ubicación de una base de datos en Amazon S3 AWS Glue usuarios Usuarios de Lake Formation

Registrado en Lake Formation (en modo de acceso híbrido o en modo Lake Formation)

Tenga acceso de lectura y escritura a la ubicación de datos de Amazon S3 heredando los permisos de IAMAllowedPrincipals grupo (superacceso).

Herede los permisos para crear tablas a partir del permiso que le hayan otorgado. CREATE TABLE
No hay una ubicación de Amazon S3 asociada

Se requiere un DATA LOCATION permiso explícito para correr CREATE TABLE y INSERT TABLE emitir declaraciones.

Se requiere un DATA LOCATION permiso explícito para la ejecución CREATE TABLE y INSERT TABLE las declaraciones.

IsRegisteredWithLakeFormationpropiedad de la tabla

La IsRegisteredWithLakeFormation propiedad de una tabla indica si la ubicación de los datos de la tabla está registrada en Lake Formation para el solicitante. Si el modo de permiso de la ubicación está registrado como Lake Formation, la IsRegisteredWithLakeFormation propiedad es true para todos los usuarios que accedan a la ubicación de datos, ya que se considera que todos los usuarios han optado por participar en esa tabla. Si la ubicación está registrada en modo de acceso híbrido, el valor se establece en true solo para los usuarios que hayan optado por esa tabla.

Cómo funciona IsRegisteredWithLakeFormation
Modo de permiso Usuarios/roles IsRegisteredWithLakeFormation Descripción

Lake Formation

Todos True

Cuando se registre una ubicación en Lake Formation, la IsRegisteredWithLakeFormation propiedad se establecerá como verdadera para todos los usuarios. Esto significa que los permisos definidos en Lake Formation se aplican a la ubicación registrada. Lake Formation se encargará de la venta de credenciales.

Modo de acceso híbrido Optó por participar True

Para los usuarios que hayan optado por usar Lake Formation para el acceso a los datos y la gobernanza de una tabla, la IsRegisteredWithLakeFormation propiedad se establecerá en true para esa tabla. Están sujetos a las políticas de permisos definidas en Lake Formation para la ubicación registrada.

Modo de acceso híbrido ¿No te has suscrito False

Para los usuarios que no hayan optado por utilizar los permisos de Lake Formation, la IsRegisteredWithLakeFormation propiedad se establece enfalse. No están sujetos a las políticas de permisos definidas en Lake Formation para la ubicación registrada. En su lugar, los usuarios seguirán las políticas de permisos de Amazon S3.