Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Requisitos previos para configurar el modo de acceso híbrido
Los siguientes son los requisitos previos para configurar el modo de acceso híbrido:
nota
Recomendamos que un administrador de Lake Formation registre la ubicación de Amazon S3 en modo de acceso híbrido y opte por entidades principales y recursos.
-
Otorgue el permiso de ubicación de datos (
DATA_LOCATION_ACCESS
) para crear recursos del Catálogo de datos que apunten a las ubicaciones de Amazon S3. Los permisos de ubicación de datos controlan la capacidad de crear bases de datos y tablas de Data Catalog que apuntan a ubicaciones concretas de Amazon S3. -
Para compartir los recursos del Catálogo de datos con otra cuenta en modo de acceso híbrido (sin eliminar los permisos de
IAMAllowedPrincipals
de grupo del recurso), debe actualizar la configuración de la versión entre cuentas a la Versión 4. Para actualizar la versión mediante la consola de Lake Formation, elija la Versión 4 en la configuración de la versión entre cuentas en la página de configuración del Catálogo de datos.También puede usar el
put-data-lake-settings
AWS CLI comando para establecer elCROSS_ACCOUNT_VERSION
parámetro en la versión 4:aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::
<111122223333>
:user/<user-name>
" } ], "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [], "Parameters": { "CROSS_ACCOUNT_VERSION": "4" } } Para conceder permisos entre cuentas en el modo de acceso híbrido, el otorgante debe tener los IAM permisos y los servicios necesarios. AWS Glue AWS RAM La política AWS gestionada
AWSLakeFormationCrossAccountManager
concede los permisos necesarios. Para permitir el intercambio de datos entre cuentas en el modo de acceso híbrido, hemos actualizado la políticaAWSLakeFormationCrossAccountManager
gestionada añadiendo dos IAM permisos nuevos:RAM: ListResourceSharePermissions
RAM: AssociateResourceSharePermission
nota
Si no utilizas la política AWS gestionada para el rol de otorgante, añade las políticas anteriores a tus políticas personalizadas.
Ubicación del bucket de Amazon S3 y acceso de los usuarios
Al crear una base de datos o una tabla en AWS Glue Data Catalog, puede especificar la ubicación del depósito de Amazon S3 de los datos subyacentes y registrarlos en Lake Formation. En las tablas siguientes se describe cómo funcionan los permisos para AWS Glue los usuarios (principales) de Lake Formation en función de la ubicación de datos de Amazon S3 de la tabla o base de datos.
Ubicación de una base de datos en Amazon S3 | AWS Glue usuarios | Usuarios de Lake Formation |
---|---|---|
Registrado en Lake Formation (en modo de acceso híbrido o en modo Lake Formation) |
Tenga acceso de lectura y escritura a la ubicación de datos de Amazon S3 heredando los permisos de IAMAllowedPrincipals grupo (superacceso). |
Herede los permisos para crear tablas a partir del permiso que le hayan otorgado. CREATE TABLE |
No hay una ubicación de Amazon S3 asociada |
Se requiere un DATA LOCATION permiso explícito para correr CREATE TABLE y INSERT TABLE emitir declaraciones. |
Se requiere un DATA LOCATION permiso explícito para la ejecución CREATE TABLE y INSERT TABLE las declaraciones. |
IsRegisteredWithLakeFormationpropiedad de la tabla
La IsRegisteredWithLakeFormation
propiedad de una tabla indica si la ubicación de los datos de la tabla está registrada en Lake Formation para el solicitante. Si el modo de permiso de la ubicación está registrado como Lake Formation, la IsRegisteredWithLakeFormation
propiedad es true
para todos los usuarios que accedan a la ubicación de datos, ya que se considera que todos los usuarios han optado por participar en esa tabla. Si la ubicación está registrada en modo de acceso híbrido, el valor se establece en true
solo para los usuarios que hayan optado por esa tabla.
Modo de permiso | Usuarios/roles |
IsRegisteredWithLakeFormation
|
Descripción |
---|---|---|---|
Lake Formation |
Todos | True |
Cuando se registre una ubicación en Lake Formation, la |
Modo de acceso híbrido | Optó por participar | True |
Para los usuarios que hayan optado por usar Lake Formation para el acceso a los datos y la gobernanza de una tabla, la |
Modo de acceso híbrido | ¿No te has suscrito | False |
Para los usuarios que no hayan optado por utilizar los permisos de Lake Formation, la |