Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Habilitar los permisos para que un motor de consultas de terceros pueda llamar a API las operaciones de integración de aplicaciones
Siga estos pasos para permitir que un motor de consultas de terceros llame a API las operaciones de integración de aplicaciones a través del AWS Lake Formation consola, la AWS CLI oAPI/SDK.
- Console
-
Para registrar tu cuenta para el filtrado de datos externo:
Inicie sesión en y abra la AWS Management Console consola de Lake Formation en https://console.aws.amazon.com/lakeformation/
. -
En la barra de navegación de la izquierda, expanda Administración y, a continuación, seleccione Configuración de integración de aplicaciones.
-
En la página de configuración de integración de aplicaciones, elija la opción Permitir que motores externos filtren los datos en las ubicaciones de Amazon S3 registradas en Lake Formation.
-
Introduzca las etiquetas de sesión que creó para el motor de terceros. Para obtener información sobre las etiquetas de sesión, consulte Pasar etiquetas de sesión AWS STS en la Guía del AWS Identity and Access Management usuario.
-
Introduzca la cuenta IDs para los usuarios que pueden utilizar el motor de terceros para acceder a la información de metadatos sin filtrar y a las credenciales de acceso a los datos de los recursos de la cuenta actual.
También puede usar el campo de ID de AWS cuenta para configurar el acceso entre cuentas.
- CLI
-
Utilice el
put-data-lake-settings
CLI comando para configurar los siguientes parámetros.Hay tres campos que configurar al usar este AWS CLI comando:
-
allow-external-data-filtering
– (booleano) Indica que un motor de terceros puede acceder a la información de metadatos y a las credenciales de acceso a los datos sin filtrar de los recursos de la cuenta actual. -
external-data-filtering-allow-list
— (matriz) Una lista de cuentas IDs que pueden acceder a la información de metadatos sin filtrar y a las credenciales de acceso a los datos de los recursos de la cuenta corriente cuando se utiliza un motor de terceros. -
authorized-sessions-tag-value-list
– (matriz) Una lista de valores de etiquetas de sesión autorizados (cadenas). Si se ha adjuntado una credencial de IAM rol a un par clave-valor autorizado, si la etiqueta de sesión está incluida en la lista, la sesión tendrá acceso a la información de metadatos sin filtrar y a las credenciales de acceso a los datos de los recursos de la cuenta configurada. La clave de etiqueta de sesión autorizada se define como*LakeFormationAuthorizedCaller*
. -
AllowFullTableExternalDataAccess
- (booleano) Si se debe permitir que un motor de consultas de terceros obtenga credenciales de acceso a los datos sin etiquetas de sesión cuando la persona que llama tiene todos los permisos de acceso a los datos.
Por ejemplo:
aws lakeformation put-data-lake-settings --cli-input-json file://datalakesettings.json { "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::111111111111:user/lakeAdmin" } ], "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [], "TrustedResourceOwners": [], "AllowExternalDataFiltering": true, "ExternalDataFilteringAllowList": [ {"DataLakePrincipalIdentifier": "111111111111"} ], "AuthorizedSessionTagValueList": ["engine1"], "AllowFullTableExternalDataAccess": false } }
-
- API/SDK
-
Utilice la
PutDataLakeSetting
API operación para establecer los siguientes parámetros.Hay tres campos que se deben configurar cuando se utiliza esta API operación:
-
AllowExternalDataFiltering
– (booleano) Indica SI un motor de terceros puede acceder a la información de metadatos y a las credenciales de acceso a los datos sin filtrar de los recursos de la cuenta actual. -
ExternalDataFilteringAllowList
— (matriz) Una lista de cuentas IDs que pueden acceder a la información de metadatos sin filtrar y a las credenciales de acceso a los datos de los recursos de la cuenta corriente mediante un motor de terceros. -
AuthorizedSectionsTagValueList
– (matriz) Una lista de valores de etiquetas autorizadas (cadenas). Si se ha adjuntado una credencial de IAM rol a una etiqueta autorizada, la sesión tiene acceso a la información de metadatos sin filtrar y a las credenciales de acceso a los datos de los recursos de la cuenta configurada. La clave de etiqueta de sesión autorizada se define como*LakeFormationAuthorizedCaller*
. -
AllowFullTableExternalDataAccess
- (booleano) Si se debe permitir que un motor de consultas de terceros obtenga credenciales de acceso a los datos sin etiquetas de sesión cuando la persona que llama tiene todos los permisos de acceso a los datos.
Por ejemplo:
//Enable session tag on existing data lake settings public void sessionTagSetUpForExternalFiltering(AWSLakeFormationClient lakeformation) { GetDataLakeSettingsResult getDataLakeSettingsResult = lfClient.getDataLakeSettings(new GetDataLakeSettingsRequest()); DataLakeSettings dataLakeSettings = getDataLakeSettingsResult.getDataLakeSettings(); //set account level flag to allow external filtering dataLakeSettings.setAllowExternalDataFiltering(true); //set account that are allowed to call credential vending or Glue GetFilteredMetadata API List<DataLakePrincipal> allowlist = new ArrayList<>(); allowlist.add(new DataLakePrincipal().withDataLakePrincipalIdentifier("111111111111")); dataLakeSettings.setWhitelistedForExternalDataFiltering(allowlist); //set registered session tag values List<String> registeredTagValues = new ArrayList<>(); registeredTagValues.add("engine1"); dataLakeSettings.setAuthorizedSessionTagValueList(registeredTagValues); lakeformation.putDataLakeSettings(new PutDataLakeSettingsRequest().withDataLakeSettings(dataLakeSettings)); }
-