Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Registro de una ubicación de Amazon S3
Debe especificar un rol AWS Identity and Access Management (IAM) al registrar una ubicación de Amazon Simple Storage Service (Amazon S3). Lake Formation asume esa función cuando otorga credenciales temporales a los AWS servicios integrados que acceden a los datos en esa ubicación.
importante
Evite registrar un bucket de Amazon S3 que tenga activada la opción El solicitante paga. Para los buckets registrados en Lake Formation, el rol utilizado para registrar el bucket se considera siempre como el solicitante. Si otra AWS cuenta accede al depósito, se le cobrará al propietario del depósito por el acceso a los datos si el rol pertenece a la misma cuenta que el propietario del depósito.
Puede usar la AWS Lake Formation consola, Lake Formation API o AWS Command Line Interface (AWS CLI) para registrar una ubicación de Amazon S3.
Antes de empezar
Revise los requisitos del rol utilizado para registrar la ubicación.
Para registrar una ubicación (consola)
importante
En los siguientes procedimientos se supone que la ubicación de Amazon S3 se encuentra en la misma AWS cuenta que el catálogo de datos y que los datos de la ubicación no están cifrados. Otras secciones de este capítulo tratan sobre el registro entre cuentas y el registro de ubicaciones cifradas.
-
Abra la AWS Lake Formation consola en https://console.aws.amazon.com/lakeformation/
. Inicie sesión como administrador del lago de datos o como usuario con el lakeformation:RegisterResource
IAM permiso. -
En el panel de navegación, en Administración, seleccione Ubicaciones de lagos de datos.
-
Elija Registrar ubicación y, a continuación, seleccione Examinar para seleccionar una ruta de Amazon Simple Storage Service (Amazon S3).
-
(Opcional, pero muy recomendable) Seleccione Revisar permisos de ubicación para ver una lista de todos los recursos existentes en la ubicación de Amazon S3 seleccionada y sus permisos.
El registro de la ubicación seleccionada podría dar lugar a que sus usuarios de Lake Formation accedan a los datos que ya se encuentran en esa ubicación. Revisar esta lista ayuda a garantizar que los datos existentes permanecen seguros.
-
Para el IAMrol, elija el rol
AWSServiceRoleForLakeFormationDataAccess
vinculado al servicio (el predeterminado) o un IAM rol personalizado que cumpla con los requisitos de. Requisitos de los roles utilizados para registrar ubicacionesPuede actualizar una ubicación registrada u otros detalles solo si la registra con un rol personalizadoIAM. Para editar una ubicación registrada con un rol vinculado a un servicio, debe anular el registro de la ubicación y volver a registrarla.
Elija la opción Habilitar la federación de catálogos de datos para permitir que Lake Formation asuma un rol y venda credenciales temporales a AWS servicios integrados para acceder a las tablas de bases de datos federadas. Si una ubicación está registrada en Lake Formation y desea utilizar la misma ubicación para una tabla en una base de datos federada, deberá registrar la misma ubicación con la opción Habilitar federación del Catálogo de datos.
-
Seleccione el modo de acceso híbrido para no habilitar los permisos de Lake Formation de forma predeterminada. Cuando registre la ubicación de Amazon S3 en modo de acceso híbrido, puede habilitar los permisos de Lake Formation optando por entidades principales para las bases de datos y las tablas bajo esa ubicación.
Para más información sobre la configuración del modo de acceso híbrido, consulte Modo de acceso híbrido.
-
Seleccione Registrar ubicación.
Para registrar una ubicación (AWS CLI)
-
Registro de una nueva ubicación en Lake Formation
Este ejemplo usa el rol vinculado a un servicio para registrar la ubicación. En su lugar, puede utilizar el argumento
--role-arn
para proporcionar su propio rol.Reemplazar
<s3-path>
con una ruta de Amazon S3 válida, un número de cuenta con una AWS cuenta válida y<s3-access-role>
con un IAM rol que tenga permisos para registrar una ubicación de datos.nota
No puede editar las propiedades de una ubicación registrada si está registrada con un rol vinculado a un servicio.
aws lakeformation register-resource \ --resource-arn arn:aws:s3:::
<s3-path>
\ --use-service-linked-roleEn el siguiente ejemplo, se utiliza un rol personalizado para registrar la ubicación.
aws lakeformation register-resource \ --resource-arn arn:aws:s3:::
<s3-path>
\ --role-arn arn:aws:iam::<123456789012>
:role/<s3-access-role>
-
Para actualizar una ubicación registrada con Lake Formation
Puede editar una ubicación registrada solo si está registrada con un IAM rol personalizado. en el caso de una ubicación registrada con un rol vinculado a un servicio, debe anular el registro de la ubicación y volver a registrarla. Para obtener más información, consulte Dar de baja el registro de una ubicación de Amazon S3.
aws lakeformation update-resource \ --role-arn arn:aws:iam::
<123456789012>
:role/<s3-access-role>
\ --resource-arn arn:aws:s3:::<s3-path>
aws lakeformation update-resource \ --resource-arn arn:aws:s3:::
<s3-path>
\ --use-service-linked-role -
Registrar una ubicación de datos en modo de acceso híbrido con federación
aws lakeformation register-resource \ --resource-arn arn:aws:s3:::
<s3-path>
\ --role-arn arn:aws:iam::<123456789012>
:role/<s3-access-role>
\ --hybrid-access-enabledaws lakeformation register-resource \ --resource-arn arn:aws:s3:::
<s3-path>
\ --role-arn arn:aws:iam::<123456789012>
:role/<s3-access-role>
\ --with-federationaws lakeformation update-resource \ --resource-arn arn:aws:s3:::
<s3-path>
\ --role-arn arn:aws:iam::<123456789012>
:role/<s3-access-role>
\ --hybrid-access-enabled
Para obtener más información, consulte RegisterResourceAPIoperación.
nota
Una vez que registre una ubicación de Amazon S3, cualquier AWS Glue tabla que apunte a la ubicación (o a cualquiera de sus ubicaciones secundarias) devolverá el valor del IsRegisteredWithLakeFormation
parámetro tal y como true
aparece en la GetTable
llamada. Existe la limitación conocida de que API las operaciones del catálogo de datos (por ejemplo, SearchTables
no actualizan el valor del IsRegisteredWithLakeFormation
parámetro) y devuelven el valor predeterminado, que es falso. GetTables
Se recomienda utilizar el GetTable
API para ver el valor correcto del IsRegisteredWithLakeFormation
parámetro.