Registro de una ubicación de Amazon S3 - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro de una ubicación de Amazon S3

Debe especificar un rol AWS Identity and Access Management (IAM) al registrar una ubicación de Amazon Simple Storage Service (Amazon S3). Lake Formation asume esa función cuando otorga credenciales temporales a los AWS servicios integrados que acceden a los datos en esa ubicación.

importante

Evite registrar un bucket de Amazon S3 que tenga activada la opción El solicitante paga. Para los buckets registrados en Lake Formation, el rol utilizado para registrar el bucket se considera siempre como el solicitante. Si otra AWS cuenta accede al depósito, se le cobrará al propietario del depósito por el acceso a los datos si el rol pertenece a la misma cuenta que el propietario del depósito.

Puede usar la AWS Lake Formation consola, Lake Formation API o AWS Command Line Interface (AWS CLI) para registrar una ubicación de Amazon S3.

Antes de empezar

Revise los requisitos del rol utilizado para registrar la ubicación.

Para registrar una ubicación (consola)
importante

En los siguientes procedimientos se supone que la ubicación de Amazon S3 se encuentra en la misma AWS cuenta que el catálogo de datos y que los datos de la ubicación no están cifrados. Otras secciones de este capítulo tratan sobre el registro entre cuentas y el registro de ubicaciones cifradas.

  1. Abra la AWS Lake Formation consola en https://console.aws.amazon.com/lakeformation/. Inicie sesión como administrador del lago de datos o como usuario con el lakeformation:RegisterResource IAM permiso.

  2. En el panel de navegación, en Administración, seleccione Ubicaciones de lagos de datos.

  3. Elija Registrar ubicación y, a continuación, seleccione Examinar para seleccionar una ruta de Amazon Simple Storage Service (Amazon S3).

  4. (Opcional, pero muy recomendable) Seleccione Revisar permisos de ubicación para ver una lista de todos los recursos existentes en la ubicación de Amazon S3 seleccionada y sus permisos.

    El registro de la ubicación seleccionada podría dar lugar a que sus usuarios de Lake Formation accedan a los datos que ya se encuentran en esa ubicación. Revisar esta lista ayuda a garantizar que los datos existentes permanecen seguros.

  5. Para el IAMrol, elija el rol AWSServiceRoleForLakeFormationDataAccess vinculado al servicio (el predeterminado) o un IAM rol personalizado que cumpla con los requisitos de. Requisitos de los roles utilizados para registrar ubicaciones

    Puede actualizar una ubicación registrada u otros detalles solo si la registra con un rol personalizadoIAM. Para editar una ubicación registrada con un rol vinculado a un servicio, debe anular el registro de la ubicación y volver a registrarla.

  6. Elija la opción Habilitar la federación de catálogos de datos para permitir que Lake Formation asuma un rol y venda credenciales temporales a AWS servicios integrados para acceder a las tablas de bases de datos federadas. Si una ubicación está registrada en Lake Formation y desea utilizar la misma ubicación para una tabla en una base de datos federada, deberá registrar la misma ubicación con la opción Habilitar federación del Catálogo de datos.

  7. Seleccione el modo de acceso híbrido para no habilitar los permisos de Lake Formation de forma predeterminada. Cuando registre la ubicación de Amazon S3 en modo de acceso híbrido, puede habilitar los permisos de Lake Formation optando por entidades principales para las bases de datos y las tablas bajo esa ubicación.


    Para más información sobre la configuración del modo de acceso híbrido, consulte Modo de acceso híbrido.

  8. Seleccione Registrar ubicación.

Para registrar una ubicación (AWS CLI)
  1. Registro de una nueva ubicación en Lake Formation

    Este ejemplo usa el rol vinculado a un servicio para registrar la ubicación. En su lugar, puede utilizar el argumento --role-arn para proporcionar su propio rol.

    Reemplazar <s3-path> con una ruta de Amazon S3 válida, un número de cuenta con una AWS cuenta válida y <s3-access-role> con un IAM rol que tenga permisos para registrar una ubicación de datos.

    nota

    No puede editar las propiedades de una ubicación registrada si está registrada con un rol vinculado a un servicio.

    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --use-service-linked-role

    En el siguiente ejemplo, se utiliza un rol personalizado para registrar la ubicación.

    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role>
  2. Para actualizar una ubicación registrada con Lake Formation

    Puede editar una ubicación registrada solo si está registrada con un IAM rol personalizado. en el caso de una ubicación registrada con un rol vinculado a un servicio, debe anular el registro de la ubicación y volver a registrarla. Para obtener más información, consulte Dar de baja el registro de una ubicación de Amazon S3.

    aws lakeformation update-resource \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role>\ --resource-arn arn:aws:s3:::<s3-path>
    aws lakeformation update-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --use-service-linked-role
  3. Registrar una ubicación de datos en modo de acceso híbrido con federación
    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \ --hybrid-access-enabled
    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \ --with-federation
    aws lakeformation update-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \ --hybrid-access-enabled

Para obtener más información, consulte RegisterResourceAPIoperación.

nota

Una vez que registre una ubicación de Amazon S3, cualquier AWS Glue tabla que apunte a la ubicación (o a cualquiera de sus ubicaciones secundarias) devolverá el valor del IsRegisteredWithLakeFormation parámetro tal y como true aparece en la GetTable llamada. Existe la limitación conocida de que API las operaciones del catálogo de datos (por ejemplo, SearchTables no actualizan el valor del IsRegisteredWithLakeFormation parámetro) y devuelven el valor predeterminado, que es falso. GetTables Se recomienda utilizar el GetTable API para ver el valor correcto del IsRegisteredWithLakeFormation parámetro.