À propos de la mise à niveau vers le modèle d'autorisations de Lake Formation - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

À propos de la mise à niveau vers le modèle d'autorisations de Lake Formation

Pour maintenir la rétrocompatibilité avecAWS Glue, AWS Lake Formation accorde par défaut l'Superautorisation au IAMAllowedPrincipals groupe sur toutes les ressources du catalogue de AWS Glue données existantes, et accorde l'Superautorisation sur les nouvelles ressources du catalogue de données si les paramètres de contrôle d'accès Utiliser uniquement IAM sont activés. Ainsi, l'accès aux ressources du catalogue de données et aux emplacements Amazon S3 est contrôlé uniquement par des politiques AWS Identity and Access Management (IAM). Le IAMAllowedPrincipals groupe inclut tous les utilisateurs et rôles IAM autorisés à accéder aux objets de votre catalogue de données par vos politiques IAM. L'Superautorisation permet au principal d'effectuer toutes les opérations de Lake Formation prises en charge sur la base de données ou la table pour laquelle elle est accordée.

Vous pouvez commencer à utiliser Lake Formation pour gérer l'accès à vos données en enregistrant les emplacements des ressources du catalogue de données existantes dans Lake Formation ou en utilisant le mode d'accès hybride. Lorsque vous enregistrez l'emplacement Amazon S3 en mode d'accès hybride, vous pouvez activer les autorisations de Lake Formation en optant pour les principes pour les bases de données et les tables situées sous cet emplacement.

Pour faciliter la transition des autorisations de lac de données d'un modèle IAM et Amazon S3 vers les autorisations de Lake Formation, nous vous recommandons d'utiliser le mode d'accès hybride pour Data Catalog. Avec le mode d'accès hybride, vous disposez d'un chemin incrémentiel qui vous permet d'activer les autorisations de Lake Formation pour un ensemble spécifique d'utilisateurs sans interrompre les autres utilisateurs ou charges de travail existants.

Pour plus d’informations, consultez Mode d'accès hybride.

Désactivez les paramètres par défaut du catalogue de données pour déplacer tous les utilisateurs existants d'une table vers Lake Formation en une seule étape.

Pour commencer à utiliser les autorisations de Lake Formation avec vos bases de AWS Glue données et tables de catalogue de données existantes, vous devez effectuer les opérations suivantes :

  1. Déterminez les autorisations IAM existantes de vos utilisateurs pour chaque base de données et chaque table.

  2. Répliquez ces autorisations dans Lake Formation.

  3. Pour chaque site Amazon S3 contenant des données :

    1. Révoquez l'Superautorisation accordée au IAMAllowedPrincipals groupe sur chaque ressource du catalogue de données qui fait référence à cet emplacement.

    2. Enregistrez l'emplacement auprès de Lake Formation.

  4. Nettoyez les politiques précises de contrôle d'accès IAM existantes.

Important

Pour ajouter de nouveaux utilisateurs pendant le processus de transition de votre catalogue de données, vous devez configurer des AWS Glue autorisations granulaires dans IAM comme auparavant. Vous devez également reproduire ces autorisations dans Lake Formation, comme décrit dans cette section. Si les nouveaux utilisateurs disposent des politiques IAM grossières décrites dans ce guide, ils peuvent répertorier toutes les bases de données ou tables auxquelles l'autorisation est accordée. Super IAMAllowedPrincipals Ils peuvent également consulter les métadonnées de ces ressources.

Suivez les étapes décrites dans cette section pour passer au modèle d'autorisations Lake Formation. Commencez parÉtape 1 : Répertorier les autorisations existantes des utilisateurs et des rôles.