Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Sebelum mesin kueri pihak ketiga dapat menggunakan operasi API integrasi aplikasi, Anda perlu mengaktifkan izin secara eksplisit untuk mesin kueri untuk memanggil operasi API atas nama Anda. Ini dilakukan dalam beberapa langkah:
-
Anda perlu menentukan AWS akun dan tag sesi IAM yang memerlukan izin untuk memanggil operasi API integrasi aplikasi melalui AWS Lake Formation konsol, AWS CLI atau API/SDK.
-
Saat mesin kueri pihak ketiga mengasumsikan peran eksekusi di akun Anda, mesin kueri harus melampirkan tag sesi yang terdaftar di Lake Formation yang mewakili mesin pihak ketiga. Lake Formation menggunakan tag ini untuk memvalidasi bahwa jika permintaan berasal dari mesin yang disetujui. Untuk informasi selengkapnya tentang tag sesi, lihat Tag sesi di Panduan Pengguna IAM.
-
Saat menyiapkan peran eksekusi mesin kueri pihak ketiga, Anda harus memiliki kumpulan izin minimum berikut dalam kebijakan IAM:
{ "Version": "2012-10-17", "Statement": {"Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "glue:GetTable", "glue:GetTables", "glue:GetDatabase", "glue:GetDatabases", "glue:CreateDatabase", "glue:GetUserDefinedFunction", "glue:GetUserDefinedFunctions", "glue:GetPartition", "glue:GetPartitions" ], "Resource": "*" } } -
Siapkan kebijakan kepercayaan peran pada peran eksekusi mesin kueri untuk memiliki kontrol akses yang baik pada pasangan nilai kunci tag sesi mana yang dapat dilampirkan ke peran ini. Dalam contoh berikut, peran ini hanya diperbolehkan untuk memiliki kunci tag sesi
"LakeFormationAuthorizedCaller"dan nilai"engine1"tag sesi yang akan dilampirkan, dan tidak ada pasangan nilai kunci tag sesi lainnya yang diizinkan.{ "Sid": "AllowPassSessionTags", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/query-execution-role" }, "Action": "sts:TagSession", "Condition": { "StringLike": { "aws:RequestTag/LakeFormationAuthorizedCaller":"engine1"} } }
Saat LakeFormationAuthorizedCaller memanggil operasi STS: AssumeRole API untuk mengambil kredensional untuk mesin kueri yang akan digunakan, tag sesi harus disertakan dalam permintaan. AssumeRole Kredensi sementara yang dikembalikan dapat digunakan untuk membuat Lake Formation permintaan API integrasi aplikasi.
Lake Formation operasi API integrasi aplikasi memerlukan prinsipal panggilan untuk menjadi peran IAM. Peran IAM harus menyertakan tag sesi dengan nilai yang telah ditentukan sebelumnya yang telah didaftarkan Lake Formation. Tag ini memungkinkan Lake Formation untuk memverifikasi bahwa peran yang digunakan untuk memanggil operasi API integrasi aplikasi diizinkan untuk melakukannya.
